人を中心にした“まちづくり”

「ちがいを ちからに 変える街」をめざす渋谷区
実現に向けたポイントと必要なセキュリティは

現在、渋谷区では、スマートシティを積極的に推進している。産学官民の情報共有と連携を拡大し、その皮切りとして、区民のニーズや区が抱える課題をビッグデータで可視化し、問題解決につなげようとしている。渋谷区はどんなスマート化をめざし、何をやろうとしているのか、また、サイバー攻撃の被害が深刻化する中、これからのスマートシティにはどのような対策が求められるのか。渋谷区のスマートシティ推進を担当する加藤 茜氏と、NTTでサイバーセキュリティ戦略を担当する黒神 宗三氏に話を聞いた。
(取材時期:2021年5月)

目次

  • 渋谷区 経営企画部
    副参事 スマートシティ推進担当課長
    加藤 茜氏(左)
  • 日本電信電話株式会社 技術企画部門 セキュリティ・アンド・トラスト室
    Senior manager,CISSP
    黒神 宗三氏(右)

データによって現状を可視化し、各ステークホルダーと課題を共有

―― 今年度、渋谷区はスマートシティ推進計画に取り組んでいますが、その概要について教えてください。

加藤氏: 渋谷区では「ちがいを ちからに 変える街」という未来像の実現に向け、企業や研究機関、区に関わる人々と連携し、テクノロジーを活用しながら、スマート化の取り組みを進めていきたいと考えています。

そのための出発点として、区の現状を把握するダッシュボードを構築し、行政と各ステークホルダーとで課題を共有できる環境をつくろうと考えています。また、「どのような価値を創造するために、どのようにデータや技術を活用するのか」という、区のスマートシティの全体構想もつくっていく予定です。特にデータの利活用については「より安全かつ自由にデータを利活用できるか」という視点を持ちながら、その計画を策定していこうと考えています。

―― 自治体のデータ利活用では、データ公開がネックとなりがちですが、どのようなアプローチを取っているのでしょうか。

加藤氏: 行政ではあまりデータの活用が進んでいないのも事実ですし、先行する自治体では、「網羅的にオープンデータカタログをつくったものの、なかなか継続・活用が難しい」という話も聞いています。そこで、データの示す内容を直感的に理解できる「ダッシュボード」の構築から始めようと考えています。

というのも、「データを活用するとこんなことがわかるのか、こんな風に使えるのか」ということをわかりやすく伝えていきたいからです。ダッシュボードをハブとして、さまざまな主体との課題共有や、解決に向けた取り組みを進めていきたいと考えています。

今年度は行政が保有する統計データだけでなく、各ステークホルダーから提供されるデータや、センサーなどから収集されるデータを用い、渋谷区の産学官民連携の基盤となる「シティダッシュボード」のプロトタイプを構築する予定です。

図1:渋谷区が整備を進める「シティダッシュボード(仮)」のイメージ
まずは行政内で利用できるデータ基盤を整えた上で、行政外のステークホルダーがデータを利活用できるサイトを構築する計画。

データドリブンな区政の基盤となる「シティダッシュボード」

―― まずは庁内で利用するデータ分析基盤を整備した上で、各ステークホルダーがオープンデータを利活用できるサイトを構築するということですね。シティダッシュボードの整備によって、何が実現可能になるのでしょうか。

加藤氏: 例えば「快適な交通環境」という観点では、公共交通の利用状況や人流データ、道路の混雑状況などを組み合わせて分析することで、現状の課題を洗い出し、エリアや時間帯、属性に合わせた交通政策の最適化を図ることにつながるのではないでしょうか。

また、将来的には、画像・映像解析の技術により、「映像データ」を個人情報に配慮し活用することで、これまではデータとして把握できなかったことが分析でき、そこから得られるインサイト(見識)も大きいのではないかと期待しています。

いずれにせよ、行政が保有するデータをそのまま公開することも、情報の透明性という点では必要ですが、同時に、区民をはじめとする各ステークホルダーにとってわかりやすく、使いやすいかたちでデータを提供していくこともシティダッシュボードの役割です。その意味で、具体的なデータ活用・公開方法については、今後検討を重ねていく必要があると思います。

―― 区民の方の生活向上に向け、データドリブンな業務の最適化を進めているのですね。

加藤氏: そのとおりです。現在、「シティダッシュボード」による区の現状把握に加え、行政の各種事業がビジョン実現に向け順調に進んでいるのかについてもデータを用いながら把握する試みが進んでいます。具体的には、膨大な事務事業の洗い出しと整理を行い、各事業の目標に対する進捗状況、予算や人的リソースなどの分配情報の整理、分析を始めています。

今後必要となるのは、単に事業を実施するだけではなく、事業の改善を適切に行う仕組みをつくっていくことだと考えています。その上で、行政だけではどうしても解決できない課題を、民間企業や住民に対して開いていく。そうすることで、各ステークホルダーの協力を、より的確な形で求めていくことが、これからの公共のあるべき一つのかたちだと思っています。

図2:リソースを出し合い、可能性を共創する社会へ
渋谷区では「ちがいを ちからに 変える街」という基本構想に基づき、産学官民が連携して、新しい渋谷区の可能性を共創する取り組みを進めている。

―― 渋谷区がデータの利活用を進めていく上で、乗り越えなければならない壁や、配慮すべきポイントとは何でしょうか。

加藤氏: わかりやすく、使いやすいかたちでデータを整備する「ダッシュボード」があるだけでは、データの利活用は進みません。データを使う機会をある程度強制的につくり、あわせてデータを活用できる人材育成が必要だと考えています。

また、安全かつ自由度の高いデータ活用を進めるために、データに関する概念や規則、技術等について民間企業や外部の知見を学ぶ必要があると感じています。

そして、データを扱う上で重要なのがセキュリティです。環境や技術が大きく変化すれば、今日、安全だったものが明日も安全とは限らないからです。とはいえ、行政内だけでその変化をキャッチアップすることは難しいので、積極的に外部から学び続けることが大切だと思っています。

サイバー攻撃の早期検知、敏速な対処で、被害を最小化

加藤氏: 今後まちづくりにおいてデジタル化が進めば、セキュリティリスクも増大すると予想されます。渋谷区でもセキュリティ対策は検討していますが、気を付けるポイントがあれば教えてください。

黒神氏: 渋谷区のスマートシティ構想を伺い、大きく分けて3つのセキュリティ上のポイントを考える必要があると思いました。
1つ目は、データを収集するセンサーやカメラ、そしてそれらのデータを活用して付加価値を提供するビル設備や電力設備など「IoT機器やOT(Operational Technology)設備のセキュリティ確保」です。日本でサイバー攻撃の標的となった通信関連機器の約半数がIoT機器といわれ*、IoTのセキュリティ体制の整備が急務となっています。まちの中に無数のIoT機器が設置されれば、サイバー攻撃にさらされる対象も激増します。また、街中のセンサーから、位置情報や健康情報などの膨大な個人情報が集まってくるため、万が一データが流出すれば、大きなリスクになります。

*デジタルで全てがつながる時代 サイバーセキュリティで守る都市の安全・安心
https://digital-is-green.jp/branding/human-centered/matsubara.html

2つ目は、データを集約・分析し、ダッシュボードを提供する役割を担う「サーバ周りのセキュリティ確保」です。先ほどもお話しいただいたとおり、サイバー攻撃は日々増加・巧妙化しています。最近はコロナ禍の中、テレワークをしている人々を狙ったサイバー攻撃も増えていることもあり、これまでのようにネットワークの入り口と出口だけを守っていても、対処しきれません。今後は、ユーザー単位、デバイス単位でのより細やかなセキュリティ制御が必要となります。

3つ目は「データ・プライバシーの問題」です。これは、プライバシーに配慮し、住民の理解を得ながら、データ収集を進める必要があるということです。なお、政府も個人情報保護政策について見直しを図る予定と聞いています。

加藤氏: どれも重要なポイントですが、行政という観点では具体的にどのようなセキュリティリスクが考えられるのでしょうか。

黒神氏: 先ほどのシティダッシュボードのお話にあったように、スマートシティでは、センサーや監視カメラ、認証カメラといったIoT機器からデータを収集します。これらの機器が収集したデータは、例えば「人流を把握して、まちの混雑状況を把握し、民間企業のサービスに誘導して需要を喚起する」といったことに使われています。IoT機器で集めた情報を基に、ITを活用して交通や電力設備といったインフラ系のOT設備と連携するケースも多く、IoT/IT/OTをトータルで守ることは大変重要になっています。

社会的影響度が高い情報や施設は格好の標的です。サイバー攻撃に遭うと、さまざまなサービスがストップしてしまうので、それを盾にして身代金を請求する「ランサムウェア」というウイルスを使ったサイバー攻撃が、ここ数年多発しています。

加藤氏: 例えば石油やプラントといった設備については、設計段階から、相当高度なセキュリティレベルが組み込まれていると思います。それでも被害に遭ってしまう。スマートシティではどの程度までやれば安全といえるのでしょうか。

黒神氏: 従来のまちづくりでは、まちの重要インフラ部分は閉域ネットワークでつくられることが多かったのですが、スマートシティではITとの連携/融合が進み、AI技術などを駆使して、さまざまな設備を自動制御するケースが増えています。つまり、これまで閉域ネットワークだったものが、ITネットワークと相互接続されるようになってきています。

ところが、ITネットワークの多くはインターネットに接続されているので、インターネットを経由して重要インフラ設備までサイバー攻撃にさらされてしまう懸念が生じているわけです。これは、スマート化による付加価値追求の副作用でもありますが、「セキュリティリスクがあるからスマート化しない」ということではなく、適切なセキュリティ対策でリスクを回避や軽減しつつ、スマート化に積極的に取り組むべきだと考えます。

それでは、どこまで対策をすればいいのか。残念ながら最先端の技術を導入しても、100%侵入を防ぐのは不可能です。そのため、視点を変えることが必要です。重要なのは、サイバー攻撃をいかに速やかに検知し、対応するかです。「検知と対応のスピード感を速めて、被害を最小限に食い止める」のが、これからのセキュリティ対策の基本的な考え方なのです。

図3:スマートシティへのサイバー攻撃の脅威
スマートシティではIT/IoT/OTサービス同士が接続され、データの利活用が加速。それに伴い、サイバー攻撃による脅威が深刻化している。

常に最新のセキュリティ対策を採り入れ、スマート化を推進したい

加藤氏: スマートシティにおいては、セキュリティを担保しながらデータの利活用を進めていくことが求められていますが、そのためには具体的に計画段階からセキュリティを考えていく必要がありますね。

黒神氏: そのとおりです。まず、計画している取り組みの内容を基に、守るべき重要なアセット(管理情報や設備資産等)を洗い出し、セキュリティのリスク評価を行います。「具体的にどのようなリスクがあるのか」を勘案し、最低限やるべき項目をリストアップするとともに、優先順位付けをしていきます。その上で、実際に対策を検討していくことが最初のステップです。

その後のシステムやセキュリティ機能の構築やセキュリティ監視等の運用については、弊社グループを含めた民間へのアウトソーシングを活用されてもよいかと思います。ただし、例えば、ランサムウェア攻撃の場合、今年5月に発生した米コロニアル・パイプライン事件*のように、さまざまな業種の経済活動や国民生活に多大な影響が出ることもあり得ます。そうしたセキュリティ上の重大事件が起こった場合、自治体側で誰に何を連絡するのか、最終的な判断を誰がどのようにするのかなど、事前に対応要領を決めていただく必要があります。さらに、そうした統制が実際に計画どおり機能するのかを確認する訓練の定期的な実施も必要になるでしょう。この点は地震などの災害時の防災・減災に向けた取り組みと同様の考え方です。ただし、NTTセキュリティ社(現NTT Limited社)の2019年の調査によると、サイバー攻撃の対応要領を事前につくっている組織は世界にわずか52%しかありません。

*5月上旬、米国最大の石油パイプライン「コロニアル・パイプライン」がランサムウエア攻撃により一時的な石油運輸の閉鎖を強いられた事件。この影響で、ニューヨーク州など、東海岸の地域では一時的に燃料不足の状態に陥った。

加藤氏: なるほど。もしよろしければ、通信をはじめとした社会インフラと密接に関わる事業を展開しているNTTグループさんの取り組みも少しご紹介いただいてもよろしいでしょうか。

黒神氏: 先ほど申し上げたとおり、100%侵入を防ぐ方法は無いため、「いかに速く検知して敏速に対処するか」が非常に重要なポイントと考えています。

一例として、「IoT機器やOT設備のセキュリティ確保」について考えてみましょう。先ほど、日本でサイバー攻撃の標的となった通信関連機器の約半数がIoT機器といわれているとお話をしましたが、それであれば「IoT機器にセキュリティ機能を導入すればいいじゃないか」という意見もあると思います。実際に、中央省庁や民間ベンダーなどにてそういう議論が進んでいます。ただし、これらの実現にはもう少し時間がかかりそうです。

また、スマートシティが広域になると膨大な機器が必要になるため、すべてのIoT機器にセキュリティ機能を埋め込むことは、コスト面からいっても現時点では限界があります。そもそも、IoT機器はコスト観点からも、メモリ容量や処理能力が限られるため、セキュリティ機能を十分に盛り込めるだけの余力が無いのが現状です。このため、セキュリティGW(ゲートウェイ)にて複数のIoT機器をまとめて検知・対応できる仕組みをつくることが現時点での実効的な策だと考えています。

さらに加えるならば、先にお伝えしたとおり、スマートシティでは、IoT機器だけでなく、IT/IoT/OTが相互接続されるため、これらが混在する環境下ですべての検知・対応ができる仕組みも必要となります。そこで、NTTグループは、昨年、米国サイバーセキュリティ企業のTanium(タニウム)社と戦略的提携を行いました。

Tanium社は大規模なネットワーク環境でITデバイスの状態を素早く可視化し、瞬時にソフトウェアや最新のパッチを配布・適用可能な最新技術を保有しています。一方、NTTグループは、グローバル規模で収集した最新の脅威情報や、高度なセキュリティ人材による分析力を有しており、また、研究所が開発したIoT/OT環境向けのセキュリティ異常検知技術も保有しています。

こうしたTanium社の強みとNTTグループの強みを組み合わせることで、スマートシティのように面的に広がるネットワークに対して、セキュリティ上の脅威を速やかに検知し、迅速に対処できるサービスを提供し、IT/IoT/OT混在環境にてトータルでセキュリティ確保していきます。

図4:スマートシティでのセキュリティソリューション展開例
【参考:報道発表】
NTTとTaniumスマートワールドを安心安全に支えるセキュリティソリューション展開に関する戦略的提携に向け合意
https://group.ntt/jp/newsrelease/2020/04/27/200427a.html

―― 今後、渋谷区では、スマートシティの実装に向けてどのように取り組みを進めていくのでしょうか。

加藤氏: 一口にスマート化といっても領域は広いのですが、まずは区民の方の便益を一番に考えながら取り組んでいきたい。そのうえで、セキュリティに関する技術と考え方もアップデートし続けていく必要があると思います。区民にとってのメリットとデメリットを十分検討しながら、取り組みを進めていきます。

ただし、それを自分たちだけでカバーするのは難しい。そのためスマートシティ推進だけでなく、その実現に不可欠となるセキュリティも、外部と連携しつつ、エコシステムを広げていきたいと考えています。

黒神氏: 自治体が、限られた人材と予算の中で最先端のセキュリティ知識を得ていくためには、サイバーセキュリティ関連のガイドラインを活用し、また産学官コミュニティと連携しながら、常に最新の情報を収集することが重要です。

直近では、総務省が「スマートシティセキュリティガイドライン」を制定して公開しておりますので、まずはそれをご確認いただくとよいと思います。そのほか、スマートシティを巡りさまざまな動きが産学官で起きています。NTTグループと致しましても、渋谷区をはじめ各自治体に役立つ最新情報のご提供やご支援をしてまいりたいと考えています。

参考