本連載は、日刊工業新聞(2022年5月~8月)に連載された記事の転載となります。以下の文章は原則連載時のままとし、場合によって若干の補足を加えて掲載しています。
スマートシティにおけるサイバーセキュリティの重要ポイント
スマートシティでは、都市機能やサービスの効率化と高度化のためにさまざまなデータが活用されます。また、その前提として、サイバーセキュリティの確保が重要です。
総務省は、サイバーセキュリティ対策が講じられた安全・安心なスマートシティを実現するための「スマートシティセキュリティガイドライン」を公表しています。ガイドラインでは、「スマートシティリファレンスアーキテクチャ」が提示された上で、「ガバナンス」「サービス」「都市OS」「アセット」の4つのカテゴリにセキュリティが整理されており、参考になります。
スマートシティにおけるサイバーセキュリティ確保のために重要なポイントとして、多様なステークホルダーを踏まえたガバナンスと、アセットのなかでも特にIoT機器への対策が挙げられます。
ガバナンスは、スマートシティを構成する業務や情報システムについてセキュリティポリシーを策定することが出発点となります。策定の時点からステークホルダーを巻き込み、実用的なセキュリティ標準や手順書を定め、サービス、都市OS、アセットに必要なセキュリティ対策に落とし込む必要があります。
スマートシティにおいては、推進主体の中核となる地方公共団体、IoT機器を提供する事業者、サービスを提供する事業者、サービス利用者などステークホルダーが多いことから、セキュリティ対策の漏れが発生しやすくなります。セキュリティにおいては、守りが弱い箇所を突かれ、データ漏えいなどの事故につながるため、スマートシティ全体のセキュリティ方針や対策の策定、管理体制の構築といったガバナンスの構築が重要となります。
スマートシティでは、住民や来訪者などの活動を把握するためのセンサーやカメラといったIoT機器も設置されます。IoT機器は、さまざまな用途で活用されるデータの生成元となりますが、情報システムとは異なる特性があります。たとえば、物理的に不特定多数が接触する恐れのある場所にIoT機器が設置されたり、内部のソフトウェアのアップデートが難しかったりする場合、サイバー攻撃のリスクが高くなります。実際に、不正プログラムがIoT機器に感染し、さらなるサイバー攻撃に悪用された事例も発生しています。
サイバー攻撃によって都市インフラが停止した場合は、人命や経済活動への多大な影響があるため、情報漏えいのような一般的な情報セキュリティだけでなく、IoT機器に対するサイバーセキュリティ対策が重要です。
【スマートシティ実現に向けたセキュリティ対策】
| カテゴリ | 主な対策 |
|---|---|
| ガバナンス | ・サイバーセキュリティ体制の構築 ・セキュリティポリシーの策定 ・実施状況の定期的な確認(監査など) |
| サービス | ・セキュリティ対策の適切な実装 ・セキュリティ診断・脆弱性診断 |
| 都市OS | ・各セキュリティ機能(アクセス制御、認証機能、セキュリティ監視など)の実装 ・バックアップ・BCP対策 ・データの暗号化 |
| アセット | ・アセット(IoT機器など)の監視と適切な管理 ・デバイスのセキュリティ対策 ・通信の暗号化 |
出所:「スマートシティセキュリティガイドライン(第2.0版)」(総務省)を基にKPMG作成
日刊工業新聞 2022年8月5日掲載(一部加筆・修正しています)。この記事の掲載については、日刊工業新聞社の許諾を得ています。無断での複写・転載は禁じます。
執筆者
KPMGコンサルティング
シニアマネジャー 守屋 有晶
