ロボット特化のエンドポイントセキュリティ最適解、フレームワークや実現方法：ロボットセキュリティ最前線（6）（2/2 ページ）

ロボットの利用領域拡大が進む一方で、ネットワーク化が進むこれらのロボットのセキュリティ対策については十分に検討されているとはいえない状況だ。本連載ではこうしたロボットセキュリティの最前線を取り上げてきた。最終回となる今回はロボットセキュリティのフレームワークや実現方法について紹介する。

[東根真司／ネットワンシステムズ，MONOist]

採用が増えるROSと脆弱性のリスク

　さらに、ロボットセキュリティフレームワークの4つのレイヤーの内、ファームウェアに着目してみる。過去の連載（第2回、第3回）でも、産業用ロボットはWindowsやLinuxをベースとした汎用OSで動作している点について述べてきた。それに加えて、今後リリースされるロボットはROS（Robot Operating System）をミドルウェアとして採用するケースが増えてくる。ABI Researchによると、2024年までに出荷される商用ロボットの55％が、少なくとも1つのROSパッケージを搭載していると予測している^（※1）。

_{（※1）ABI Researchブログ：https://www.abiresearch.com/blogs/2019/06/10/ros-rise/}

　一方でこのROSに関しては、既にいくつかの脆弱性が発見されている。例えば、ある1つの脆弱性は、NASA、Huawei、Siemensなどが所有するロボットをはじめ、34カ国の病院、銀行、大学、軍事機関で稼働している650の異なるデバイスに影響を及ぼすものだという^（※2）。汎用的なOSやミドルウェアを採用することによる開発工数の削減は、市場への製品リリースサイクルの短縮化や低価格化を実現できる利点がある。一方で、脆弱性が露呈すると広範囲に影響を及ぼす負の要素も持ち合わせる点を考慮する必要がある。

_{（※2）Alias Roboticsの調査：https://news.aliasrobotics.com/alias-robotics-dds-ros2-vulnerabilities/}

ロボットに特化したエンドポイントセキュリティ

　そこで重要になるのが、ロボットセキュリティフレームワークでも触れたエンドポイントセキュリティである。具体的には、外部からの不正な侵入や攻撃からロボットを守るために必要なファイアウォール、侵入防御、アンチウイルス、データ損失防止など、ロボットに対する脅威を「検知」「通知」「防止」する機能が必要となる。ITの世界ではこれらの対策は一般的であるが、ロボットに特化したセキュリティ機能を提供するベンダーは、まだまだ少ないのが実情である。

　ただ、ロボットにおけるエンドポイントセキュリティの必要性が高まる中、この領域に取り組むベンダーも徐々に生まれつつある。その1つの例として、2018年に設立されたAlias Roboticsと、そのソリューションを紹介する。

Alias Roboticsの説明［クリックで拡大］ 出所：ネットワンシステムズ

　Alias Roboticsは、ロボットセキュリティフレームワークを基にロボットセキュリティに関するさまざまなサービスを提供している。具体的には、対象のロボットやコンポーネントにおいてセキュリティ上の脅威の特定や分析するサービスや、実際に攻撃を仕掛けることで攻撃耐性を確認するペネトレーションテスト、ロボットに関連するインフラ（ネットワーク、サーバ、フリート管理ソフトウェアなど）テストやソースコードのレビューをするアセスメントサービス、安全規格やガイドラインに準拠しているかの認証サービスなどを行っている。また、これらのサービスだけでなく、RIS（Robot Immune System）と呼ばれるロボット向けのエンドポイントセキュリティ製品を提供しているのも特徴だ。

　RISでは、過去のデータを基にしたトレーニングにより内外からの予期せぬ通信を遮断するファイアウォール機能や、既知の脆弱性への攻撃検知や不要な通信の除去などによる侵入防御機能、ロボットにおけるアクションとインタラクションを全て記録するロギング機能、これらの機能を分かりやすく示す可視化機能、日々のオペレーションで得たデータを基に脅威やその対策を学習する機械学習機能などを備えている。

　こうした機能を備えたロボットセキュリティサービスも徐々に増えてきている。これらをうまく活用しながら、ロボット本体にもセキュリティを組み込んでいくということが重要になってきている。

ロボットセキュリティは遠い未来の話ではない

　第1回でも問題提起したが、成長するロボット市場に対して、現時点ではベンダーおよびユーザーともにセキュリティへの意識や対策が十分ではない。しかし、本連載で紹介したように、ガイドラインの整備、コミュニティーの発足、セキュリティフレームワーク、物理セキュリティとの連携、ロボット特化型のソリューションなど、ロボットセキュリティを実現するピースはそろい始めている。

　本来、新しいテクノロジーの黎明期からセキュリティへの投資時期にはタイムラグが生まれる傾向がある。これはロボットに限った話ではない。手元のスマートフォンも導入当初は何もセキュリティ対策を実施していなかったが、今では何かしらの対策を行っている人が多いのではないだろうか。また、開発者側においては 開発（Development）、運用（Operations）、セキュリティ（Security）を融合することで、開発スピードを損なわず、セキュリティを確保しながら製品をリリースする「DevSecOps」の考えが浸透しつつある。

　こういった背景やロボット自身の普及を考えると、ロボットセキュリティが定着する未来はそう遠い話ではない。調査会社Future Market Insightsによると、ロボットにおけるサイバーセキュリティ市場は、2022〜2029年のCAGR（年平均成長率）11.0％で推移する予測をしている^（※3）。今後、さらにロボットの利用が社会のあらゆる場面で広がっていくことを考えると、ロボットの開発や導入を進める中で、ロボットセキュリティは当たり前のものとして定着していくことだろう。本連載で紹介してきた内容が一助になれば幸いである。

_{（※3）Future Market Insights調査：https://www.futuremarketinsights.com/reports/cyber-security-in-robotics-market}

≫連載「ロボットセキュリティ最前線」の目次

筆者紹介

東根真司（ヒガシネ シンジ）
ネットワンシステムズ株式会社 ビジネス開発本部 イノベーション推進部 インキュベーションチーム マネージャー

2006年 ネットワンシステムズに入社。セキュリティ、ロードバランサー、IoTを中心としたプロダクトマーケティングを経て、2017年よりシリコンバレーにある Net One Systems USAにて駐在を経験。現在は新規事業の企画から立ち上げに従事。