施設に不正にもぐりこみ置いてある端末からネットワークに侵入するリスクが高まる中、施設への実際の物理的な侵入とサイバー攻撃の両方のリスクを確認する診断サービスを、サイバーセキュリティ事業者と警備大手が手を組んで実施する。実施するのはドローンとつながりの深いGMOサイバーセキュリティbyイエラエ株式会社（東京）とALSOK株式会社（東京）。すでに重要インフラ企業、防衛産業などに提案活動を進めており、9月にサービスを開始する計画だ。

物理とサイバーを一気通貫　「ALSOK & GMO サイバー物理ペネトレーションテスト」

GMOインターネットグループでサイバー攻撃対策事業を展開するGMOサイバーセキュリティbyイエラエとALSOKは７月29日、物理空間からサイバー空間まで一気通貫で不正侵入リスクを可視化するセキュリティ診断サービス「ALSOK & GMO サイバー物理ペネトレーションテスト」を開発したと発表した。発表時には東京・用賀のGMOインターネットTOWERに関係者が集まり報道陣向けに説明会を開いた。

「ALSOK & GMO サイバー物理ペネトレーションテスト」は、巧妙化、複雑化するサイバー攻撃への備えのためのサービス。サイバー攻撃では攻撃者が企業や組織などの外からメールなどを通じてネットワークに侵入して重要データの漏洩などを仕掛けるが、サイバー攻撃への防御が進むにつれ、施設そのものに攻撃者が侵入し、施設内の端末を使ってネットワークに侵入する手口が増え始め、金融庁などが警鐘を鳴らしている。このため、物理的に施設に入り込まれるリスクがどの程度あるか、そのうえでサイバー攻撃がしかけられるリスクがどの程度あるか、を同時に診断するサービスを開発した。

テストでは、企業や団体などの依頼に応じて、指定された拠点に侵入するための方法を攻撃者の視点で検討する。拠点には許可された人が開錠したさいに続けて入り込む共連れやICカードの偽装して侵入を試み、侵入に成功したら、不正端末の接続などサイバー攻撃の足掛かりを探索し、ネットワークに入り込んで情報搾取を試みる。攻撃者の視点でテストすることで、防御の脆弱な個所を浮き彫りにする。侵入後には脆弱性や改善策をまとめたレポートを依頼主に提出することで、攻撃への備えに役立てる。

このテストでは、拠点への物理的な侵入の部分をALSOKが担い、サイバー攻撃部分をGMOイエラエが担った。ALSOKは新サービス開発にあたり、物理侵入を足掛かりとしたサイバー攻撃に焦点を当てた、新たなセキュリティ診断サービス「ALSOK物理ペネトレーションテスト」を開発し、GMOの診断と連結させサイバー空間まで一気通貫で不正侵入リスクを可視化する「ALSOK & GMO サイバー物理ペネトレーションテスト」を仕上げた。なお物理ペネトレーションテストの専門ベンダーBarrierCrack合同会社（東京）も開発に参画し技術提供を受けた。

GMOインターネットグループ株式会社の西山裕之取締役グループ副社長執行役員は「GMOグループは創業以来『すべての人にインターネット』のキャッチフレーズをかかげインターネット社会の発展に邁進し、現在1700万件以上のご活用を頂いています。しかしながら昨今、インターネットを悪用した犯罪が蔓延しており、その手法がますます高度化、頻発化しています。このため今年度より『ネットのセキュリティもGMO』をかかげ、さまざまな施策を進めすことにしました。インターネット社会の発展のために、サイバーセキュリティの課題に真摯に取り組んでいきたい。いまやリアルとネットは切り離せません。交通、物流、金融、医療、行政、あらゆるインフラはネットワークが前提です。ALSOKさまとの取り組みを通じて、リアルとネットの両面で安全、安心の社会の実現に貢献したいと願っています」と述べた。

ALSOKの佐藤将史執行役員は、2025年7月16日に創立60周年を迎えた機会に社名を綜合警備保障株式会社からALSOK株式会社に変更し、ブランドスローガンとして「ALwayS OK」を掲げたことを紹介し「警報を受信したら現場に駆け付けるインフラを使いひと、もの、かねを軸にセキュリティを提供し、2000年初頭の法改正以降、情報も含め物理的側面から守ることを続けてきました。今後は確かな現場対応力を武器にサイバー領域の業容を拡大したい。そこでGMOさんとタッグを組んで開発した商材が『ALSOK & GMOサイバー物理ペネトレーションテスト』です。われわれの60年の守りのノウハウを攻撃者の視点に活用することで物理侵入を足掛かりにしたサイバーセキュリティにフォーカスした新しいチャレンジです」と述べた。

GMOサイバーセキュリティbyイエラエの牧田誠代表取締役CEOは、「われわれはサイバーセキュリティの会社で、ホワイトハッカーが日本で一番多く所属していることが特徴です。ハッキングコンテストでも優勝、世界一などを受賞しています。そんなわれわれがしていることは脆弱性診断、侵入テスト、ペネトレーションテストです。1万2600件ほど実施しています。ゼロデイも研究していて、年間100件ぐらい見つけ報告しています。これは研究なので商売ではなく見つけたらボランティアで報告しています。ペネトレーションテストをするときには、攻撃者の視点を模します。WEBサイトがあれば、脆弱性を試します。スマホアプリならそこからの侵入ができないか探します。攻撃者は弱いところを狙います。資産を持つ側はインターネットでアクセスできないところに大事な資産をおこうということが進み、どんどん堅牢になっています。そうすると、攻撃者は次に弱いところを狙います。証券会社が侵入されて株価操縦されたという話は、銀行がセキュアになったことで次の標的になったとみられています。そちらがセキュアになると次にどうなるか。次の課題が物理の侵入です。日本は遅れている状況がありますので、そこが狙われるのではないかという懸念があります。ここをALSOKさまといっしょにテストをしてまいりたい。GMOでも物理セキュリティが大事ということで試してみたところ、３年前の実験では熊谷正寿グループ代表の部屋にカードキーを複製して侵入できてしまったことがあります。物理もサイバーも一気通貫で試すことが大事だと考えており、今回のサービスはそこに意義があると考えています」と述べた。

ALSOK商品サービス戦略部情報セキュリティサービス推進室長の小野浩司氏は、「国内における営業秘密の情報漏洩におけるダントツの1位は中途退職者によるものだそうです。金銭目的でUSBなどにより情報を持ち出して転職先や競合会社に提供するといったことです。サイバーセキュリティについては金融庁のガイドラインや、それを反映した金融情報システムセンターのリスクのコンピューターシステムの安全対策基準に物理セキュリティの言及がなされたこともあり、われわれも人材、管理意識、鍵を渡す人への信頼などを含めた「ALSOK物理ペネトレーションテスト」を開発しました。ビジネス拠点の物理 進入のリスク、侵入後に拠点内部からを行われるサイバー攻撃のリスクを探索し、その結果と解決策を提出するサービスです。ダークウェブでお客様のアカウント情報が漏れていないか、現地で外から入れそうなところはないかも調査します。拠点への進入経路や手段を調査し、建物に入ったら共連れで中に入れないか、清掃業者になりすまして内部に入れないか、ICカード偽装、社員証偽造、スキミングにより入れないかなどを調査します。さらにサイバー攻撃の足掛かりとして侵入後のサイバー攻撃の経路と手段の調査としてWi-Fiを通じた社内無線LAN無線へのアクセス、LANケーブルへの不正な端末の接続も試みたりします。調査内容は事前に主催者と調整しますが、攻撃活動を交えることでリスク対応を強化してまいります。物理の方はネットワークに侵入するまで、サイバーの方は侵入した後のリスクを評価します。実施後は施報告書を提出し 多面的な評価と効果的な改善提案をします。報告書の内容はエグゼクティブサマリー、実施概要、テスト実施結果 リスクと対策。これらを示し実効性の高い資料として対策の検討にご活用いただきたい。セキュリティレベルをさらに強化のため高度なセキュリティテストを継続的にご活用頂きたいと考えております」

　さらに、先行的に６月に診断サービスをうけた株式会社あおぞら銀行の萩尾崇執行役員は「たくさんの気づきがありました。親切のつもりで行っていることが侵入者にとって重要な情報になることにも気づきました。不審物を仕掛けられて気づかないこともありました。整理整頓ができていない場所ではそういうことがある、ということも気づきでした。われわれは、社内に知らない人がいたときの声掛けを徹底していますが、さらに浸透させる必要性を感じました。また、（得意先に）ストラップ、名札、シャツなどの『あおぞらグッズ』を配っていましたが、こうしたものを身に付けている人を社員と誤認するリスクもあるので、配布の制限も検討することになり意識がかわりました」と経験談を話した。

　GMOサイバーセキュリティbyイエラエの村田学ディフェンシブセキュリティ部副部長は、「一般的なサイバー攻撃でサイバーだけで完結するものはオフィスの外側に攻撃者がいます。データは中にあります。データが欲しい場合は、たとえば攻撃者はインターネット経由でユーザーの方にメールを送り、言葉巧みにマルウェアを開かせます。この場合はPCを中継地点として攻撃を仕掛けデータを取るという流れになると思います。標的型攻撃というところです。それ以外にもVPNの脆弱性、Wi-Fiの脆弱性を狙うこともあります。 wi-fi のアカウントを取って攻撃する形です。ポイントはどうやって中に入るかです。攻撃者が中にいたらどうなるか。ネットワーク内のどこかからコンピューティングリソースにたどり着ければ侵入目標は達成できてしまいます。ネットワークさえつながっていれば本社とは別の事業所でも全く同じ効果が得られます。つまり内部にいれば攻撃者にとっては、一気にショートカットできるのです。LANを構成するプロトコルは古く暗号化や相互認証が基本機能として備わっていません。また内部からの通信は信用しても大丈夫だろうという認証の省略も危険です。インターネットのセキュリティをしっかりやっていても 物理的な接触にはかなり弱い面が存在ありますので、今回の取り組みが活動の一助になればと思っております」などと述べた。

＜リリース＞

https://group.gmo/news/article/9608/

＜参考＞

■ALSOK & GMO サイバー物理ペネトレーションテスト

https://www.digitalsales.alsok.co.jp/service/cyber-physical-penetration-testing/

■ALSOK 物理ペネトレーションテスト

https://www.digitalsales.alsok.co.jp/service/physical-penetration-testing/

■GMOサイバーセキュリティ byイエラエ

https://gmo-cybersecurity.com

　大阪・関西万博での実現が期待される、いわゆる「空飛ぶクルマ」などのエアモビリティへの関心が高まる中、DroneTribuneは、３月に米LIFT社が開発した１人乗りエアモビリティ、HEXA（ヘクサ）を操縦する様子を公開したGMOインターネットグループの熊谷正寿グループ代表にインタビューした。飛行機やヘリコプターの操縦の資格を持ち、空を飛ぶことに詳しい熊谷氏は、HEXAの操縦体験について不安を感じることは一切なかったと明言し、そのうえで「われわれは空飛ぶクルマをお守りする」と、サイバーセキュリティ、情報セキュリティを手がける企業グループとしての使命感を鮮明にした。また３月に行った飛行の公開も、可視化しにくいセキュリティを、身をもって示す意味があったと明かした。　

「空飛ぶクルマ、飛行は技術的に問題ないレベル」

空飛ぶクルマなどエアモビリティの実現が期待される大阪・関西万博は４月13日に開幕まで２年となる節目を迎え、プレ万博など地元を中心に機運を高める催事が企画されている。GMOの熊谷氏はこれに先立つ３月15日、大阪城公園で丸紅株式会社が主催したHEXAの飛行デモンストレーションに、日本人で初めてライセンスを取得した操縦者として参加し、自身が飛行する様子を公開した。万博開幕まで２年を切り、エアモビリティへの関心がますます高まっていることから、熊谷氏に尋ねる機会を得た。インタビューは、都内のGMO本社で行われた。

――空飛ぶクルマやエアモビリティの現時点での話題には、安全、安心がついてまわります。操縦者の立場としてどう感じますか

熊谷氏　「私は飛行機で双発エンジン航空機の免許を持っており、ヘリコプターでも同じように双発エンジンの免許を持っております。その意味で空飛ぶ乗り物のライセンスは、今回のHEXAで３種類目となり、空の安全は常に意識しています。どの観点から論じるか、による面がありますが、まず申し上げたいのが動力の数の観点です。HEXAはこの点で飛行機やヘリコプターと比べると最も安心できる乗り物と言ってよいと思います。なぜなら、飛行機の動力の数は２つ、ヘリコプターも双発の場合で２つなのに対し、HEXAは小型のプロペラが18基あり、ローターのひとつひとつに動力であるモーターがついています。ひとつの動力が失われた場合も安全性に問題はありません。ここは安全を語るうえでお伝えしたい点です。このほか空域の観点もあります。

――それはどんな？

熊谷氏　「飛ぶ空域が異なるということです。飛行機の場合は３万から４万、５万フィート。プライベート機がより高く、民間機だと３万３０００フィートあたり、ヘリなら都内だと２０００フィートとか３０００フィートといった具合です。それに対し空飛ぶクルマはそれよりずっと低い。陸上交通の場合は電車も自動車もほぼ地上を動きますので、その観点からも議論できるかもしれません。航空管制の整備はこれからですが、日本の場合は特にしっかりしています。議論の最中の型式などルールづくりの中で出てくる論点もあると思います」

――快適性などは

熊谷氏　「HEXAはFAA（米連邦航空局）が『Part103』と呼ぶウルトラライト級に位置付けられています。ものすごく軽くてとにかく飛ぶことを最優先した機体です。小回りがきく分、扉がなくて、夏はいいんでしょうけど、冬は寒いとか。快適性はこれから解決していくことになるかもしれません」

――総合的にはいかがでしょうか

熊谷氏　「飛行そのものでは技術的にはもう全然、問題ないレベルです。あとは規制と市民感情の問題があると思っています」

「規制と住民感情を乗り越えて普及を」

――熊谷代表はHEXAを操縦したとき上空から手を振っていましたが率直に、こわくないものですか

熊谷氏　「パイロットなのでシートがあってハーネスがあって操縦桿を握っていればこわくないのです。ただ、ギャグみたいな話なんですが、基本的に高所恐怖症でして。いや、ホントです。飛行機の免許をとる前に、ここ（東京・渋谷のセルリアンタワーにあるGMOのオフィス）から外を眺めて、ふと『ここを飛ぶのか』と思ってビビったことがあるんです。子供のころから空を飛びたいと思っていたのですが、ホントに取ろうと思ったときに、やっぱりちょっと高いところはこわいよな、と思ったんです。そのうえで、空飛ぶクルマですが、まったく、こわくない。これは私がパイロットだから、とか、高所恐怖症を克服したから、ということよりも、一番大きいのは機体が安定したから、ということだと思っています。HEXAはパイロットが機体を安定させるためにすることはほとんどなくて、コンピューターがプロペラを制御してくれています。これだけ安定していればなにもこわくない」

――操縦士ががんばらなくても機体が安定しているのですね

熊谷氏　「ふつうならパイロットはいつも風を計算して飛びます。私もスマホにパイロットのアプリをいくつも入れていますが、たえず風向きを気にしています。羽田空港も風向きによって着陸の滑走路が違います。ヘリも飛行機も、正面から風を受けていないといけないのですが空飛ぶクルマは、機体によって多少差はあるかと思いますが、少なくともHEXAは風向きを気にすることはありませんでした。飛行条件が整っていれば、どっちから風が吹いてくるからどっちに向いて飛ぶ、ということはなかったです」

――HEXAや空飛ぶクルマの普及イメージは

熊谷氏　「普及の障害は、住民感情と規制だと思っています。テクノロジーの障害はほぼない、とIT業界に身を置くものとして、思っています。規制は日本では大阪・関西万博をきっかけにずいぶん整備が進んでいますし、これからも進むと思います。経済産業省、国土国交省主導で空飛ぶクルマを普及させようとしていますし、万博終了後も定期航路を残そうとしていますね。非常によい動きです。残る最大級の問題が、離発着場です。空からみるとHマークやRマークがありますが、実際には使われていません。まずはそこをなんとかしないと離発着できません。あとは飛行許可。ヘリですら飛行のたびに国土交通大臣の許可が必要です。それが空飛ぶクルマの離発着についてどうなるのか。いまの日本の状況では都度、国土交通大臣の許可が必要、という話になりやすいので、規制緩和ができるかどうかが普及には重要だと思います。あとは住民感情です」

「情報セキュリティとサイバーセキュティで空飛ぶクルマをお守りします」

――乗り越えるための対応が必要だと言われています

熊谷氏　「われわれGMOは空飛ぶクルマをお守りしています。GMOはテクノロジーとしてセキュリティの領域に強みを持っています。情報セキュリティとサイバーセキュリティ、つまり、暗号化で読み取られないようにする部分と、ハッキングされないようにする部分です。空を守ることに貢献するため経済産業省の担当部署にもパートナー（従業員）を派遣しておりますし、空飛ぶクルマの開発企業に技術協力をしております。セキュリティは可視化が難しいので、そのために何ができるかをわれわれはいつも考えております。３月に大阪城公園をHEXAで飛びましたが、あれも私が身をもって安全ですよ、と示すため、という文脈です。ただ空が好きだから飛んだ、というわけではなかったんです。６月に開催されるドローンの展示会『JapanDrone2023』にも出展してご理解いただけるようにアナウンスもするつもりでおります」（注：GMOインターネットグループはJapanDrone2023のメインスポンサーでブースも出展する）

ーー空の産業利用に大きな可能性を感じていることが伝わります

熊谷氏　「空は現時点では最後の産業的なフロンティアです。 だって、地上はいっぱいじゃないですか。それに対して空は、ヘリが飛ぶ高さより下の低空域はガラガラです。そこを安全に産業的に利用すべきだと考えています」

ーーGMOインターネットグループとしての空飛ぶクルマへの取り組みとは

熊谷氏　「強みがないことをやっても仕方がないと思っています 空飛ぶクルマの産業を強みである情報セキュリティ、サイバーセキュリティなどセキュリティの面から応援し、お守りし、普及を支えようと思っています 安心安全の空の利活用を応援して普及をするようにグループを挙げて努めてまいります」

――ありがとうございました

関連記事/パイロット搭乗の空クルが大阪城公園を飛行

https://dronetribune.jp/articles/22370/

関連記事/ GMO代表・熊谷正寿氏が米LIFT社の“空クル”操縦資格を日本人初取得

https://dronetribune.jp/articles/22235/