Table of Contents
1. ガイドラインの背景と目的
1.1. 背景
スマートシティは、先進的技術の活用により、都市や地域の機能やサービスを効率化・高度化する事で各種の課題の解決を図るとともに、快適性や利便性を含めた新たな価値を創出する取組である。「統合イノベーション戦略 2020」(令和2年7月 17 日閣議決定)では、Society5.0 の先行的実現の場としてスマートシティが位置づけられ、関係府省庁の連携の下で取組を推進していくこととされている。
他方で、スマートシティ内では多数のセンサーやカメラ等の IoT 機器が散在し、かつ多様なデータが取り扱われるという特徴を持っているため、常にサイバー攻撃のリスクにさらされる恐れがある。さらに、近年のスマートシティではその地域の住民の安全に関わるサービスなど、提供されるサービスの範囲や重要性が拡大しつつあることから、安全・安心なスマートシティサービスを提供するために、スマートシティのセキュリティの実装が求められることが想定される。また、スマートシティではルール作りやシステム構築・運用などに多様な主体が関わることから、スマートシティのセキュリティを実現するためには関係者間で共通認識を醸成しつつ、適切にセキュリティ対策を実施する必要がある。
そのため、今後、地方公共団体を始めとする様々な地域において、安全・安心なスマートシティが実現できるよう、本ガイドラインでは、学識者、自治体有識者、スマートシティ及びセキュリティに関わる ICT 企業等の有識者からなる検討会を通じて、スマートシティのセキュリティの考え方やスマートシティを実現する上で実施することが推奨されるセキュリティ対策等について整理した。
本ガイドラインが、スマートシティの推進に関わるあらゆる主体において安全・安心なスマートシティを実現するにあたっての参考となることを期待する。
1.2. 目的
本ガイドラインの最終的な目標は、安全・安心なスマートシティの実現に寄与するとともにスマートシティの普及促進を図ることである。本目標を達成するためには、スマートシティのどこにどのようなリスクが存在し、そのリスクに対してどのような対策が必要となるかを理解する必要がある。上記を踏まえ、本ガイドラインの具体的な目的は以下の通りである。
- スマートシティの推進に関わるあらゆる主体において、セキュリティの観点で見たスマートシティの構造を把握する
- 各関係主体が、スマートシティを構成する各要素それぞれにおけるセキュリティ上のリスク及び実施すべきセキュリティ対策を把握する
- 各関係主体が、スマートシティの特徴を踏まえたスマートシティ特有のセキュリティ上のリスク及び実施すべきセキュリティ対策を把握する
1.3. 関係主体の定義
スマートシティでは、その推進に多様な主体が関わることから、まずは関係主体について表1-1のとおり定義する。本ガイドラインは内閣府の戦略イノベーション創造プログラム(SIP)において定義されているスマートシティリファレンスアーキテクチャ(以下、「リファレンスアーキテクチャ」という。)を前提としていることから、リファレンスアーキテクチャ内で使用されている関係主体に関する用語については、基本的に同一の定義とする。一方で、リファレンスアーキテクチャ内で明確に定義されていない用語については本ガイドラインで新たに定義する。
表1-1の定義はスマートシティを推進する上で一般的と思われる体制を前提に整理している。個々のスマートシティにおいて、ここに示す定義とは異なる定義が用いられている場合や、複数の定義を満たす主体の存在が想定される場合は、適宜読み替える必要がある。
表1-1 本ガイドラインにおける関係主体の定義
用語 | 定義 |
サービス利用者(受益者) | スマートシティサービス1の提供の対象として、その提供ニーズを有する主体のこと。なお、提供されるサービスによっては、サービス利用者がデータを提供することもある。 |
サービス提供者 | (サービス利用者に対して)スマートシティサービスを提供する主体。 |
推進主体 | スマートシティ全体の推進・運営に関して責任・決定権・主導権を持つ主体。本ガイドラインにおいては地域協議会や地方公共団体などが推進主体に該当し、当推進主体から業務委託を請けるベンダ等は含まない。 |
投資家・データ等提供者 | (時に対価を目的として)スマートシティやスマートシティサービスの開発・運営に必要となるリソースを提供する主体。 |
都市 OS ベンダ | 「推進主体」からの業務委託等を請け、都市 OS の構築・運用を実施する事業者を指す。 |
データ提供事業者 | 「投資家・データ等提供者」の内、IoT 機器等からデータを収集し、都市 OS へデータを提供する事業者の総称を指す。 |
IoT 機器ベンダ | 「データ提供事業者」や「サービス提供者」に対して IoT 機器を提供する事業者を指す。 |
セキュリティサービス事業者 | 「推進主体」からの業務委託等を請け、スマートシティの全体または一部のセキュリティ監視等のセキュリティに関するサービスを実施する事業者を指す。 |
マルチステークホルダ | 「サービス提供者」「推進主体」「都市 OS ベンダ」「データ提供事業者」「IoT 機器ベンダ」「セキュリティサービス事業者」「サービス利用者」などのスマートシティ推進に直接的又は間接的に関与する主体の総称を指す。本ガイドラインでは基本的にスマートシティサービスを提供する主体の総称として使用しているが、「サービス利用者」もスマートシティを共創するマルチステークホルダの一員となる。 |
1.4. 対象範囲
本ガイドラインにおける対象範囲は、下記の通りとする。
- スマートシティのセキュリティを実現する上では管理的な面と技術的な面、双方からのアプローチが必要であることから、本ガイドラインでは管理的対策、技術的対策のいずれも対象範囲として捉える
- 本ガイドラインでは基本的に、スマートシティサービスを提供する主体であるマルチステークホルダが実施すべきセキュリティ対策について言及することとする
- スマートシティで取り扱われるデータや情報は、サービスの利用範囲の拡大に伴い、オープンデータだけでなく重要な情報についても取り扱われるケースが増えていることから、本ガイドラインではオープンデータ及び重要な情報の双方に対してセキュリティを担保することを前提とし、必要と思われるセキュリティ対策等について言及する
- スマートシティでは利用者の個人情報を取り扱うケースが想定されることから、プライバシーに対する考慮が必要となるが、当然その中にはプライバシー情報のセキュリティへの考慮も含まれている。そのため、プライバシー情報のセキュリティ確保のために有用な要素(データの機密性や完全性担保などの安全管理の実施等)に関しては、本ガイドラインの対象範囲に含める
- スマートシティサービスは多種多様であり、サービスによってはその地域に住んでいる住民の安全に関わるサービスも存在する。 そのため、セキュリティ対策の不備が要因となるセーフティに関するリスクについても対象範囲に含める
なお、本ガイドラインに記載されているリスクやセキュリティ対策等は、スマートシティを構築・運用するにあたり、特に検討・実施することが推奨される事項について記載しており、網羅的な記載とはなっていない。そのため、本ガイドラインの読者においては本ガイドラインを自身が関与するスマートシティにおけるセキュリティ対策を検討するための参考としていただくとともに、必要に応じて本ガイドライン以外の国際規格やガイドライン等を参照することを推奨する。(国際規格やガイドライン等については、「3.1.1 ガバナンス」や【Appendix】A 「参照すべき法令・ガイドラインの一覧」に一部を記載する。)
また、上述の対象範囲の中で、「本ガイドラインでは重要な情報に対してセキュリティを担保することを前提」 と言及しているが、スマートシティ内で取り扱われる情報資産に対するリスク評価や、実施するセキュリティ対策、その対策の実施主体などは、それぞれのスマートシティのサービスやビジネスの形態に大きく依存することから、スマートシティごとに検討する必要があることに留意する。
その他、スマートシティは交通や医療といった様々な分野において活用されることが想定されるが、本書においてはそれぞれの分野で共通的に発生することが想定されるリスクや実施すべきセキュリティ対策について記載していることに留意する。
1.5. 想定読者
本ガイドラインの想定する対象読者を以下に示す。
① 推進主体
本ガイドラインの主となる想定読者。スマートシティを管理・運営する主体であることから、管理的な側面でのセキュリティ検討が重要となる。また、推進主体はスマートシティ全体を把握することが望ましいことから、技術的な対策を直接実施する主体ではないとしてもスマートシティ全体におけるリスクや対策を把握することが求められる。
② サービス提供者、都市 OS ベンダ、データ提供事業者、IoT 機器ベンダ、セキュリティサービス事業者
推進主体と連携し、主に技術的なセキュリティ対策の実施が求められる主体。推進主体からの業務委託や提携を請け、それを踏まえたそれぞれの責任範囲におけるセキュリティ対策を実施することが基本となるが、他の主体と連携して対処が求められるところもあるため、幅広くセキュリティ対策について把握している事が望ましい。
1.6. 全体構成
本ガイドラインは、「1.ガイドラインの背景と目的」、「2.スマートシティセキュリティの考え方」、「3.スマートシティにおけるセキュリティ対策」、「4.セキュリティ検討のための補助コンテンツ」の4章から構成される。
- 第1章においては、本ガイドラインの背景、目的、関係主体の定義、対象範囲、全体構成等を示す。
- 第2章においては、本ガイドラインの前提となっているリファレンスアーキテクチャの構造について紹介すると共に、スマートシティのセキュリティを検討する上での構造の分類について整理し、それぞれの分類におけるセキュリティ上のリスクやセキュリティ対策の方向性を示す。
- 第3章においては、第2章で整理した分類に基づき、それぞれにおいて特に必要とされるセキュリティ対策の詳細や、具体的なセキュリティ対策の事例を記載する。
- 第4章においては、セキュリティを検討する上での補助コンテンツとして、幅広くリスクとセキュリティ対策を取りまとめた一覧表を紹介すると共に、本ガイドラインに記載されているセキュリティ対策が実施できているかを確認するためのチェックシートについて記載する。
1.7. 活用方法
上述の全体構成を踏まえた本ガイドラインの活用方法を以下に示す。
- 第1章において、本ガイドラインの背景、目的、関係主体の定義、対象範囲、全体構成等を理解する。
- 第2章において、スマートシティにおけるセキュリティ観点で見た構造の分類について理解する。また、それぞれの分類におけるリスクと対策の方向性を理解する。
- 第3章において、それぞれの分類における具体的なセキュリティ対策について理解する。
- 第4章において、自身が推進するスマートシティの分野や特性を踏まえたリスク分析を行った上で、リスクやセキュリティ対策の一覧表を参考に、実施すべきセキュリティ対策を検討する。また、チェックシートを活用して自身のスマートシティにおけるセキュリティ対策の網羅性をチェックする。
参照
「スマートシティセキュリティガイドライン(第2.0版)」(案)に対する意見募集
https://www.soumu.go.jp/menu_news/s-news/01cyber01_02000001_00109.html