ラックによるスマートシティ・セキュリティを実現するための提案と、新たなる事業展開への布石とは？

ラックといえば、1980年代半ばに国内で初めてサイバーセキュリティに関わるサービス事業を始めたことで業界内において有名だが、いま新規事業として社会インフラの安全性を担保するためのセキュリティ分野にも果敢に挑戦しているところだ。同社 新規事業開発部 部長 兼 次世代セキュリティ研究所 研究員 又江原 恭彦 氏が「 スマートシティを実現するための提案とセキュリティの取り組み」をテーマに解説した。

サイバーセキュリティの変遷と、ラックがスマートシティを注視する背景

本題に入る前に、サイバーセキュリティに関する国内の歴史について簡単におさらいしておこう。1990年代は、攻撃者も自己顕示欲や悪戯心の愉快犯が多く、不正アクセスがあったとしても、それほど個々に大きな影響が出ない時代であった。

ところが2000年代に入ってICTの利用が進んだことで、大きなインシデントが起きて、情報セキュリティが着目されるようになった。この頃から、攻撃が金銭に関わるものになり、ユーザー側にも影響が出るようになってきた。

それが大きく転換したのは、マルウェアの脅威がクローズアップされた、クラウド時代の2010年代からだ。攻撃者側は不正アクセスにより、経済面で旨味を取れるようになった。攻撃ツールも比較的簡単に手に入り、個人的な犯行から組織的な犯行へと移っていった。 そして2020年以降、ご存じのようにコロナ禍における生活様式や働き方が激変。多くの企業がリモートワークを導入し、在宅でネットワークにつながる時代になった。そのため、個人が直接リスクを受けるリスクが高まり、セキュリティの考え方も大きく変える必要が出てきたのだ。

そこで今後、デジタル社会が構築され、スマートシティが登場してくる中で、特に重要になってくるのが社会インフラとしてのセキュリティ対策だ。従来までのように、法人の情報システムのセキュリティだけでなく、一般にも届くシステムも含めて、セキュリティを考慮しなければならない。これがラックがスマートシティを注視している背景なのだ。 過去のインシデントは情報漏洩が中心だったが、スマートシティの時代になると、今度は人命に直接関わるリアルな社会にも影響を及ぼす事故や事件が起きてくるかもしれない。そのような懸念から、サイバーとリアルの両方の視点でのセキュリティ対策が重要になるというわけだ。

現状のスマートシティ・セキュリティにおける違和感と懸念とは？

スマートシティを考えるうえで、1つのキーワードになるのがIoTである。すでに総務省でも「スマートシティ特有の問題として、IoTセキュリティ、個別システム、ガバナンスが重要である」と述べられている。たとえば内閣府のSociety5.0における「スマートシティリファレンスアーキテクチャ」では、定義すべきことを8階層に分け、それらにセキュリティの考え方を適用しようとしている。

そのような中で、又江原氏は少し違和感をもっているようだ。リファレンス・アーキテクチャでは、ユーザーの立場として「スマートシティアセット」（センサー、アクチュエータ、ネットワーク）が重要だといわれている。

「しかし実際には、上位レイヤーの事業者側におけるデータ連携などの議論が多く、下位レイヤーのユーザー側（自治体、地域住民、地域の事業会社）に提供されるサービスが無事に成立することが前提になり、その議論がなおざりにされている気がします」という。

もう1つ現状認識として考えたい点はが「ユーザーが安全のために費用を負担すべきなのか」「国内利用者は今後も増えていくのか」「全国一律のサービスが主流になっていくのか？」ということだ。又江原氏の見解は「いずれもノーである」という。

安全性については、従来から事業者側がファイアウォールやIPSを導入するなど、サービス提供者の責任であった。したがってスマートシティのセキュリティに関しても、地域の利用者がそのコストを負担するかというと、それは期待できない。また国内の人口が確実に減っていくなかで、スマートシティのサービスも抑えられていくだろう。さらに全国横並びで同一サービスを提供できるかも分からない。むしろ均一ではなく、多種多様なサービスや製品が現れるだろう。 そうなると1つの仮説としては「大都市圏は別としても、地方都市など各地域におけるスマートシティのサービスは規模も小さくなり、持続性が難しくなるかもしれない。そのためサービス提供者側としても、個々にセキュリティ対策を講ずることが困難になる」と考えられるのだ。

ラックが提供するセキュリティ分析サービス「town」とは何か？

こういった懸念に対して、いまラックが解決策として提唱している取り組みがある。それが街全体を見守る総合的なセキュリティ分析サービス「town」だ。

townは「IoTセキュリティ」「サービスハブ」「データセキュリティ／利活用」という3つのキーワードで進めていく方針だ。ラック自体はセキュリティ分野の専門企業だが、IoTデバイス自体や、そこから吐き出されるデータの安全性、あるいはテストベットなどの検証環境なども産学連携を前提として進めていくことを考えているそうだ。

さらにラックのコア事業として検討しているのは、セキュリィに加えてデータ利活用の分野だ。防災・減災・防犯、モビリティ、医療などにフォーカスしてデータを溜め始め、局所的に地域を支援する利活用を模索している。そのための元データ更新やデバイス身元保証などを、ラック独自のプラットフォーム上（データ連携基盤）で実現し、各サービスを支えていく構えだ。

それとは別に、このtownを活用して、地域の事情を学びつつ、事業創出まで行う「Smart X」というチャレンジも示している。つまりラック自体が新規事業を展開する試みだ。 その実例として、又江原氏はサイバー攻撃からスマートシティの機能と住民を守るIoT遠隔制御のデモを紹介した。ドローンを利用し、地理的な条件をもとに、サービス地域以外からのアクセスを制御する実証実験を行った。もちろんドローンでなく、スマートフォンなどのデバイスでもコントロールが可能だ。これにより、地域で使える限定サービスなどを安全に提供できるようになるという。

さらに同社は今年度、防災・減災のために、北海道旭川市、新潟県妙高市、大分県姫島村、長崎県長与町といった自治体と一緒にIoT実証実験に取り組んでいるところだ。ほかにも内閣府スーパーシティの候補である北九州市や和歌山市とも連携していく方針だ。

またスマートシティのセキュリティ・セーフティ分科会を、総務省・OGCと共に主催しており、スマートシティ官民連携プラットフォームのガイドライン策定にも関わり、これをベースにチェックリストを出していくという。

事業主体者として活動し、街づくりへ参加する意義と、具体的なラックの取り組み

しかし最近こういったことを具現化していくうちに、又江原氏は再び少し違和感をおぼえるようになったという。

「やはりスマートシティということで、自分たちが事業主体者として活動し、街づくりへ参加することの重要性を痛感しました。たとえ街づくりの専門家でなくても、セキュリティ事業者の観点から、異分野の参入もありだと考えており、たとえば地域モビリティサービス事業などを思案中です」と又江原氏。 これは地域のミニマムモビリティとして、それぞれの地域に必要なモビリティ機能とは何かを検討し、局所的サービスを展開するなかで着想されたものだ。本当に求められるデバイスや通信機能を連携事業者と協力して開発し、安全性を担保する車両や地域内での運転支援機能などを順次実現していく構想だ。

又江原氏は「出来上がったものに対して、あとからセキュリティ機能を付与するのではなく、やはり事業側として最初から参画して安全な機能を付与していくことが大切です」と説く。 この地域モビリティサービスについては、まだアイデアベースだが、いま具体的に進んでいる取り組みとしては、前出の北海道旭川市におけるテレワーク施設があるという。ここでは単なるテレワーク運営だけでなく、施設内にセンサーを付けて安全性の担保を行う。まさに来年4月のオープンに向けて準備しているところだ。

最後に又江原氏は「スマートシティというリアルな街づくりは、絶対に1社だけでは実現できません。セキュリティ企業が街づくりに積極的に参加し、多くの関係者と連携して推進することが、とても大事になってくると思います」と強調した。

★town/SmartXの詳細、資料の請求はこちらよりも確認ください。