東京都 デジタルサービス局 デジタルサービス推進部(旧 次世代通信推進課note)連動企画 第9回

【連載】東京版スマートポールサイバーセキュリティーに関する取組について

文●次世代通信推進課

  • この記事をはてなブックマークに追加
  • 本文印刷

 東京都 戦略政策情報推進本部 次世代通信推進課です。

 戦略政策情報推進本部は、東京の成長戦略やICT利活用の更なる推進のため、2019年(平成31年)4月に新たに設置された組織です。その中で、次世代通信推進課は、TOKYO Data Highwayの構築を推進し、いつでも、誰でも、どこでも「つながる東京」の実現に向け、取り組んでいます。

 都民の皆様がどこにいてもサクサクつながる環境を構築するため、全国初となる5Gアンテナ基地局を搭載するスマートポールの試行設置や通信事業者が5Gアンテナ基地局を設置しやすいように、行政財産を開放するなど様々な取組みを展開しています。こうした日々の取組みを都民の皆様に情報発信していきます。

 今日は、セキュリティーの取り組みについてご紹介したいと思います。

 以前、私達の課の取り組みで、こちらをご紹介しました。

■「日本初5Gアンテナ基地局搭載スマートポールの先行・試行設置について

※過去の連載記事はこちら:東京都 戦略政策情報推進本部 ICT推進部 次世代通信推進課note連動企画

 これらのスマートポールには、5G、高速Wi-Fiの他に、カメラ、USB充電やセンサーなどといったIoT機器も搭載されています。

 今後スマートポールの数を増やし、データを利用した都民に対する施策も考えております。

 今後も「つながる東京」の実現に向け展開をしていくのですが、ふと立ち止まって見ると、「このカメラは、安全なのだろうか?」と思われるかもしれません。

 近年のパスワード漏洩や、サイバー攻撃のニュースを聞くとちょっと気になりますよね。

 今回は、そのサイバーセキュリティーに関するお話です。

つながる機器は、常にピンポンダッシュを受けている?
さらには自分もピンポンダッシュ従事者になってしまう?

 IoTは、今までの電化機器とは異なり、「つながる」という機能があり、データ漏洩でだけでなく、改ざんやなりすましなど、これまでにないセキュリティー脅威があります。

 東京都ではセキュリティー分野でご活躍の有識者の方からご意見をいただき、東京都がとるべき対策に関して、どのように防ぐか、また発生してしまった場合の善後策などについて、ガイドラインを策定しています。

 色々な側面から対策がなされるのですが、まずは技術的な対策からご紹介。

 まれに、防犯目的で設置したカメラ画像がインターネットに公開されてしまっているというニュースを目にしますが、これはどうすれば防げるのでしょうか。

 PCの場合は、ウイルス対策ソフトやOSのアップデートを行なっています。これはプログラムの不具合などのセキュリティーの穴に蓋をして、不正アクセスやウイルス感染を防ぐ脆弱性対策の手法です。

 これに対してIoT機器は、一度設置すると手元にないのでPCで行なっていたような対策をリモートから行なうために開発設計の段階から計画的に行なう必要があります。

 また、対策を行なったとしても、悪者も常に進化しており、脆弱性の継続的な対策やその他ファイヤーウォールによる通信のブロックなど、システムに合った個別の対策を行なう必要があります。

 では、これらの対策を行なえばカメラはもう十分? と言われるとまだ不安です。

 IoT機器は、常時インターネット接続を介して、常に悪者により不正アクセスできるか試されています。インターネットには住所にあたるIPがありますが、あなたが利用中の特定のIPであるかは関係なく、悪者はどこかアクセスできる機器がないか探しているのです。

 実際、どれ位の攻撃が発生しているかは、NICT(国立研究開発法人情報通信研究機構)のNICTER(https://www.nicter.jp/atlas)をみるとリアルタイムの情報として確認できます。

Atlas | 国立研究開発法人情報通信研究機構 サイバーセキュリティ研究室
NICTER

 他にもGoogleなどによるツールがいくつかあり、海外との通信量といった他の可視化された状況も確認できます。

 これだけ攻撃されていると自分も被害に遭いそうですが、つながる機器のもうひとつの怖さは自分も攻撃側に加担してしまう可能性があることです。不正アクセスにより一度ウイルスが機器に侵入できてしまうと不正プログラムをインスト―ルされてしまい、今度は自分の機器から不正攻撃に加担してしまうのです。これらの脅威への対策としては、玄関(ポート)に侵入されない工夫や、普段から来訪者(通信)数の確認や予期せぬ者がいないか確認することが大事です。

 また、パスワードを設定すれば大丈夫と考えるかもしれませんが、IoT製品はよくデフォルトのアカウントとパスワードがあり、そのまま利用し続けてしまう場合があるので、必ず変更する必要があります。

 さらにTwitterのパスワードが見破られるという事実もあるので、人に推測されない適正なパスワード対策がとても大事です。

 ほかにも脅威としてなりすまし、漏洩対策として暗号化などお伝えしきれない色々な脅威と技術的仕組みがあるので、守りたい情報にあった解決策をとるよう策定中のガイドラインでは求めています。

 具体的な対策は各団体や組織によるノウハウなのでここでは秘密です。

(秘密といえば、私は秘密の国のアリスという副題の本で始めにセキュリティーの勉強をしました。始めは秘密のメールから始まるのですが、最終的に主人公アリスは借用書を作ります… おとぎの国も進んでいます)

技術的対策以外にもできることはあります!

 先日、ある同僚職員から、万が一都庁で情報漏洩してしまった場合、どのような流れで都民へ説明するかというプロセスの話を聞きました。

 これは、技術的な手法以外に組織的(人的)な対策をして、セキュリティー障害が発生してしまった際の対応・復旧時の対処です。

 このようにあらかじめ対応フローやそのマニュアルを準備し、都民・利用者の方に安心してもらえるよう心がけています。

 万が一… っていつ起きるか分からないので、備えることが大事ですね。

 これらは、震災や今のコロナと一緒なのかと思っています。

 突然発生してどう行動したら分からない、どうなるか分からなかったら不安に感じます。

 でも正しく恐れて事前に準備し日頃から心を配りながら行動すれば、安心に過ごせたりします。

セキュリティーの他に同じくらい大事なことがあります

 最後にこちらのNote冒頭で、「カメラは、安全なのだろうか」って書きましたが、映っても大丈夫? 画像がどこかに使われていないかな?という視点もあると思います。

 それは、プライバシーです。

 こちらもセキュリティーと同様私達の課でも取り組んでおります。

 プライバシー分野の有識者の方から意見を仰ぎながら個人情報の定義・取り扱いや利用の目的等、守るべき規定をガイドラインにまとめており、利用者の方へわかり易く説明できるよう準備しております。

 ぜひまた別の機会に紹介します!

◆この記事は、下記より転載しています
https://note.com/smart_tokyo