見出し画像

東京版スマートポールサイバーセキュリティに関する取組について

デジタルサービス推進部(東京都 公式)

こんにちは。次世代通信推進課です。
今日は、セキュリティの取り組みについてご紹介したいと思います。
以前、私達の課の取り組みで、こちらをご紹介しました。

これらのスマートポールには、5G、高速Wi-Fiの他に、カメラ、USB充電やセンサーなどといったIoT機器も搭載されています。
今後スマートポールの数を増やし、データを利用した都民に対する施策も考えております。
今後も「つながる東京」の実現に向け展開をしていくのですが、ふと立ち止まって見ると、「このカメラは、安全なのだろうか?」と思われるかもしれません。
近年のパスワード漏洩や、サイバー攻撃のニュースを聞くとちょっと気になりますよね。
今回は、そのサイバーセキュリティに関するお話です。

つながる機器は、常にピンポンダッシュを受けている?更には自分もピンポンダッシュ従事者になってしまう?

IoTは、今までの電化機器とは異なり、「つながる」という機能があり、データ漏洩でだけでなく、改ざんやなりすましなど、これまでにないセキュリティ脅威があります。
東京都ではセキュリティ分野でご活躍の有識者の方からご意見をいただき、東京都がとるべき対策に関して、どのように防ぐか、また発生してしまった場合の善後策などについて、ガイドラインを策定しています。

色々な側面から対策がなされるのですが、まずは技術的な対策からご紹介。

稀に、防犯目的で設置したカメラ画像がインターネットに公開されてしまっているというニュースを目にしますが、これはどうすれば防げるのでしょうか。
PCの場合は、ウィルス対策ソフトやOSのアップデートを行っています。これはプログラムの不具合等のセキュリティの穴に蓋をして、不正アクセスやウィルス感染を防ぐ脆弱性対策の手法です。
これに対してIoT機器は、一度設置すると手元にないのでPCで行っていたような対策をリモートから行うために開発設計の段階から計画的に行う必要があります。
また対策を行ったとしても、悪者も常に進化しており、脆弱性の継続的な対策やその他ファイヤーウォールによる通信のブロックなど、システムに合った個別の対策を行う必要があります。

では、これらの対策を行えばカメラはもう十分?と言われるとまだ不安です。
IoT機器は、常時インターネット接続を介して、常に悪者により不正アクセスできるか試されています。インターネットには住所にあたるIPがありますが、あなたが利用中の特定のIPであるかは関係なく、悪者はどこかアクセスできる機器がないか探しているのです。
実際、どれ位の攻撃が発生しているかは、NICT(国立研究開発法人情報通信研究機構)NICTER(https://www.nicter.jp/atlas)をみるとリアルタイムの情報として確認できます。

他にもGoogle等によるツール幾つかあり、海外や通信量等など他の可視化された状況も確認できます。
これだけ攻撃されていると自分も被害にあいそうですが、つながる機器のもう一つの怖さは自分も攻撃側に加担してしまう可能性があることです。不正アクセスにより一度ウィルスが機器に侵入できてしまうと不正プログラムをインスト―ルされてしまい、今度は自分の機器から不正攻撃に加担してしまうのです。これらの脅威への対策としては、玄関(ポート)に侵入されない工夫や、普段から来訪者(通信)数の確認や予期せぬ者がいないか確認することが大事です。

また、パスワードを設定すれば大丈夫と考えるかもしれませんが、IoT製品はよくデフォルトのアカウントとパスワードがあり、そのまま利用し続けてしまう場合があるので、必ず変更する必要があります。
更にTwitterのパスワードが見破られるという事実もあるので、人に推測されない適正なパスワード対策がとても大事です。

他にも脅威としてなりすまし、漏洩対策として暗号化などお伝えしきれない色々な脅威と技術的仕組みがあるので、守りたい情報にあった解決策をとるよう策定中のガイドラインでは求めています。
具体的な対策は各団体や組織によるノウハウなのでここでは秘密です。

(秘密といえば、私は秘密の国のアリスという副題の本で始めにセキュリティの勉強をしました。始めは秘密のメールから始まるのですが、最終的に主人公アリスは借用書を作ります・・・おとぎの国も進んでいます。)

技術的対策以外にもできることはあります!

先日、ある同僚職員から、万が一都庁で情報漏洩してしまった場合、どのような流れで都民へ説明するかというプロセスの話を聞きました。
これは、技術的な手法以外に組織的(人的)な対策をして、セキュリティ障害が発生してしまった際の対応・復旧時の対処です。
このように予め対応フローやそのマニュアルを準備し、都民・利用者の方に安心してもらえるよう心がけています。
万が一…っていつ起きるか分からないので、備えることが大事ですね。

これらは、震災や今のコロナと一緒なのかと思っています。
突然発生してどう行動したら分からない、どうなるか分からなかったら不安に感じます。
でも正しく恐れて事前に準備し日頃から心を配りながら行動すれば、安心に過ごせたりします。

セキュリティの他に同じくらい大事なことがあります

最後にこちらのNote冒頭で、「カメラは、安全なのだろうか」って書きましたが、映っても大丈夫?画像がどこかに使われていないかな?という視点もあると思います。
それは、プライバシーです。
こちらもセキュリティと同様私達の課でも取り組んでおります。
プライバシー分野の有識者の方から意見を仰ぎながら個人情報の定義・取り扱いや利用の目的等、守るべき規定をガイドラインにまとめており、利用者の方へわかり易く説明できるよう準備しております。
ぜひまた別の機会に紹介します!