編集部からのお知らせ
量子コンピューティングへの注目
特集まとめ:高まるCISOの重要性
スマートシティーのセキュリティを考える

防災ソリューションにおける具体的なセキュリティ対策

佐々木弘志 (マカフィー)

2021-02-03 06:00

 米国時間2021年1月6日午後、Donald Trump大統領(当時)の支持者たちが国会議事堂に大挙して乱入し、4人の死者を出す事件が起こった。その要因となったTrump氏の発言を問題視したTwitterは同8日、8800万のフォロワーを持つ同氏のアカウントを永久停止する措置を取り、Facebookもこれに同調した。4年間のTrump氏の大統領としてのSNS上での発言が、あたかもサイバー空間上から抹殺されたかのようにも見えるこの措置は、米国の法執行機関によるものではなく、SNS運営企業のポリシーと判断によって迅速に実施された。

 この事件を対岸の火事と見ることはできない。なぜなら、「サイバー空間上のデータ」における幾つかの根本的な課題を浮き彫りにしているからだ。

  1. データの「有害さ」とはなにか
  2. データ管理ルールは誰が決めるのか
  3. 「有害な」データによる物理空間(人的行動も含む)への悪影響

 Trump氏の口癖として知られる“Fake news”は、一部のメディア報道に対して多用され、Trump氏がメディアを通さずにSNSを使ってダイレクトに、リアルタイムに国民に語りかけるという政治手法と合わせて、「データの真正性」についての象徴的な言葉として捉えることができる。

 しかし、本件で問題となったTwitter上の発言は、確かにTrump氏のものであるため「真正」といえるが、「真正」なものが「有害」であるという事態を、誰がどのように判断するのかは、主観やイデオロギーの排除が難しい(上記論点1)。また、アカウント永久停止という判断が、法執行機関ではなくSNS運営企業の判断で行われたことは、企業が提供するサービスである以上、当然の権利ともいえるが、一方でプラットフォーム企業があまりに巨大な力を得ており、実質のサイバー空間上のデータ管理者となっていることへの警鐘とも感じる(同2)。本件では、その「有害な」データがサイバー空間上で拡散し、群衆を動かした結果、人命に関わる事態に発展したため(同3)、問題の深刻さが際立つ結果となっている。

 本連載のテーマの一つであるスマートシティーのデータ活用における「信頼性」確保においても、これらの課題は無視できないものである。前回前々回は、経済産業省と総務省のセキュリティフレームワークやガイドラインを参照しながら、セキュリティ対策の考え方や仕様・設計検討段階からセキュリティを考慮することの重要性(セキュリティ・バイ・デザイン)について説明した。これから数回は、個別のスマートシティーソリューションについて、データ活用の「信頼性」を確保するための具体的なセキュリティ対策について解説する。

スマートシティーの防災ソリューションにおける最悪のセキュリティ事故

 今回は、スマートシティーの防災ソリューションを例に取って説明する。総務省ガイドラインのユースケースからシステム構成図を引用した(図1)。

図1.スマートシティーの防災ソリューションのシステム構成例(出典:総務省)
図1.スマートシティーの防災ソリューションのシステム構成例(出典:総務省)

 この防災ソリューションは、水位センサーや監視カメラから集めたデータを分析し、その結果をもとに、適切な場所での防災措置や住民への情報提供や避難指示などを行うものである。収集するデータには個人情報が含まれないため、情報システムのセキュリティ対策の観点からいえば、重要性が低いデータに分類される。確かに、これらの収集データが漏えいしたところで、自治体や住民への影響は少ないかもしれない。

 しかし、これらのデータは、最終的に住民の安全に関わるものであるから、「収集データが利用できない」「収集データが改ざんされる」という事態は、場合によっては深刻である。特にデータの改ざんについては、間違いに気が付かなければ、誤った避難指示などにつながるおそれがある。例えば、水位センサーのデータが利用できなければ、別の手段に頼るなどの対応策を取ることができるが、水位データが実際の数値よりも常に1メートル低い値に改ざんされていたら、誤りに気付くことができずに避難指示が遅れて、洪水による人的被害が拡大するかもしれない。

 こうして考えてみると、このソリューションにおける最悪のセキュリティ事故は、「住民に誤った災害情報や避難勧告が出されることによる安全(人命)に関わる被害」が発生することだといえるだろう。これを実現する一番簡単な方法は、実は収集データではなく、住民のスマ―トフォンやPCに送信する避難勧告指示を直接「改ざん」することである。もちろん同様の効果は、この指示を生み出すもとのシステムやデータを「改ざん」することでも得られる。いずれにせよ、防災ソリューションの「改ざん」が起こると、住民の安全に関わるセキュリティ事故のリスクがあると考えられる。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]