関連するソリューション
OT/産業制御系セキュリティ
先端技術部
エバンジェリスト 藤原 和紀 
エバンジェリストの藤原です。
2021年2月23日(富士山の日)、トヨタは静岡県裾野市にコネクティッド・シティの実証都市である「ウーブン・シティ(Woven City)」の着工を発表しました。2025年に入居を開始する予定とのことです。
コネクティッド・シティとはあらゆるモノやサービスがつながる街で、つながることにより生まれる新たな価値を、実際に人の住む町で実証するという構想です。
新しい暮らしに期待が高まる一方で、モノやサービスがつながることで生まれる新たな脅威も気になります。
今でも我々の身の回りではスマートフォンをはじめ、PC、TV、ビデオ、スマートスピーカー、白物家電まであらゆるものがインターネットに繋がることによって非常に便利だと感じていると思いますが、その反面外部からコントロールされるリスクも高まっており、Webカメラ等のカメラ付きデバイスではカメラを隠すカバーを備えるものも増えています。
それではスマートシティのセキュリティ対策はどのように考えられているでしょうか。
まずは事例ですが、まだスマートシティに対する攻撃の統計は出ていませんので、ビルのセキュリティ事情を見てみますと、普段我々の使うビルや商業施設もコネクティッド化が進んでいます。ビルディングオートメーションシステム(BAS)の元、エレベーター、空調、照明、監視カメラ、入退室、防犯システム等が集中管理されています。また、ビルエネルギーマネジメントシステム(BEMS)によってエネルギー使用量の見える化や自動制御を行っています。
これらのシステムは従来建物毎にシステム構築を行っていましたが、特にBEMSは省エネという効果が分かりやすく、クラウドによる普及が進んでいます。
Kasperskyが2019年に公表したスマートビルの調査によると、世界中の40,000のスマートビルを分析し、37.8%が悪意のあるサイバー攻撃の影響を受けていると発表しています。
内訳はスパイウェア(11%)、ワーム(10.8%)、フィッシング(7.8%)、ランサムウェア(4.2%)となっており、大半が一般のPCに対する攻撃のようです。しかし、機器がリモートコントロールされたり、ランサムウェアにより被害を受けたりする可能性もあるため、安心できる状況ではありません。
この為、クラウド化は自然の流れですが、侵入の可能性を考慮してシステムを構築することが重要です。
ビルは一例に過ぎませんが、先日も海外の上水道処理施設への攻撃がありましたように、我々の生活に欠かせないインフラも攻撃の対象となる場合があります。
※外部サイト:Kaspersky Threat landscape for smart buildings. H1
2019 in brief
余談ですが、一般家庭用にはホームエネルギーマネジメントシステム(HEMS)という電気の見える化が出来るシステムがありますが、製品化から10年近くたつもののほとんど普及しておらず、2020年の予測はわずか全世帯の3%に留まるとされています。
HEMSには回路毎の電力消費量のリアルタイム監視や、電気機器を集中管理できるというメリットがありますが、導入費用が10~30万ほど掛かりますので節電効果では回収できない可能性もあります。
電気の見える化はスマートメーターに置き換わったお宅については、東京電力の「くらしTEPCO」のように30分毎の電気使用量がサイトで確認できる仕組みも出来ていますので、お使いの電力会社のサイトを確認してみてはいかがでしょうか。
話を戻してスマートシティのセキュリティの状況を見てみましょう。
2020年3月に内閣府はスマートシティの構成要素やその関係性を示した「スマートシティリファレンスアーキテクチャ」を整理し、ホワイトペーパーを公表しています。
※外部サイト:内閣府 SIPサイバー/アーキテクチャ構築及び実証研究の成果公表
この中で都市OSという聞きなれない用語が登場していますが、都市OSとは「スマートシティの基礎プラットフォームとして都市オペレーティングシステム(OS)を定義し、都市OS において必要最低限のデータや認証等のやり取りルール(API)を定めることで、スマートシティ間でサービスやデータが相互に接続して効率よく流通するようになること」と定義されています。
要は、スマートシティのITシステムの事で、都市全体が効率よく安全に接続するためのシステムであり、データ連携の要として機能するものです。都市OSとして注目されているのは欧州の官民連携プロジェクトで開発/実証が行われたFIWARE(ファイウェア)というOSSベースのIoTプラットフォームが有名で、日本でも各地で実証実験が行われています。
一方、スマートシティのセキュリティについては、総務省が2020年10月に「スマートシティセキュリティガイドライン第1.0版」を公開しています。
※外部サイト:総務省 スマートシティセキュリティガイドライン(第1.0版)の概要
※外部サイト:総務省 スマートシティセキュリティガイドライン(第 1.0
版)
こちらを見ると、スマートシティのセキュリティにおいて注意すべき点が分かります。あくまでガイドラインですので、具体的な記載は少ないのですが、現時点での留意点が記載されており、特に「マルチステークホルダー間の連携」「データやサービスの信頼性の担保」の2点が取り上げられています。
スマートシティは当然単独の事業体で構築運営を行うわけではありませんので、複数の事業者、自治体というマルチステークホルダーで実施することになります。
その際、セキュリティに関するポリシーが各社に委ねられてしまう事を避けるため、共通ポリシーの作成が重要になります。
また、ステークホルダー間の責任分界点があいまいになると、セキュリティホールの放置や、インシデント対応が遅れる原因になりますので、責任分界点を明確化しスマートシティ全体としての体制を整備しておく必要があります。
続いてデータやサービスの信頼性の担保ですが、スマートシティはコネクティッドですので、あらゆるデータやサービスでステークホルダー同士が繋がっています。
その際、信頼性が低いコンポーネントが存在すると全体としてサービスレベルが低下し、事故の発生に繋がりますので、コンポーネントの適切な管理が行われていることが重要になります。
特にデータは改ざんによる被害や障害を防ぐ為に、適正に取り決められたデータのみが流通するよう、予め厳密に定義する必要があり、電子証明書などによる完全性・真正性の担保が必要です。
これらの適正な管理が欠けるとそのポイントがシステムの脆弱性となり、システムへの不正侵入、情報漏洩等のインシデントへと繋がる可能性が高くなります。
今後は検証が進めば細かい規定が規約化されることで、より連携が強固になると予想されます。それに合わせ、このガイドラインも今後スマートシティセキュリティ・セーフティ分科会の元、ブラッシュアップが進められる予定となっています。
ウーブン・シティの実証実験はこれから始まりますが、スマートシティプロジェクト自体は全国180以上が既にスタートしています。海外でも各国で実証実験が進み、既にGAFAやアリババ、テンセント等の海外企業がプラットフォーマーとして台頭しています。
その中でもウーブン・シティは一から街を作るという事で特に注目されるものとなっていますので、ここで得た知見を元に、将来的に都市開発のパッケージとしてワールドワイドで日本の存在感を増すことができるよう願いたいと思います。
それでは、また次回までしばらくお待ちください。
当サイトの内容、テキスト、画像等の転載・転記・使用する場合は問い合わせよりご連絡下さい。
エバンジェリストによるコラムやセミナー情報、
IDグループからのお知らせなどをメルマガでお届けしています。
