スマートシティーのセキュリティを考える

コロナ禍から探るスマートシティーソリューションとセキュリティ対策のトレードオフ

佐々木弘志 (マカフィー)

2020-06-30 06:00

 先日、新型コロナウイルス感染症(COVID-19)対策の一環として、感染者と濃厚接触した可能性を知らせるスマートフォン用アプリの提供が厚生労働省から発表された。6月24日夕方現在で約419万ダウンロードを記録している。このアプリは、スマートフォンの持つBluetooth機能を活用し、ユーザーがお互いにアプリを利用している前提で、半径1メートル内で15分以上接触した時を濃厚接触と判断し、他者との接触情報をスマートフォン上に蓄積していく。もし、ユーザーが陽性と判定され、本人の意志で厚生労働省が管理する通知サーバーに陽性登録すると、過去に14日間にさかのぼって、陽性者と接触のあったアプリ利用者に通知されるというものである。

 このアプリの仕様は、接触時の位置情報や利用者の個人情報を用いないため、通知された人は、いつ、どこで、誰と接触したから通知が来たのかは分からない。また、システム構成上、管理者である厚生労働省であっても、クラスター追跡班が実施しているような感染者同士のつながりを追うことができない。ユーザーのプライバシーを尊重し、「新型コロナウイルス陽性者と過去14日以内に接触した」という情報のみを扱う仕様となっている。

 このような感染症対策の取り組みは、世界中で行われているが、「個人の自由とプライバシー」と「公衆衛生の維持」のトレードオフに対する各国の考え方が色濃く反映されており、国ごとに方向性が分かれているのが実情である。例えば、イスラエルの接触追跡アプリ「ザ・シールド」は、利用者の携帯電話のGPS情報とWi-Fi情報を収集し、感染者と同じ場所にいた場合に警告を送る。また、韓国の場合は、住民登録証とひも付いた携帯電話やクレジットカード、監視カメラの情報を用いてPCR検査陽性者の動線を調査・公開するだけでなく、自主隔離中の無断外出などを当局が把握するためのスマートフォンアプリや、違反者の再違反防止のために装着する電子リストバンドなどの運用が行われている。

 このようなポストコロナの感染症対策を有効化するためには、携帯電話の基地局・Wi-Fiアクセスポイント・監視カメラの設置場所や数、クレジットカードや個人情報との他のシステムで扱う情報との連携など、スマートシティーのシステム設計にも大きく関わってくる上、同時に、プライバシーとのトレードオフの議論なしには進められないだろう。

スマートシティーソリューション例のサイバーセキュリティのリスク洗い出し

 前回は、このような課題について検討するために、電気使用量の活用例のサイバーセキュリティリスクについて考察した。今回は、同様の手法を用いて、他のスマートシティーソリューションについても検討を行い、以下の表に整理した。それぞれのリスク評価については、厳密にはソリューションの実現方法に依存するため、あくまで傾向をつかむための目安と捉えてほしい。

 この整理を見ると、スマートシティーのソリューションのおける主なセキュリティ脅威は、利用者の「プライバシー」に関するものと、「安全」に関するものに大別されることが分かる。また、「プライバシー」はデータを集約・保存・分析しているところのリスクが高く、「安全」は、エッジデバイスや、分析結果を適用する先のリスクが高いことが分かる。

 例えば、「プライバシー」の例として、「無人店舗・自動決済」を見てみよう。顧客を顔認証などで認識し、その情報とひも付いたクレジットカード情報を用いて決済するソリューションの場合、それらのプライバシー情報の漏えいが主なセキュリティ脅威となるが、末端の監視カメラや店舗レベルでの漏えいよりも、それらのデータを集約・保存・分析する基盤での漏えいの方が、量・質ともにセキュリティリスクが高いことは自明である。

 しかし、個人情報が匿名化され、分析が終わった後であれば、その分析結果を活用する際のセキュリティリスクは低いといえる。一方で、「安全」の例として、「自動運転」を見てみると、ハッキングによる事故が主なセキュリティ脅威となるため、エッジデバイスである自動車の安全のリスクが高いのに加え、車からのデータをもとにした渋滞解消など、他の自動車との関係を制御するような機能が分析基盤にある場合、その分析基盤が改ざんされたり、分析結果が間違っていたりすると、やはり交通安全に影響があると考えられる。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    警察把握分だけで年間4000件発生、IPA10大脅威の常連「標的型攻撃」を正しく知る用語集

  2. セキュリティ

    まずは“交渉術”を磨くこと!情報セキュリティ担当者の使命を果たすための必須事項とは

  3. セキュリティ

    「2024年版脅威ハンティングレポート」より—アジアでサイバー攻撃の標的になりやすい業界とは?

  4. ビジネスアプリケーション

    Microsoft 365で全てを完結しない選択、サイボウズが提示するGaroonとの連携による効果

  5. セキュリティ

    生成AIを利用した標的型攻撃とはどのようなものなのか?実態を明らかにして効果的な対策を考える

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]