見出し画像

「街のDX」に欠かせないサイバーセキュリティとは?

 みなさん、こんにちは。
 突然ですが、みなさんが住む街では、どのようなデジタル技術が活用されているかご存じですか?
 今回は、各局支援の一環として行っているサイバーセキュリティのサポート活動について、デジタルシフト推進担当課長の声を交えながらご紹介したいと思います!

「街のDX」とサイバーセキュリティの同時推進の重要性

 東京都では、「スマート東京実施戦略」の3つの柱の一つに「街のDX」を掲げています。「スマートシティ」の名称の方がお馴染みかもしれませんが、「街のDX」とは公共施設や都民サービスのデジタルシフトのことで、データ共有と活用の仕組みをつくり行政サービスの質の向上を目指しています。東京都の「街のDX」施策には様々なものがあります。

 「街のDX」の実現は、都民のみなさんへの行政サービスの質向上が可能になる一方で、セキュリティの観点ではこれまでに発生し得なかったリスクも生じます。昨今、新聞記事でも日本全国の水道や電力などの都市インフラがサイバー攻撃の被害に遭うリスクについて取り上げられているところですが、こうしたリスクが「街のDX」の推進によって増加することがないよう、“DX”と“サイバーセキュリティ”を同時並行で推進していくことが求められています。

安全安心なデジタル社会の実現のために

 ここで、サイバーセキュリティについてお話しします。サイバーセキュリティとは、情報セキュリティの領域から紙媒体等の情報を除き、情報システムの安全性を加えたものです。東京都では、行動規範「デジタル10か条」の一つに「#5 安全安心なデジタル社会をつくろう」を掲げており、人々が安全安心に暮らせる社会の実現のためにも「街のDX」に用いる情報システムの安全性の確保は不可欠です。

「街のDX」を支えるIoTシステム

 都庁の各局でも、様々な政策目的のために「街のDX」を進めています。一見、各施策は多種多様に見えますが、実はその裏側にはIoTシステムという共通の存在があります。IoTとは、「Internet of Things」の略で、街に存在する様々な物がインターネットにつながることで、これまでにないサービスを提供できるシステムのことです。
 セキュリティの観点では、街のDX関連の各システムをバラバラに捉えるのではなく、共通して裏側に存在するIoTシステムの視点で捉えることで、対策を考えやすくなります。

 IoTシステムは一般的に、

・実際に触ることができる街の中にある物(IoT機器)
・IoT機器の各種センサーからの情報を溜めるデータ置き場(クラウド等)
・IoT機器とクラウド間の通信ネットワーク
・クラウド上で管理したデータを見るためのアプリケーション(PCやスマホ端末)

から構成されます。IoTシステムを構成するこれらの構成要素別に、必要となるサイバーセキュリティ対策のポイントは異なってきます。構成要素それぞれに求められる専門性は異なるため、「IoTシステム全体に精通」して且つ「サイバーセキュリティにも詳しい」人材は、そう多くはないとも言われています。
 IoTシステムのリスクは情報漏洩だけに留まらず、万一制御を失えば社会インフラを支えている機械が誤動作したり停止したりして、その結果、都民の安全性を守れなくなることです。このような恐れを現実のものとさせないために、IoTシステムのセキュリティを確保することはとても重要なのです。

セキュリティチームのデジタルシフト推進担当課長にインタビュー

 各局支援の一環としてサイバーセキュリティに関するサポート活動を行っているデジタルシフト推進担当課長(通称:DX課長)に直近数カ月間の活動について聞いてみました。DX課長の中には、IoTシステムの企画や開発プロジェクトのマネジメントをされてきた方もいます。

<鳥塚課長>
 各局支援の活動としては、先日水道局から研修講師依頼を受けて、「昨今のサイバー攻撃の情勢とシステム系セキュリティ対策等についての講義~街のDX とセキュリティ~」という講義を行ってきました。この講義では、IoTシステムを活用した街のDXに必要なサイバーセキュリティについて、制御系ならではの独自視点を交えて解説を行っています。
 また、区市町村DX支援の活動になりますが、区市町村職員に向けて、「サイバーセキュリティ勉強会 基礎編」を実施し、過去に自治体で起きた事例を基にセキュリティ事故の怖さについて学んだ後、情報セキュリティマネジメントシステム(ISMS)についての講義をしました。これは、セキュリティを実現・維持するための組織的なマネジメント活動の中で、職員一人ひとりの行動が大切なことを再認識していただくためのものです。
 技術的な部分も勿論重要ですが、それ以上に無知や無関心から来る正常化バイアス(セキュリティ事故は起こらないだろう等)はセキュリティを守る上で最大の敵だと考えています。組織の中の誰の中にも存在し得る「無知」が、別の誰かの中にある「知」に勝ってはいけないのです。このため、社会インフラを守る職員の方々や都民のみなさんに近い存在である区市町村職員の方々に対して、セキュリティの重要性を訴え続けていくことは、とても重要なことです。これからも継続して実施していきたいと考えております。

<池上課長>
 スマートシティのセキュリティを維持・改善していくためには、PDCAサイクルを回し、セキュリティポリシー等の見直しを継続的に行い、適切にセキュリティ対策を続けていくことが重要となります。また、セキュリティの知見を保有する人材の育成など、全職員のセキュリティリテラシーの向上が必要となります。
 そのため、DX課長は、都や区市町村がセキュリティポリシーを見直す際の助言・支援、職員向けセキュリティ研修資料の確認、研修支援などを実施し、組織としてのセキュリティリテラシーの向上に継続的に取り組んでいます。
 地道で長期的な支援活動となりますが、本取り組みが職員一人一人のセキュリティ対策に係る気づきとなり、意識や行動の変化に繋がればと考えております。

<永松課長>
 セキュリティの業務は、単に情報通信の砦として技術を駆使して情報の機密性や完全性、可用性を維持することだけにとどまらず、都や区市町村が新たに設ける情報システム等のセキュリティに関する各種相談をはじめ、ポリシーやトラスト策定にかかわる支援など多岐に渡って専門性を発揮しています。また、各区市町村が定める情報関連規程策定や改訂に向けた取り組みについても、より実務的に、より懇切丁寧に相談に応じた支援を行っています。
 セキュリティを担うDX課長には、「街のDX」を支えるための確かなセキュリティに関する高度な目利きが期待されています。「セキュリティには完璧はない」と言われますが、それでも可能な限りのアプローチができるよう日々活動しています。依頼される案件に対して、一歩先の具体的な提案に向けて、かゆいところに手が届くセキュリティの支援を心がけています。

<飯田課長>
 セキュリティ対策を実施し、丁寧に運用を行ったとしても、セキュリティインシデントが発生してしまう場合があります。被害拡大を防ぐことは重要な作業の一つですが、原因を特定し、根本対策や再発防止を実施することも重要です。それぞれのケースに合わせて、情報を分析するためには様々な知見が必要です。セキュリティインシデントに関する相談があった場合にはそれらの専門的な知見を活かし、早期解決ができるように支援を行っています。
 今後、IoT機器の発展により「街のDX」が推進されていくに伴い、IoT機器に関するセキュリティインシデントに関する相談が増えると想定されます。その場合、IoT機器の情報や、それらを用いたシステムの特性を理解している必要があります。今後、「街のDX」に関する相談があった場合に、迅速に対応に移れるように日々の情報収集などを通し、近い未来の脅威に備えています。

おわりに

 今回の記事では、「街のDX」に欠かせないサイバーセキュリティの重要性をお伝えすると共に、デジタルサービス局でセキュリティ関連の業務に取り組んでいるDX課長の声をご紹介しました。
 「ローマは一日にして成らず」の言葉通り、安全安心なデジタル社会をつくるために取り組むべきことは、まだまだたくさんあります。東京都では多くの方がセキュリティ向上の取組に携わっていますが、我々もその一人として、サイバーセキュリティに取り組んでまいります。