• Column
  • スマートシティのいろは

安心・安全な街づくりに向けた“サイバー空間”のセキュリティ【第27回】

藤井 篤之、鈴木 広崇(アクセンチュア ビジネス コンサルティング本部)
2023年7月20日

(1)ガバナンス

 スマートシティのあり方を決定するカテゴリーである。スマートシティ全体の取り組みや施策の方向性、取り組みを継続させていくためのルールや基本方針、組織体制の構築などが対象になる。

 最も重要なのが、スマートシティ全体にセキュリティに関する統一的なポリシーの策定である。セキュリティポリシーが存在しない、あるいは内容が不十分な場合、複数のステークホルダーが関係するスマートシティでは、セキュリティ水準の不整合が生じやすくなる。結果、スマートシティへのセキュリティ対策が不十分になり、脆弱な部分からインシデントが発生するリスクが高まり、スマートシティの住民やサービス利用者からの信頼低下につながりかねない。

 スマートシティのセキュリティポリシーとしては、情報セキュリティ基本方針、セキュリティ対策基準、データ取り扱い基準、インシデント対応手順などを具体的に策定する。それをスマートシティ全体のポリシーとして適用し、スマートシティの推進主体はもちろん、スマートシティでサービスを提供する事業者も確実に適用し、ステークホルダー間のセキュリティ水準に不整合が生じないように是正する。

(2)サービス

 スマートシティのサービスは、都市OSが管理するスマートシティの各種データを他のサービスと連携させたうえで、Webサイトやアプリケーションを通じて住民や利用者へ提供される。インターネット上に公開し、幅広く利用してもらうことが一般的であり、当然のことながら、インターネットを経由して、さまざまなセキュリティ上のリスクに晒される。

 代表的なリスクとしては、不正アクセスによる情報漏えいや、分散型サービス拒否攻撃(DDoS)によるシステム停止が挙げられる。こうしたインシデントが発生すると、住民や利用者の個人情報が外部に流出したり、利用したいサービスが使えなかったりといった被害に見舞われ、スマートシティ全体の信頼性が著しく低下してしまう。

 さらに、脆弱性を悪用した攻撃によってWebサイトのコンテンツが改ざんされると、同サイトを閲覧した利用者のPCがマルウェアに感染するという二次被害も考えられる。

 スマートシティを狙ったサイバー攻撃の事例としては、米ジョージア州アトランタ市で2018年3月に発生したランサムウェア攻撃がある。財務や法律、警察関係などのデータが暗号化され、各種料金の支払い用アプリといった住民向けサービスと、裁判所関連の情報閲覧アプリといった市庁内向けサービスの両方が利用不能になった。復旧するまでは、紙と電話による業務遂行を余儀なくされたという。

 こうしたリスクに対応するには、システムへの攻撃や侵入を防ぐセキュリティ機能(アクセス制御、認証機能、セキュリティ監視など)の実装、新たな脆弱性に関する情報把握とパッチ適用など、Webサイトやアプリのセキュリティ機能を適切に実装する必要がある。

(3)都市OS

 都市OSは、カテゴリー(4)のアセットから収集した情報を、主にサービスや他の都市OSとデータ連携するためのプラットフォームとしての役割を担う重要な情報インフラである。都市OSの機能が停止すると、あらゆるサービスに影響が及ぶだけに、極めて高い可用性が求められる。

 一般に都市OSは、クラウド基盤の活用が想定されている。プラットフォーム単体のセキュリティという観点から、外部からの攻撃を防ぐセキュリティ対策やセキュリティインシデントの未然防止など、(3)サービスと同様のセキュリティ対策の実施が求められる。万一、都市OS内がサイバー攻撃を受け、スマートシティにおける各種サービスにまで波及すれば、住民らへの影響は免れない。

 外部からの攻撃、侵入等を防ぐためには、企画・設計・開発段階から、さまざまなセキュリティ対策(都市OSへのアクセス制御、適切な権限設定、認証機能の実装、セキュリティ監視等)を実施し、適切に運用していく必要がある。

(4)アセット

 主にネットワークやデバイス、中継機器など、スマートシティのサービスに必要なデータを収集・生成し、都市OSへ送信するための機器群である。代表的なリスクにIoTデバイスへのマルウェア感染がある。特に最近は、IoTデバイスにマルウェアを感染させてボット化し、DDoSの踏み台にするといった攻撃が頻発している。

 アセットの停止やデータの改ざんは、アセットからのデータを利用するサービスに大きな影響を及ぼす。例えば、災害対策サービスにおける水位情報や気象情報の可用性や完全性が侵害されれば、間接的に人命に関わる事態を招き、非常に重大なリスクになる。

 こうしたリスクに対応するセキュリティ対策としてはまず、デバイスや中継装置などのアセットを適切に監視・管理する必要がある。大量のデバイスを保有するスマートシティでは、アセットの死活監視を実施するとともに、新たな脆弱性に関する情報把握とパッチ適用などを適切に講じる必要がある。