安心・安全な街づくりに向けた“サイバー空間”のセキュリティ【第27回】

攻撃者の活動をモデル化した「サイバーキルチェーン」に対応を

　スマートシティのサイバー空間におけるセキュリティは、上述したカテゴリーごとの対策を講じることが重要だ。ただし、セキュリティ機器を導入した際や、インシデントが発生したときの対応といった局所的な対策だけでは十分とは言えない。

　筆者らは、サイバー空間におけるセキュリティ対策については、4つの要諦で強化・運用する必要があると考えている（図3）。（1）ガバナンス、（2）予防運用・早期発見、（3）要塞化、（4）迅速な対応だ。

図3：サイバーセキュリティ対策における4つの要諦

　サイバー攻撃の高度化・巧妙化が進んだ現在、旧来のような“要塞化”による防御だけでは十分に対策し切れなくなっている。マネージドセキュリティサービスの活用やSOC（Security Operation Center）の設置といった取り組みも重要になる。

　スマートシティにおいても、サイバー攻撃者の一連の活動をモデル化した「サイバーキルチェーン」の考え方を採り入れ、侵入されることを前提にした網羅的なセキュリティ対策を講じることが望ましい。スマートシティに住む個々の住民、すなわち個人情報の適切な管理とセキュリティ対策の観点からも重要である。

　個人情報の保護には、上述したデータガバナンスが必要になる。データの収集・利用・保管のルールを明確化し、スマートシティが集めるデータが、どのように管理されるかを規定できていなければならない。住民自身が、どのデータが収集され、どのように利用されるのかを把握・管理できる必要があるからだ。

　住民自身によるオプトインによる個人情報の管理・活用も重要になる。例えば、病院での検査情報をヘルスケアサービス用アプリとの連携を許可するなど、住民が自身のデータをどのように利用させるかを自由に選択できることが求められる。

　同時に、住民がいつでも自分の情報の利用を停止する仕組み（オプトアウト）を担保する必要もある。住民が自身のデータの取り扱いを自ら選択できることが、スマートシティと住民との信頼関係を築くことにつながる。

　近年は、いわいる情報銀行のサービスも徐々に登場しつつある。情報銀行は、個人が自身のデータを安全に預け、それを必要とする企業等との間で適切にデータをやり取りする仕組みだ。住民のデータを適切に管理し、個人がデータの使用について自由に決定できるようにすることで、プライバシーの保護と、データの有効活用を通じた各種サービスの利用との両立を目指す。

　スマートシティは私たちの生活を豊かにする一方で、セキュリティのリスク対応も重要になってきている。サイバー空間における総合的なセキュリティ対策を推進しながら、住民の安心・安全を守るリアル空間におけるセキュリティも向上させることが求められる。