総務省「スマートシティセキュリティガイドライン（第2.0版）」公表、特有の留意事項について整理

総務省は6月30日、「スマートシティセキュリティガイドライン（第2.0版）」を公表した。

調査・レポート・白書・ガイドライン調査・ホワイトペーパー

2021.7.2 Fri 8:05

　総務省は6月30日、「スマートシティセキュリティガイドライン（第2.0版）」を公表した。同省では4月24日から5月24日までの間、「スマートシティセキュリティガイドライン（第2.0版）」（案）について意見を募集し、13件の意見提出があったため、当該意見に対する同省の考え方を取りまとめ本ガイドラインと併せて公表している。

　本ガイドラインでは、日本全国の地域や地方公共団体において安全・安心なスマートシティが実現できるよう、スマートシティのセキュリティの考え方や、スマートシティ特有のセキュリティ留意事項などについて整理している。

　スマートシティのサプライチェーンでは、それぞれのサービスや基盤を支える委託・再委託先や、様々な機器・ソフトウェアを供給する事業者など、多くの関係者が複雑に関与しているため、サイバー攻撃の起点が拡大することで発生する被害の影響範囲が広くなることが懸念されるため、「サプライチェーン全体のリスクを管理・把握する」「委託先のセキュリティ管理体制を評価する」「サプライチェーン全体の脆弱性情報を適切に把握し、対応する」の3点のポイントを踏まえて、適切にサプライチェーン管理を行うよう述べている。

　特に「サプライチェーン全体の脆弱性情報を適切に把握し、対応する」では、最初の段階で継続的な脆弱性への対応が期待できるソフトウェアやハードウェア等を選定した上で、推進主体と委託先・提携先側とで脆弱性情報を適切に把握し、迅速に対処することが重要としている。

　また、スマートシティ内でセキュリティインシデントが発生した際の被害拡大防止のために、責任範囲を明確にしたセキュリティインシデント対応体制を構築し、それぞれの連絡窓口を整備しマルチステークホルダ間で共有し、スマートシティ全体及び各マルチステークホルダにおけるセキュリティインシデント対応手順を整備した上で、定期的にセキュリティインシデント対応訓練・演習の実施を行うよう求めている。

《ScanNetSecurity》