UAS COE監査で特定されたDJIドローンの潜在的な脅威ベクトルとその緩和措置について
弊社ViewPointsのブログ記事のとおり、米PrecisionHawk社のUnmanned Aerial Intelligence Technology Center of Excellence(UAS COE)は、サイバーセキュリティのコンサルティング会社である米Booz Allen Hamilton社と協力して、DJIの3製品(Government Edition Mavic Pro、Government Edition Matrice 600 Pro、Mavic 2 Enterprise)を対象に、リスク評価テストおよび分析を実施しました。UAS COEは、本監査のエグゼクティブサマリーをリリースしておりますので、こちらも併せて是非ご確認ください。
DJIは、お客様、セキュリティ専門家、政府機関と緊密に連携し、安全性、セキュリティ、プライバシーの懸念に対処しておりますので、第三者機関による本監査結果を歓迎しております。要約すると、本監査において、DJIのお客様に一般的な低程度のリスクをもたらす可能性のあるいくつかの低又は中程度の脅威ベクトルは見つかったものの、DJI製品を用いて収集したデータや情報が、DJIまたは中国へ送信されているエビデンスは見つかりませんでした。Booz Allen社によると、2つを除くすべての脅威ベクトルについて、「機体への物理的アクセスまたは(下段報告書の概要(英語版)、項目6)攻撃者が飛行中の機体の無線電波の伝送範囲内にいることが必要」であり、追加の緩和措置とベストプラクティスにより、これらの脅威ベクトルを大幅に削減できます。
サイバーセキュリティテストを実施する場合、通常、いくつかの脆弱性が存在すると想定されます。セキュリティテストにおけるピアレビューの実施は、しっかり管理されたプロセスでセキュリティの脆弱性を解消するにあたり、最も信頼性の高い手法です。信頼性、データセキュリティ、プライバシー、空域の安全性の強化のため、DJIは、オープンかつ透明性のある方法であらゆる脆弱性に優先的に対処することを使命としております。本監査で特定された、項目8・9を含む脅威ベクトルの多くに対処するための緩和措置を既に実施しており、項目5・7等についても積極的に取組んでおります。
下段報告書の概要(英語版)では、本監査で特定された脅威ベクトルの概要、DJIが実施している緩和措置、該当する場合は関連製品の操作にあたりお客様が実施できる緩和措置について説明しております。
ご質問等については、DJIのデータセキュリティチームdatasecurity@dji.comまでお問い合わせください。