安心・安全な街づくりに向けた“サイバー空間”のセキュリティ【第27回】

　IoT（Internet of Things：モノのインターネット）センサーやカメラが多数設置され、多種多様なデータを扱うスマートシティは、デジタル技術に強く依存している。それだけに、サイバー攻撃のリスクに常に晒されており、堅牢なセキュリティ対策が不可欠だ。

　サイバー攻撃者は、セキュリティ対策が脆弱な部分を突いてサービス不能や情報搾取を狙った攻撃を仕かけてくる。ひとたび攻撃が成功すると、重要な情報インフラやサービスが停止し、大きな混乱が引き起こされる怖れがある。不正アクセスによって機密情報や個人情報が搾取されれば、住民のプライバシーが侵害されたり悪用されたりする危険性も考えられる。

　特に近年、注意を要するのがランサムウェア攻撃による被害である。ネットワークに侵入し、システムをサービス不能もしくはデータを暗号化することで“身代金”を要求するランサムウェアは今も猛威を振るっている。スマートシティ領域と関係性が深い、建設や公共サービス、エネルギー、不動産、ヘルスケア、教育といった業種業界もランサムウェア攻撃の標的になっている（図1）。

図1：ランサムウェア攻撃の標的となった業界

　サイバー攻撃の被害を回避するためには、システムやデータが集中する情報インフラやネットワーク、エッジデバイス、サービスを守る堅牢なセキュリティ対策が欠かせない。サイバー空間のセキュリティを担保することは、スマートシティの住民が安心・安全にサービスを利用し、快適に暮らすうえで必要不可欠な施策である。

　とはいえ、スマートシティにセキュリティの仕組みを実装することは、そう簡単な話ではない。なぜならスマートシティの情報基盤をはじめ、各種サービスやアプリケーションの提供には地方公共団体や民間事業者など、さまざまなステークホルダーが関係しているからだ。そこで総務省は2020年10月、『スマートシティ セキュリティガイドライン』の第1.0版を提示。2021年6月には『第2.0版』に改訂した。

ガイドラインは4つのセキュリティカテゴリーを提示

　『スマートシティ セキュリティガイドライン』は、スマートシティにおけるセキュリティのカテゴリーを（1）ガバナンス、（2）サービス、（3）都市OS、（4）アセットの4つに分類し、それぞれのリスクや考え方、必要な対策をまとめている（図2）。これらのカテゴリーは、内閣府が定義した『スマートシティ リファレンスアーキテクチャ』の構造をベースに、スマートシティの構成要素で確保すべきセキュリティを各層に当てはめ再整理したものである。

図2：「スマートシティリファレンスアーキテクチャ」を踏まえた『スマートシティ セキュリティガイドライン（第2.0版）』によるカテゴリーの分類