　まず、考え方で必要になるのが、ライフサイクル全体で対策を考えるということだ。ロボットは、ソフトウェア、ハードウェア、さらにはクラウド上のシステムなどが連携して動作するシステム連携型システム（System of systems）である。複雑にシステム同士が関係する仕組みであるため、セキュリティ攻撃による被害が顕在化してから完全に後付けで対症療法的に対策するだけでは、対策に莫大な労力とコストがかかる。そのため、企画、設計段階からシステムの機能要件や事業上の要求から考えられる想定される被害の分析を行った上でリスク評価を実施し、維持するセキュリティ目標やそれを実現するためのポリシーを決めていく必要がある。

　また、従来のサイバーセキュリティと同様に、攻撃手法の進化や関連するシステムの更新など時間の経過とともに環境は変化し、それによってセキュリティリスクの内容や大きさ、対策の要件も変化する。ロボットのセキュリティもそれを使用した製品やサービスのライフサイクル全体で考える必要があり、運用にはいってからも定期的な対策内容の見直しやリスクの再評価も必要である。

フェーズ、プロセス、V字モデルの図［クリックで拡大］出所：「ESPR（Embedded System development Process Referenc） 2.0」のシステム開発プロセス（実線）にセキュリティ関連項目（破線）をRRIで追記

システム全体で考える

　次にロボットに関連するシステム全体での対応を考えるということだ。移動ロボットを例にとっても、実際の仕事をするためには、上位システムやインタフェースからの移動の指令だけではなく、逆にロボット側から現在認識している位置情報を逐次上位システムへ送信したり、上位システム側からロボットへ状態確認を行うコマンドを送信したり、さまざまな通信が発生している。これらの通信の起点や境界点がセキュリティ攻撃の起点にもなり得る。また、ロボットと関連するシステムを構成するアプリケーション、ミドルウェア、OS、ファームウェアなどには潜在的な脆弱性も存在する。

　従来のサイバーセキュリティと同様、ロボットのセキュリティにおいても全ての脅威に対策を施し、リスクをゼロにすることは不可能である。しかし、システム全体で網羅的に脅威を洗い出し、そのリスクを可視化することにより優先順位をつけて対策を打つことができる。そのため、ユースケースと攻撃パターンの分析、脅威の相互関係の分析などの複合的なフレームワークを用いて脅威とその影響、リスクを可視化しておくことが重要である。結果としてロボットを利用したシステムやサービスのセキュリティ、信頼性や品質の向上だけでなく、コストの抑制にもつながる。

関係者間での合意形成と実施体制確立

　ロボットを利用したシステムやサービスは、多くの場合、複数の組織や事業者による分散開発が基本であり、企画から設計・開発、運用までには、さまざまなステークホルダーが関係するロボットコンポーネントのハードウェア、ソフトウェアやその部品を提供するメーカー、サプライヤー、管理システムを開発するソフトウェアメーカー、それらを組み上げるシステムインテグレーター、さらには出来上がったシステムをサービスとして利用者に提供するサービス事業者、そのサービスの運用維持を行うメンテナンス事業者などである。

　これらの複数の組織や事業体におけるセキュリティポリシーの違いを整合し、関係者間で共通のセキュリティ目標やポリシーを策定し合意しておくことが重要だ。それと同時に、策定した目標やポリシーに基づく対策の実施体制や運用維持体制を構築し、関係者に必要な教育や訓練を施すことは、システム全体のセキュリティレベルの維持においてさらに重要である。

安全（セーフティ）との相互影響を考える

　ロボットが仕事をする空間において人間と共生するようになると、安全（セーフティ）とセキュリティとの相互影響や関係を考慮する必要も出てくる。セーフティとセキュリティはもともと目指すべきベクトルが異なり、それぞれ独立した要件として考えられてきた。セーフティは、誤動作、事故、悪環境からの保護を許容可能なレベルに維持することを指向しているのに対して、セキュリティは、悪意ある攻撃からの保護によるシステムの可用性、完全性、機密性の維持を指向しているからだ。

　しかし、ロボットを含むIoTシステムでは、セーフティのハザードとセキュリティのリスクが相互に影響し合う。例えば、ロボットコントローラーがサービス不能攻撃を受け、その影響によりロボットのマニュピュレーション動作が鈍化し把持している物体が落下するような状況になると安全であるとはいえない。その場合、安全基準の適用範囲を変更し、こうした状況でも安全が確保できる基準が必要になる。逆に、セーフティを重視し過ぎて、ロボットが頻繁に非常停止する形になれば、ロボットシステム全体としての可用性や完全性に影響を与えることになり、そうならないように事前にセキュリティを強化する必要があるというような考え方もできる。

　このようにセーフティとセキュリティは相互影響をもたらすものであるため、ロボットのセキュリティを考える場合には「セキュリティ攻撃による影響が安全（セーフティ）に影響しないか？」「その影響はセキュリティ側で対処するか？　セーフティ側で対処するか？」「逆にセーフティ側で提供する機能や機構がセキュリティリスクとならないか？」などの分析と評価を実施する必要がある。

RRIにおけるロボットセキュリティについての活動

前のページへ 1|2|3 次のページへ