スマートシティでは、都市や地域の機能やサービスを効率化・高度化するためにさまざまなデータを取り扱っており、サイバー攻撃といったセキュリティリスクが高まっています。
KPMGは、内閣府が定義した「スマートシティリファレンスアーキテクチャ」を参考に、スマートシティのアーキテクチャをガバナンス・サービス・IT基盤・アセットの4個の領域に分類し、それぞれの領域におけるセキュリティ対策を支援します。
スマートシティにおけるセキュリティ対策支援の概要
スマートシティを実現するために参照すべきアーキテクチャとして、内閣府から「スマートシティリファレンスアーキテクチャ」が公表されています。
この「スマートシティリファレンスアーキテクチャ」の「戦略・政策」から「アセット」までの8層と、それらにまたがる「セキュリティ」という構成要素は、セキュリティ領域として、下図のように「ガバナンス」「サービス」「IT基盤」「アセット」という4個に再整理できると考えます。
4つのスマートシティセキュリティの領域
上記4個の領域におけるセキュリティリスクを考えるとき、「スマートシティリファレンスアーキテクチャ」を参照して総務省が作成した「スマートシティセキュリティガイドライン」が参考になります。
当該ガイドラインに記載されているセキュリティリスクは、スマートシティに固有ではない広くさまざまな組織においても当てはまるものであるため、現在KPMGが提供しているセキュリティ対応サービスと以下のように対応付けすることができます。
ガバナンス
<ガイドラインに記載されている主なセキュリティリスクの例>
- セキュリティポリシーの未整備による各ステークホルダー間でのセキュリティ水準の不整合を起因とした、セキュリティレベルの低いシステムおよびサーバへの不正アクセス等
<主な対応サービス>
サービス
<ガイドラインに記載されている主なセキュリティリスクの例>
- スマートシティのサービスにて利用するモバイルアプリケーションの脆弱性を突いたサーバへの攻撃による機密情報の漏洩
- スマートシティのWebサービスの脆弱性を突き、設置したマルウェアによるWeb情報の改ざん
- 悪意のある第三者に制御されたボットネットワークからのサービス妨害攻撃によるスマートシティの基幹システムの停止
<主な対応サービス>
- モバイルアプリケーション診断
- 脆弱性診断・ペネトレーションテスト
IT基盤
<ガイドラインに記載されている主なセキュリティリスクの例>
- 都市OSのデータ連携機能の脆弱性を悪用したサーバへの攻撃による連携情報の漏洩
- 都市OSの管理システムの脆弱性を悪用した外部からの不正アクセス
- 悪意のある第三者に制御されたボットネットワークからのサービス妨害攻撃による都市OSシステムの停止
<主な対応サービス>
- IDアクセス管理サービス
- セキュリティソリューション最適化支援
- 脆弱性診断・ペネトレーションテスト
- CSIRT高度化
- インシデント対応訓練・演習
- セキュリティ監視高度化支援
アセット
<ガイドラインに記載されている主なセキュリティリスクの例>
- IoT 機器等のデバイスへの物理的な不正アクセスによるマルウェア感染およびデータの改ざん
- IoT 機器等のデバイスの物理的な破壊によるシステムの停止
<主な対応サービス>
