施設に不正にもぐりこみ置いてある端末からネットワークに侵入するリスクが高まる中、施設への実際の物理的な侵入とサイバー攻撃の両方のリスクを確認する診断サービスを、サイバーセキュリティ事業者と警備大手が手を組んで実施する。実施するのはドローンとつながりの深いGMOサイバーセキュリティbyイエラエ株式会社（東京）とALSOK株式会社（東京）。すでに重要インフラ企業、防衛産業などに提案活動を進めており、9月にサービスを開始する計画だ。

物理とサイバーを一気通貫　「ALSOK & GMO サイバー物理ペネトレーションテスト」

GMOインターネットグループでサイバー攻撃対策事業を展開するGMOサイバーセキュリティbyイエラエとALSOKは７月29日、物理空間からサイバー空間まで一気通貫で不正侵入リスクを可視化するセキュリティ診断サービス「ALSOK & GMO サイバー物理ペネトレーションテスト」を開発したと発表した。発表時には東京・用賀のGMOインターネットTOWERに関係者が集まり報道陣向けに説明会を開いた。

「ALSOK & GMO サイバー物理ペネトレーションテスト」は、巧妙化、複雑化するサイバー攻撃への備えのためのサービス。サイバー攻撃では攻撃者が企業や組織などの外からメールなどを通じてネットワークに侵入して重要データの漏洩などを仕掛けるが、サイバー攻撃への防御が進むにつれ、施設そのものに攻撃者が侵入し、施設内の端末を使ってネットワークに侵入する手口が増え始め、金融庁などが警鐘を鳴らしている。このため、物理的に施設に入り込まれるリスクがどの程度あるか、そのうえでサイバー攻撃がしかけられるリスクがどの程度あるか、を同時に診断するサービスを開発した。

テストでは、企業や団体などの依頼に応じて、指定された拠点に侵入するための方法を攻撃者の視点で検討する。拠点には許可された人が開錠したさいに続けて入り込む共連れやICカードの偽装して侵入を試み、侵入に成功したら、不正端末の接続などサイバー攻撃の足掛かりを探索し、ネットワークに入り込んで情報搾取を試みる。攻撃者の視点でテストすることで、防御の脆弱な個所を浮き彫りにする。侵入後には脆弱性や改善策をまとめたレポートを依頼主に提出することで、攻撃への備えに役立てる。

このテストでは、拠点への物理的な侵入の部分をALSOKが担い、サイバー攻撃部分をGMOイエラエが担った。ALSOKは新サービス開発にあたり、物理侵入を足掛かりとしたサイバー攻撃に焦点を当てた、新たなセキュリティ診断サービス「ALSOK物理ペネトレーションテスト」を開発し、GMOの診断と連結させサイバー空間まで一気通貫で不正侵入リスクを可視化する「ALSOK & GMO サイバー物理ペネトレーションテスト」を仕上げた。なお物理ペネトレーションテストの専門ベンダーBarrierCrack合同会社（東京）も開発に参画し技術提供を受けた。

GMOインターネットグループ株式会社の西山裕之取締役グループ副社長執行役員は「GMOグループは創業以来『すべての人にインターネット』のキャッチフレーズをかかげインターネット社会の発展に邁進し、現在1700万件以上のご活用を頂いています。しかしながら昨今、インターネットを悪用した犯罪が蔓延しており、その手法がますます高度化、頻発化しています。このため今年度より『ネットのセキュリティもGMO』をかかげ、さまざまな施策を進めすことにしました。インターネット社会の発展のために、サイバーセキュリティの課題に真摯に取り組んでいきたい。いまやリアルとネットは切り離せません。交通、物流、金融、医療、行政、あらゆるインフラはネットワークが前提です。ALSOKさまとの取り組みを通じて、リアルとネットの両面で安全、安心の社会の実現に貢献したいと願っています」と述べた。

ALSOKの佐藤将史執行役員は、2025年7月16日に創立60周年を迎えた機会に社名を綜合警備保障株式会社からALSOK株式会社に変更し、ブランドスローガンとして「ALwayS OK」を掲げたことを紹介し「警報を受信したら現場に駆け付けるインフラを使いひと、もの、かねを軸にセキュリティを提供し、2000年初頭の法改正以降、情報も含め物理的側面から守ることを続けてきました。今後は確かな現場対応力を武器にサイバー領域の業容を拡大したい。そこでGMOさんとタッグを組んで開発した商材が『ALSOK & GMOサイバー物理ペネトレーションテスト』です。われわれの60年の守りのノウハウを攻撃者の視点に活用することで物理侵入を足掛かりにしたサイバーセキュリティにフォーカスした新しいチャレンジです」と述べた。

GMOサイバーセキュリティbyイエラエの牧田誠代表取締役CEOは、「われわれはサイバーセキュリティの会社で、ホワイトハッカーが日本で一番多く所属していることが特徴です。ハッキングコンテストでも優勝、世界一などを受賞しています。そんなわれわれがしていることは脆弱性診断、侵入テスト、ペネトレーションテストです。1万2600件ほど実施しています。ゼロデイも研究していて、年間100件ぐらい見つけ報告しています。これは研究なので商売ではなく見つけたらボランティアで報告しています。ペネトレーションテストをするときには、攻撃者の視点を模します。WEBサイトがあれば、脆弱性を試します。スマホアプリならそこからの侵入ができないか探します。攻撃者は弱いところを狙います。資産を持つ側はインターネットでアクセスできないところに大事な資産をおこうということが進み、どんどん堅牢になっています。そうすると、攻撃者は次に弱いところを狙います。証券会社が侵入されて株価操縦されたという話は、銀行がセキュアになったことで次の標的になったとみられています。そちらがセキュアになると次にどうなるか。次の課題が物理の侵入です。日本は遅れている状況がありますので、そこが狙われるのではないかという懸念があります。ここをALSOKさまといっしょにテストをしてまいりたい。GMOでも物理セキュリティが大事ということで試してみたところ、３年前の実験では熊谷正寿グループ代表の部屋にカードキーを複製して侵入できてしまったことがあります。物理もサイバーも一気通貫で試すことが大事だと考えており、今回のサービスはそこに意義があると考えています」と述べた。

ALSOK商品サービス戦略部情報セキュリティサービス推進室長の小野浩司氏は、「国内における営業秘密の情報漏洩におけるダントツの1位は中途退職者によるものだそうです。金銭目的でUSBなどにより情報を持ち出して転職先や競合会社に提供するといったことです。サイバーセキュリティについては金融庁のガイドラインや、それを反映した金融情報システムセンターのリスクのコンピューターシステムの安全対策基準に物理セキュリティの言及がなされたこともあり、われわれも人材、管理意識、鍵を渡す人への信頼などを含めた「ALSOK物理ペネトレーションテスト」を開発しました。ビジネス拠点の物理 進入のリスク、侵入後に拠点内部からを行われるサイバー攻撃のリスクを探索し、その結果と解決策を提出するサービスです。ダークウェブでお客様のアカウント情報が漏れていないか、現地で外から入れそうなところはないかも調査します。拠点への進入経路や手段を調査し、建物に入ったら共連れで中に入れないか、清掃業者になりすまして内部に入れないか、ICカード偽装、社員証偽造、スキミングにより入れないかなどを調査します。さらにサイバー攻撃の足掛かりとして侵入後のサイバー攻撃の経路と手段の調査としてWi-Fiを通じた社内無線LAN無線へのアクセス、LANケーブルへの不正な端末の接続も試みたりします。調査内容は事前に主催者と調整しますが、攻撃活動を交えることでリスク対応を強化してまいります。物理の方はネットワークに侵入するまで、サイバーの方は侵入した後のリスクを評価します。実施後は施報告書を提出し 多面的な評価と効果的な改善提案をします。報告書の内容はエグゼクティブサマリー、実施概要、テスト実施結果 リスクと対策。これらを示し実効性の高い資料として対策の検討にご活用いただきたい。セキュリティレベルをさらに強化のため高度なセキュリティテストを継続的にご活用頂きたいと考えております」

　さらに、先行的に６月に診断サービスをうけた株式会社あおぞら銀行の萩尾崇執行役員は「たくさんの気づきがありました。親切のつもりで行っていることが侵入者にとって重要な情報になることにも気づきました。不審物を仕掛けられて気づかないこともありました。整理整頓ができていない場所ではそういうことがある、ということも気づきでした。われわれは、社内に知らない人がいたときの声掛けを徹底していますが、さらに浸透させる必要性を感じました。また、（得意先に）ストラップ、名札、シャツなどの『あおぞらグッズ』を配っていましたが、こうしたものを身に付けている人を社員と誤認するリスクもあるので、配布の制限も検討することになり意識がかわりました」と経験談を話した。

　GMOサイバーセキュリティbyイエラエの村田学ディフェンシブセキュリティ部副部長は、「一般的なサイバー攻撃でサイバーだけで完結するものはオフィスの外側に攻撃者がいます。データは中にあります。データが欲しい場合は、たとえば攻撃者はインターネット経由でユーザーの方にメールを送り、言葉巧みにマルウェアを開かせます。この場合はPCを中継地点として攻撃を仕掛けデータを取るという流れになると思います。標的型攻撃というところです。それ以外にもVPNの脆弱性、Wi-Fiの脆弱性を狙うこともあります。 wi-fi のアカウントを取って攻撃する形です。ポイントはどうやって中に入るかです。攻撃者が中にいたらどうなるか。ネットワーク内のどこかからコンピューティングリソースにたどり着ければ侵入目標は達成できてしまいます。ネットワークさえつながっていれば本社とは別の事業所でも全く同じ効果が得られます。つまり内部にいれば攻撃者にとっては、一気にショートカットできるのです。LANを構成するプロトコルは古く暗号化や相互認証が基本機能として備わっていません。また内部からの通信は信用しても大丈夫だろうという認証の省略も危険です。インターネットのセキュリティをしっかりやっていても 物理的な接触にはかなり弱い面が存在ありますので、今回の取り組みが活動の一助になればと思っております」などと述べた。

＜リリース＞

https://group.gmo/news/article/9608/

＜参考＞

■ALSOK & GMO サイバー物理ペネトレーションテスト

https://www.digitalsales.alsok.co.jp/service/cyber-physical-penetration-testing/

■ALSOK 物理ペネトレーションテスト

https://www.digitalsales.alsok.co.jp/service/physical-penetration-testing/

■GMOサイバーセキュリティ byイエラエ

https://gmo-cybersecurity.com

　インターネット関連事業を幅広く展開するGMOインターネットグループ株式会社（東京）は、グループ代表の熊谷正寿氏が2023年1月23日（月）に、1人乗りAAMの開発を手掛ける米LIFT社（LIFT Aircraft INC.）から操縦士証「BEGINNER PILOT CERTIFICATE」を取得したと発表した。熊谷氏はLIFT社製パーソナルAAM「HEXA」の操縦トレーニングを受け、基準をクリアした。日本人の取得は熊谷氏が初めてだ。熊谷氏はDroneTribuneの取材に対し、HEXAについて「技術的には、人や荷物を安全に運ぶレベルに十分達している」などと、会社を通じて感想を寄せた。同社は「グループをあげて次世代モビリティ産業の成長に貢献してまいります」とコメントしている。

LIFT社、丸紅とともに万博に向けた飛行実験を近く予定

　熊谷代表が取得した操縦士証は、LIFT社が同社製の１人乗りeVTOL型の機体「HEXA」に乗るための特定の飛行訓練プログラムを受講し、基準をクリアしたことを認める証書だ。これまで日本人が取得したことはなく、熊谷氏が初の取得者となった。

　LIFT社の「HEXA」は、米国航空法では超軽量機にあたる。PART103と呼ばれるガイドラインの要件を満たしていれば、操縦に免許は不要で、かわりにLIFT社の訓練を受け基準をクリアする必要がある。機体はオートパイロットコンピューターで制御され、3軸のジョイスティックで操作できるとされる。2018年12月に初めて一般に公開され、2019年12月に生産を開始。2022年4月には初の一般向け有人飛行デモンストレーションを行っている。

　熊谷代表は自家用操縦士・回転翼航空機・陸上多発タービン機免許といった飛行機とヘリコプターの免許を持つ。LIFT社のHEXAについての感想を尋ねたところ、以下の３点をあげた。

• 技術的には、人や荷物を安全に運ぶレベルに十分達している。
• 一番改善が必要なのはバッテリー性能（＝飛行時間）。
• 普及に必要なのは、技術より社会の許容性（法規制の緩和、市民感情など）

　米LIFT社は、宇宙・航空機ビジネスの専門商社、丸紅エアロスペース株式会社（東京）とともに、大阪・関西万博での飛行実現に向けた実証実験の実施候補者として採択されていて、近く実施される見通しだ。熊谷氏の知見は実験の有効性や社会受容性の向上に大きく寄与することになりそうだ。

　熊谷氏が率いるGMOインターネットグループは、エアモビリティの日本での実現、普及に向けて、「空の移動革命に向けた官民協議会」や、大阪・関西万博での飛行実現のために協議会内で発足した「大阪・関西万博×空飛ぶクルマ実装タスクフォース」に参画するなど、「空の移動革命」の実現に力を入れている。

中でもGMOグローバルサイン・ホールディングス株式会社（東京）や、同社の連結企業群であるGMOグローバルサイン株式会社などは、ドローンやAAMの通信の暗号化をはじめとする通信セキュリティ技術や電子認証技術を提供している。さらに国内最大規模のホワイトハッカーを組織するサイバーセキュリティのプロフェッショナルカンパニーである、GMOサイバーセキュリティ byイエラエは、「GMOサイバーセキュリティ for Drone/eVTOL」を提供し、セキュリティの専門家がデバイス、通信、クラウドの脆弱性診断を行うなど安全・安心な空飛ぶクルマ社会の実現を支援している。

同社は「グループをあげて将来的な『空飛ぶクルマ』の自動飛行・遠隔操縦の社会実装に向け、セキュリティ対策技術のさらなる開発に取り組み空の安全を守り次世代モビリティ産業の成長に貢献してまいります」とコメントしている。

GMOインターネットの熊谷氏の操縦士証取得の発表は以下の通り

GMOインターネットグループ　グループ代表・熊谷正寿が「空飛ぶクルマ」のパイロットに～日本人で初めて初級・操縦士証を取得～

　GMOインターネットグループ（グループ代表：熊谷 正寿）は、 2023年1月23日（月）、 グループ代表の熊谷 正寿が、 アメリカのLIFT Aircraft INC. （以下、 LIFT Aircraft社）による「空飛ぶクルマ」の操縦訓練を受け、 日本人で初めて「初級・操縦士証（BEGINNER PILOT CERTIFICATE）」を取得したことをお知らせいたします。

　熊谷は、 かねてより空に大きな夢を抱き、 ヘリコプターと飛行機の操縦免許を有するなど、 “日本で最も空に精通する経営者”を目指してまいりました。 こうした中、 2023年1月に、 アメリカ・テキサス州でLIFT Aircraft社製の電動垂直離着陸機（eVTOL）「HEXA」の操縦訓練を行い、 日本人で初めて初級・操縦士証の交付を受けたことで、 米国航空法上における「空飛ぶクルマ」のパイロットとなりました。

　GMOインターネットグループは、「空の移動革命に向けた官民協議会」への参画や、空飛ぶクルマの通信セキュリティ技術、DroneやeVTOLに対する脆弱性診断の提供など、グループをあげて安心・安全な「空の移動革命」に向けた取り組みを進めています。

 そのような中、グループ代表の熊谷が自ら「空飛ぶクルマ」のパイロットになり知見を蓄積することで、安心・安全な「空の移動革命」を実現すべく、さらなるセキュリティ対策技術の開発に取り組み、次世代モビリティ産業の成長に貢献してまいります。

【「空の移動革命」に向けたGMOインターネットグループの取り組み】

 GMOインターネットグループでは、空を産業の“最後のフロンティア”と捉え、経済産業省・国土交通省主催の「空の移動革命に向けた官民協議会」に参画するなど「空の移動革命」の実現に向けて各種セキュリティ技術の開発・提供を行ってまいりました。さらに、大阪・関西万博でのeVTOLの実用化に向けて協議会内で発足した「大阪・関西万博×空飛ぶクルマ実装タスクフォース」にも参画し、産官学構成員とともにeVTOL活用のコンセプトや運用計画策定等の具現化を図るべく検討を進めております。

 GMOインターネットグループは、GMOグローバルサイン・ホールディングス株式会社（https://www.gmogshd.com/）および同社の連結企業群であるGMOグローバルサイン株式会社（https://www.globalsign.co.jp/）を中心として、ドローンや「空飛ぶクルマ」の通信の暗号化をはじめとする通信セキュリティ技術や電子認証技術を提供しています。