特集～GSCAスマートシティ・ポリシー・ロードマップ(5) 『サイバーアカウンタビリティポリシー（Cyber Accountability Policy）』

世界経済フォーラム第四次産業革命日本センター

2

平山 雄太（ひらやま ゆうた/ HIRAYAMA YUTA）

2019/2-現在：一般社団法人世界経済フォーラム第4次産業革命日本センターにてスマートシティスペシャリストと

して、スマートシティプロジェクトを担当

2018/4-現在：名古屋大学客員准教授（名古屋大学学術研究・産学官連携推進本部）

名古屋大学にて大学発ベンチャー支援およびTongaliプロジェクトのサポート、および東和不動産株式会社との旧那 古野小施設活用事業プロジェクトの支援。

2016/2-現在

：福岡地域戦略推進協議会（シニアフェロー）

福岡地域戦略推進協議会にて、地方創生、スタートアップ支援、海外都市連携、オープンイノベーション等のプロジェ クトを推進。またFukuoka Smart East等スマートシティプロジェクトも担当。

民間企業での新規事業の立ち上げを複数経験後、福岡地域戦略推進協議会にて自治体や大企業と共に オープンイノベーションの推進や、スタートアップ支援、スマートシティプロジェクトを担当。2018年より名古屋大 学学術研究・産学官連携推進本部客員准教授、2019年より世界経済フォーラム第4次産業革センターに てG20 Global Smart Cities Allianceの立ち上げに従事。その他、熊本大学客員准教授、九州先端科 学技術研究所特別研究員、加賀市スマートシティフェローなどを務める。

自己紹介

 データガバナンス

 ヘルスケア

 第四次産業革命日本センター概要

 スマートシティ

 モビリティ

 アジャイル・ガバナンスほか

世界経済フォーラム第四次産業革命日本センター

目次

3

4

世界経済フォーラム第四次産業革命センターとは

2017年３月、テクノロジーを統御し、社会課題の解決に最⼤活⽤するためのルールづくりと実証を

推進する「官民プラットフォーム」として、世界経済フォーラムがサンフランシスコに設立。

政府、産業界、学界、市民社会、地方自治体、国際機関など、

マルチ・ステークホルダーが参画し、グローバルなルールづくりに

共同で取り組む実証型の官民プラットフォーム

第四次産業革命センターのネットワークの広がり

2018年７月の日本センター設立を皮切りに、中国、インドにグローバルセンター、UAE、コロンビア、

イスラエル等に提携センターが設置され、センター設置/パートナーの政府・機関は30に拡⼤。

Japan– 2 Jul 2018 launch (Healthcare, Mobility, Smart City and Data）

UK– Partner

Bahrain– Partner Denmark– Partner

India– 10Nov2018 launch (Drones, AI, Smart City)

San Francisco

UAE– Affiliate with Dubai Future Foundation: 28 Apr 2019 launch (AI, Blockchain, Precision Medicine)

Rwanda– Partner/Affiliate

Saudi Arabia– Affiliate/Partner (AI, Data Policy, Blockchain)

Inter-American Development Bank

China– 19 Sept 2018 launch (Precision Medicine, Smart City, Drones）

Turkey– Affiliate

Brazil－Affiliate France– Partner

Canada– Partner

South Africa－Affiliate (IoT, Blockchain, AI, Precision Medicine)

Singapore－Partner/Affiliate

Israel ^－Affiliate with Israel Innovation Authority: 27 Jun 2019

launch (AUM, Health Data) Columbia －Affiliate

with Ruta-N: 30 Apr 2019 launch (AI, IoT, Blockchain)

New Zealand －Partner Vietnam－Partner/Affiliate

Azerbaijan－Partner

Kazakhstan－Partner

Norway– Affiliate with the Norwegian Government (4IR for the Earth; Oceans Data, Global Plastics and Oceans Surveillance focusing on IOT, Data Policy and AI).

US National Governors Association OHCHR

UNICEF

5

Russia

WFP

Australia－Affiliate

Argentina －Partner City of San Francisco

66

創設者：

世界経済フォーラム第四次産業革命日本センター

目的：第四次産業革命の恩恵を最大化するため、政策のオープンイノベーション を促進し、ガバナンスギャップを解消し、政策の互換性を確保する

パートナー企業：

•

アイシン精機

•

日本電気

•

サントリーホールディングス

•

セールスフォースドットコム

• SOMPOホールディングス

•

武田薬品工業

•

デンソー

•

トヨタ自動車

•

日立製作所

•

マッキンゼー・アンド・カンパニー

•

三菱ケミカルホールディングス

•

森ビル

•

堀場製作所

•

エーザイ

•

日本電信電話

(NTT)

ジョナサン・ソーブル グローバル・

コミュニケーション 責任者

外務省フェロー榊 亮介 村木 茂⼤

事務長

阿閉 宏明 武田薬品フェロー 藤田 卓仙

ヘルスケア・

データ政策 プロジェクト長

山本 精一郎 ヘルスケア・

データ政策 プロジェクト長

中根 政憲 エーザイフェロー 鈴江 康徳

SOMPO フェロー 小野寺 玲子

武田薬品フェロー 岡本 雅子

田辺三菱製薬 フェロー 須賀 千鶴

センター長

Rushi Rama スマートシティ プロジェクト長

平山 雄太 スマートシティ

プロジェクト スペシャリスト

鍛 忠司日立 フェロー

望月 康則 フェローNEC

川崎 雅史 マッキンゼー フェロー

本堂 聡トヨタ フェロー 上坂 広人

デンソーフェロー 岩田 太地

フェローNEC 西澤 美穂

オペレーション・

コーディネーター

樋口 道弘 農林水産省 フェロー

高田 紀子 武田薬品フェロー 坂本 秀次

武田薬品フェロー 隅屋 輝佳

アジャイルガバナンス プロジェクト スペシャリスト 入野 好弘

サントリー フェロー

鈴村 義一 アイシンフェロー 土井 崇和

マッキンゼー フェロー 黒石 秀一

デロイトトーマツ フェロー

増田 拓也 セールスフォース

フェロー 南雲 岳彦

MURCフェロー

穂高 弥生子 ベーカー＆

マッケンジー フェロー

余吾 博之 アイシンフェロー 秋元 一郎

フェローNEC 工藤 郁子

プロジェクト戦略 責任者

岡田 萌乃 オペレーション・

コーディネーター

国土交通省齋藤 悠 フェロー 井上 裕介

厚生労働省 フェロー

西畠 万季人 財務省フェロー

野田 由比子 フェローVISA

譲原 瑞枝 セールスフォース

フェロー

由良 淳一 富士通フェロー

伊藤 雄亮 フェロートヨタ

7

世界経済フォーラム第四次産業革命日本センター

チーム紹介

 データガバナンス

 ヘルスケア

 第四次産業革命日本センター概要

 スマートシティ

 モビリティ

 アジャイル・ガバナンスほか

世界経済フォーラム第四次産業革命日本センター

目次

8

テクノロジーの社会実装に必要なルール作りや合 意形成（テクノロジーガバナンス）に関して、都 市や自治体のサポート役となり、スマートシティの 実現に貢献する。

日立製作所、日本電気、エーザイ、セールスフォース、

NTT、森ビル、デロイトトーマツ、MURC、富士通、

BakerMcKenzie

2019年春～夏：B20, U20, G20を通し、Global Smart City Coalition創設について支持を得る。

2019年夏～秋：Asia Smart City Weekにて、G20 Global Smart Cities Alliance 設立会合を実施 2019年秋～冬：バルセロナのSmart City Expo及び、

Innovative City Forumにて自治体や政府関係者、ス

マートシティ関係のエキスパートを招いたテクノロジーガバナン スに関するワークショップを開催

2020年春～夏：5原則に基づく各ポリシーの策定を専

門家と共に開始。日本においては日本支部として10都市 以上が参画

2020年秋～冬：U20サミットへの参画の他、Smart City ExpoにてGSCA1周年記念イベントを開催 2021年冬～春：Pioneer ProgramおよびGSCAポリ

シー実装に向けた総合調査を開始。Global

Tachnology Governance Summit開催予定 G20 Global Smart Cities Alliance

C4IR Japan スマートシティプロジェクト 概要

9

 G20 Global Smart Cities Allianceとし

て、都市ネットワークの知見を集約し、テクノ ロジーガバナンスに関するリファレンス先として の地位を強固にする。



プライバシーやセキュリティ、排他的なデータ 利用や、ベンダーロックイン、都市間のイン ターオペラビリティといった諸問題を回避すべ く、パイロット都市と共に、スマートシティに関 する基本原則を共同設計する。

 Allianceの活動を通し、各都市間で情報

が共有される事で各都市が過剰な投資を 行うことなく、市民にとって最も価値ある選 択が行う事が可能となる。

Impact

Partners

Goal Timeline

CONTACT:

[email protected];

[email protected] [email protected];

10

日本のG20議長国としての立場を活かし、公共財としての街データ・ガバナンスを推進するため、

2019年3月、5月、6月にそれぞれB20、U20、G20貿易・デジタル経済⼤臣会合から

Global Smart City Alliance創設というC4IR提案への支持を取りつけ、事務局を拝命。

パネルディスカッション（3）「すべての人のためのデジタ

ル化」のモデレータをつとめるMurat Sonmez 日本センターは2019年U20東京メイヤーズ・サミットの アドバイザリー・パートナーを務めた。セッション4「持続可 能な経済成長」のモデレータをつとめるJeff Merritt

10

G20 Global Smart Cities Alliance

G20スマートシティ都市連合の事務局を拝命

事務局拝命に関するプレスリリース

11

2019年10月9日に開催した設立会合では、トロント市やバルセロナ市等各都市より、スマートシティ

に関する取り組みや、テクノロジーガバナンスついての議論が行われた。また、サウジアラビア政府より、

来年度のG20議長国として、G20 Global Smart Cities Allianceの取り組みを引き継いでいく 旨の発表も行われた。

G20 Global Smart Cities Alliance

G20 Global Smart Cities Alliance 設立会合

サウジアラビアが議長国となった2020年のG20デジタル経済⼤臣会合の成果文書に本年もG20

Global Smart Cities Allianceの活動について明記された。

G20 Global Smart Cities Alliance

G20 Digital Economy Ministers meeting 成果文書

G20 Global Smart Cities Alliance

スマートシティにおける 5つの原則と都市ネットワークとの協業

本アライアンスでは、都市ネットワークと協力し、20万 以上の都市および地方自治体、世界のリーディングカ ンパニーやスタートアップ、研究機関・市民社会コミュ ニティと「スマートシティにおける５つの原則」を中心 に、「テクノロジーガバナンスの実現」と「都市間のガバ ナンスギャップ解消」に向けた議論を加速させていく。

設立パートナー一覧:※都市ネットワークとの連携は今後も順次拡大予定

13

G20 Global Smart Cities Alliance

G20 Global Smart Cities Alliance の参画状況

出所：Tomorrow.Cityウェブサイト, 世界経済フォーラムプレスリリース

2020年11月に開催されたSmart City LiveにてPioneer Programとして、５つのモデルポリシー

と、ポリシー実装にむけ36都市と連携協定を締結した旨を発表。

G20 Global Smart Cities Alliance

パイオニア都市として参画している 36 都市の一覧

1. Apeldoorn, Netherlands 2. Barcelona, Spain

3. Belfast, United Kingdom 4. Bengaluru, India

5. Bilbao, Spain 6. Bogotá, Colombia 7. Brasilia, Brazil

8. Buenos Aires, Argentina 9. Chattanooga, United

States

10. Cordoba, Argentina 11. Daegu, South Korea 12. Dubai, UAE

13. eThekwini (Durban), S Africa

14. Faridabad, India 15. Gaziantep, Turkey 16. Hamamatsu, Japan 17. Hyderabad, India 18. Indore, India

19. Istanbul, Turkey 20. Kaga, Japan 21. Kakogawa, Japan 22. Kampala, Uganda 23. Karlsruhe, Germany 24. Leeds, United Kingdom 25. Lisbon, Portugal

26. London, United Kingdom 27. Maebashi, Japan

28. Manila, Philippines 29. Medellín, Colombia 30. Melbourne, Australia 31. Mexico City, Mexico 32. Milan, Italy

33. Moscow, Russia 34. Newcastle, Australia 35. San José, United States 36. Toronto, Canada

人口規模の内訳

人口規模分類^※ 該当数 都市の名称^(一部)

1,000万人以上

5

フィリピンManila, トルコIstanbul

アルゼンチンBuenos Aires 等 100万人以上1,000万人未

満

20

イギリスLondon, アメリカSan Jose, オーストラリアMelbourne 等

50万人以上100万人未満

1

^浜松市

20万人以上50万人未満

7

加古川市, 前橋市, スペインBilbao

イギリスBelfast等

5万人以上20万人未満

3

^{加賀市, アメリカ}Chattanooga

オランダApeldoorn

5万人未満

0

^N/A

地域分類 該当数 都市の名称^(一部)

アフリカ Africa 2 ウガンダKampala

南アフリカDurban

アジア Asia 12 浜松市, 加賀市, 加古川市, 前橋市

韓国Daegu,フィリピンManila, インドIndore等

ヨーロッパ urope 11 スペインBarcelona, ポルトガルLisbon イタリアMilan, イギリスLeeds 等

北アメリカ

North America 4 カナダToronto, メキシコMexico City アメリカSan Jose,アメリカChattanooga等

オセアニア Oceania 2 オーストラリアMelbourne オーストラリアNewcastle

南アメリカ SouthAmerica 5 コロンビアMedellin, アルゼンチンCordoba ブラジルBrasilia, コロンビアBogota 等

地域分類の内訳

G20 Global Smart Cities Alliance Project Update

G20 Global Smart Cities Alliance の参画状況

2020年11月17日のスマートシティEXPOでの発表に合わせ、日本からは4都市がパイロット都市に

向けた合意書に調印。10月28日にメディア向けの合意形成に向けたワークショップ「スマートシティの 最前線で、何が起きているのか―競争から協調へ」」を開催。メディアからも「住民とも合意形成」に関 する高い関心が寄せられた。

加賀市『スマートシティ宣言』の運営の5原則に採⽤

G20 Global Smart Cities Alliance Project Update

浜松市「デジタルスマートシティ構想」中間整理に5原則を明記

G20 Global Smart Cities Alliance Project Update

加古川市『スマートシティ基本5原則』を策定

G20 Global Smart Cities Alliance Project Update

宇部市『スマートシティ宇部運⽤5原則』を策定

（出典：スマートシティインスティチューウェビナー

2021.01.21「スマートシティ宇部プロジェクト」の挑戦より）

G20 Global Smart Cities Alliance Project Update

G20 Global Smart Cities Alliance Project Update

グローバルエキスパートとのポリシー策定と都市コミュニティの形成

6 May 2020 / 1

^st

working group discussion Accesibility Policy (Equity, Inclusion and Societal Impact

）

22 May 2020 / Japanese Cities Community Mtg -12

都市が参加

-

東京都、つくば市、浜松市、鎌倉市、加賀市、前橋市 加古川市、神戸市、広島県、宇部市、福岡市、小布施町 コロナ禍により、リアルでのコミュニケーションが難しくなったものの、各分野の専門家を集めポリシー策定を 行うワークショップや、自治体のキーマンを集めた定例会を2020年5月より月次で開催。

G20 Global Smart Cities Alliance Project Update

WG参画中の企業・エキスパート一覧

Organisations Name

Tata Consultancy Services Abhik Chaudhuri Manchester City Council Adrian Slatcher

C4IR Saudi Arabia Ahmad

Alabdulkareem Belfast City Council Andrea Thornbury

Smart Dubai Andrew Collinge

City of Amsterdam Berent Daan

UNDP Singapore Global Centre Calum Handforth Queens University Belfast Daithí Mac Síthigh WEF Centre for Cyber Security Daniel

Dobrygowski

Immuta Daniel Wu

National Centre for Cyber Security

(UK) David G

Open and Agile Cities Davor Meersman

C4IR Colombia Eduardo Restrepo

PETRAS Eleri Jones

Istanbul Metropolitan Municipality Goky Bensen

Sidewalk Labs Jackie Lu

G3ict James Thurston

What Works Cities Jennifer Park

Access Living Karen Tamley

Microsoft Laura Ruby

Europe

North Americ

a Asia

Middle East Australi

asia South Americ

a

Organisations Name

Open and Agile Cities Lea Hemetsberger Hong Kong University of Science and

Technology Masuru Yarime

Australian Smart Communities Association Matt Schultz

Leading Cities Michael Lake

City of Melbourne Michelle Fitzgerald

Hear Colours Monica Duhem

NIST Naomi Lefkovitz

Fuxi Institution Xiadong Lee

IDC Ruthbea Clarke

London Office for Rapid Cybersecurity

Advancement Saj Huq

Greater London Authority Sandy Tung

Hitachi Tadashi Kaji

MUFG / Smart Cities Institute Takehiko Nagumo National Centre for Cyber Security (UK) Tom C

Connected Places Catapult Yalena Coleman

NEC Yasanori Mochizuki

Access Israel Yuval Israel

Peking University Zhang Bo

Working Groupには標準化団体、都市ネットワーク、企業、⼤学、各都市の担当者など、幅広く

参画があり、マルチステイクホルダーアプローチを実践したコミュティを形成。

各ポリシーの概要 状況 ICTアクセシビリティ・ポリシーは、アクセシブルなICTの公共調達を通じて適切なICT製品やサービ

スを調達、維持するために必要となるフレームワークを提供します。

サイバーアカウンタビリティポリシーは、世界のあらゆる都市に参考となるサイバーセキュリティに関する アカウンタビリティ・モデルを規定し、都市によるサイバーセキュリティの維持・構築に優先順位をつけ る際に必要な枠組みを提供しています。

オープンデータ・ポリシーは、改めて世界各地域の事例を比較検討し、都市が独自のオープンデータ ポリシーおよび関連規定を策定する際の基礎となる論点を、ステークホルダーとのかかわりも含めた 形で提供しています。

都市がIoTデバイスを実装する際のプライバシーインパクトアセスメントについて、必要な要件を整理 し、策定。プライバシー影響評価（PIA）・ポリシーによって、都市がプライバシーリスクを特定、評 価、対処するための一貫した方法を確立することができるようになります。

Dig Onceポリシーは、デジタルインフラ整備に係る利害関係者との調整及び運用管理等に係るフ レームワークを提供します。

G20 Global Smart Cities Alliance Project Update

GSCAモデルポリシーの策定状況について

Digital infrastructure

Open data policy

Privacy impact assessment ICTaccessibility

standards for procurement

Cyber accountability

model

Operational sustainability Security &

resilience

Privacy &

transparency Openness &

interoperability Equity, inclusivity

& social impact

公表済 英語 スペイン語 日本語

公表済 英語 スペイン語 日本語

公表済 英語 スペイン語 日本語

公表済 英語 スペイン語 日本語 公表済 英語 スペイン語 日本語

2020年11月17日のモデルポリシー公開後、12月18日に開催された第3回スーパーシティ／スマートシティのデータ

連携等に関する検討会にて、PIAモデルポリシーが紹介されるなど、自治体への実装に向けた取り組みを加速。

アンケート調査の構成

Dig Once Open Data

Privacy Impact Assessment ICT Accessibility

Cyber Accountability

City Profile and General Feedback

第1部

第2部

GSCAモデルポリシー実装に向けた総合調査を実行中。これは、GSCAが策定したモデルポリシーに対し、各都市にお

ける現状の関連施策や共通の課題、良例についてとりまとめ、今後のGSCAへの支援ニーズを具体化すべく実施。

G20 Global Smart Cities Alliance Project Update

GSCA モデルポリシー実装に向けた総合調査の実施

説明

対象

2020年11月に発表された36のパイオニア都市

（+ GSCA日本支部にご参加いただいている都市）

構成及び内容 アンケートは、以下の2部で構成されています。

1.

都市の概要及びGSCA活動に対するフィードバック

人口や職員数、スマートシティに係る主な取り組み等に係る設問のほか、今 後のモデルポリシーとして興味のある政策テーマについての設問等があります。

2.

各GSCAポリシーに対する現状の関連施策や取り組み等

先の定例会でご紹介した、(1)ICT Accessibility, (2)Privacy Impact

Assessment, (3)Cyber Accountability, (4)Dig Once, (5)Open Data、の5つのモデルポリシーについて、現状の関連施策や取り組み等につ

いての設問があります。

実施時期

/ 方法 2021年2月中旬～3月上旬

/ メール、ウェブヒアリング又は対面ヒアリング

（新型コロナの状況に鑑みて適宜個別にご相談）

2月 3月 4月 5月 6月

年次総会

アンケート実施に向けた準備

マイルストーン 本日の定例会

GTGS開催

GSCA日本支部定例会

(未定) (未定) (未定) (未定)

アンケートの実施 アンケート結果のとりまとめ

アンケート 準備

日程調整

メールでのやりとり/

オンライン/対面ヒアリング 結果の分析

レポートの作成

レポートの発表

モデルポリシー実装に向けた

自治体折衝 ^{ビデオコンテンツ策定}

インドセンター、コロンビアセンター

等、他センター支援 コミュニティ立ち上げ支援（継続）

勉強会の実施

G20 Global Smart Cities Alliance Project Update

今後のスケジュールについて

Model Policies by GSCA (1/5)

ICT ACCESSIBILITY ポリシー

ICTアクセシビリティ・ポリシーは、都市が公共調達プロセスを通じて適切

なICT製品やサービスを調達、維持するために必要となるフレームワーク を提供します。

このポリシーの実装により、アクセシブルなICTの調達に関する基本的な 理解や遵守すべき基準について、都市の関連部門や提供する民間部 門も含めて横断的に示すことにつながり、結果として都市レベルでのデジ タルアクセシビリティを確実に進める一歩となることが期待されます。

したがって、本ポリシーは「誰も取り残さない」スマートシティを進めるにあ たって、アクセシビリティを向上させるという点で重要な役割を果たします。

Full ICT Accessibility Policyに関するフルテキストはこちら (英語又はスペイン語)

Model Policies by GSCA (2/5)

PRIVACY IMPACT ASSESSMENT ポリシー

プライバシーインパクトアセスメント（PIA）・ポリシーは、収集から廃棄に 至るまで、データのライフサイクル全体を通してプライバシーリスクを特定 し、管理するための一連のプロセスを提供します。

本ポリシーを実施することで、自治体がプライバシーリスクを特定、評価、

対処するための一貫した方法を確立し、結果としてプライバシーに関する 透明性と説明責任を高め、市民の信頼に応えることが可能になります。

Privacy Impact Assessment Policyに関するフルテキストはこちら (英語又はスペイン語)

Model Policies by GSCA (3/5)

CYBER ACCOUNTABILITY ポリシー

サイバーアカウンタビリティ・ポリシーは、世界のあらゆる都市に参考となるサ イバーセキュリティに関するアカウンタビリティ・モデルを規定し、都市によるサ イバーセキュリティの維持・構築に優先順位をつける際に必要な枠組みを 提供しています。

このポリシーは、都市がサイバーセキュリティを改善する、より高いサイバー セキュリティを確保する、サイバーセキュリティの責任を負う役職の定義を策 定するための規範として活用できます。

Cyber Accountability Policyに関するフルテキストはこちら

（英語又はスペイン語）

“Dig Once”には、国の予算を活用して道路整備工事をする際、電気

通信インフラも一緒に整備することで、土を掘り返す頻度を削減し、インフ ラ整備の効率化・費用削減を目指す、という意味が込められています。

Dig Onceポリシーは、デジタルインフラ整備に係る利害関係者との調整

及び運用管理等に係るフレームワークを提供します。

本ポリシーの実装は、占用物件として各インフラ施設 （水道管、下水 道管、ガス管、送電線、電話線、光ファイバーケーブル等）の効率的な 整備・運用管理に寄与します。

Full Dig Once Policyに関するフルテキストはこちら (英語又はスペイン語)

Model Policies by GSCA (4/5)

DIG ONCE ポリシー

Model Policies by GSCA (5/5)

OPEN DATA ポリシー

オープンデータ・ポリシーは、改めて世界各地域の事例を比較検討し、都 市が独自のオープンデータポリシーおよび関連規定を策定する際の基礎 となる論点を、ステークホルダーとのかかわりも含めた形で提供していま す。また、都市が実装から定着に至るまでの具体的なガイダンスも合わせ て提供しています。

オープンデータは、政府の説明責任を高め、都市サービスのテクノロジー 市場をオープンで競争的なものにするために不可欠となっています。

Open Data Policyに関するフルテキストはこちら (英語又はスペイン語)

CYBER ACCOUNTABILITY POLICY

ご紹介

Safety, security & resiliency

Transparency &

Privacy Interoperability &

openness Equity, inclusion

& societal impact

Operational

& financial sustainability

G20 Global Smart Cities Alliance５原則に基づくポリシー策定

５つの原則、それぞれについて、具体的な課題を選定、最初のモデルポリシーを策定 Safety, security & resiliencyについては“Cyber accountability”

2021/3/11 2

https://globalsmartcitiesalliance.org/?page_id=90

2021/3/11 3

スマートシティとサイバーセキュリティ

✓ そもそもスマートシティでサイバーセキュリティはそんなに重要なのか？

（他にもやること山積みなんだけど・・・）

✓ 百歩譲ってセキュリティが重要だとして 何すればよいの？

スマートシティと

サイバーセキュリティ

2021/3/11 5

スマート化がセキュリティに与える影響

IoT機器の増大/システムの連携 新たな働き方/生活様式

リモートワーク

遠隔医療

あらゆるものがつながることで

サイバー脅威が一瞬にして拡散 サイバー攻撃の侵入口が拡大

2021/3/11 6

都市におけるセキュリティ課題

自治体 身代金額 復旧費用

ジョージア州アトランタ 約17億円

メリーランド州バルチモア (約800万円) 約18億円

ルイジアナ州ニューオリンズ 3億円以上

ジョージア州ジャクソン郡 約4300万円 フロリダ州リビエラビーチ 約6400万円 フロリダ州レイクシティ 約5400万円 コロラド州ラファイエット 約500万円

テキサス州 22都市 (約3億円) 10億円以上

()は要求額

都市がサイバー攻撃の標的として認識 サイバー攻撃の被害増加

ランサムウェアによる身代金要求画面の例

(出典:「ランサムウェアWannaCryに関する注意喚起」

http://www.hitachi.co.jp/hirt/publications/hirt-pub17008/index.html

)

米国自治体では2019年中にランサムウェアにより 約2億円の身代金支払い、数十億円の復旧費用が発生

https://japan.zdnet.com/article/35140607/

https://japan.zdnet.com/article/35158559/

https://www.acronis.com/ja-jp/blog/posts/xin-zhong-noransamuuearobbinhoodgaamerikanozi-zhi-ti-wogong-ji https://techcrunch.com/2019/12/14/new-orleans-declares-state-of-emergency-following-ransomware-attack/

7

それって海外の話ですよね？

Digital Transformationに伴いサイバーセキュリティの確保が課題 サイバー攻撃が増加するとともに より脆弱な箇所をねらう

サイバー攻撃は2年間で2.３倍に増加 多数の攻撃がIoT機器を狙っている

サイバー攻撃関連通信の推移

（億件）

※NICT NICTERが観測しているダークネット観測統計

日本におけるサイバー攻撃の状況

2021/3/11 8

45.4 77.8 128.8 256.6 545.1

1281 1504

2121

3220

5001

0 1000 2000 3000 4000 5000 6000

2011 2012 2013 2014 2015 2016 2017 2018 2019 2020

(出典:NICTER観測レポート2020)

宛先ポート番号別パケット数分布

(出典:NICTER観測レポート2020)

スマートシティ化が進み 多数の侵入口を提供する状況が発生しつつある

オープンサービスにより誰でも 侵入口が確認できる

100万を越えるWebカメラやプリンタが NW接続されている

政令指定都市におけるIP数（TOP5）

※トレンドマイクロによるSHODAN等を用いた調査結果[‘16]

日本のスマートシティのセキュリティリスク

政令指定都市 外部に接続されているIPの数

東京(23区) 2,847,938

大阪 971,767

横浜 189,443

名古屋 121,512

京都 116,349

64.50%

20.60%

6.10%

4.40% 4.40%

東京

Firewall Webカメラ WAP

プリンタ ルータ

2021/3/11 9

セキュリティが重要なのは わかったけど

何すればよいの？

サイバーセキュリティのあれこれそれ

2021/3/11 11

出典：NIST 重要インフラのサイバーセキュリティを改善するためのフレームワーク

1.1

版

(IPA

翻訳

) https://www.ipa.go.jp/security/publications/nist/index.html

識別

(ID)

資産管理（ID.AM）

ビジネス環境（ID.BE）

ガバナンス（ID.GV）

リスクアセスメント（ID.RA）

リスクマネジメント戦略（ID.RM）

サプライチェーンリスクマネジメント （ID.SC）

防御

(PR)

アイデンティティ管理、認証／アクセス制御（PR.AC）

意識向上およびトレーニング （PR.AT）

データセキュリティ（PR.DS）

情報を保護するためのプロセスおよび手順（PR.IP）

保守（PR.MA）

保護技術（PR.PT）

検知

(DE)

異常とイベント（DE.AE）

セキュリティの継続的なモニタリング（DE.CM）

検知プロセス（DE.DP）

対応

(RS)

対応計画（RS.RP）

コミュニケーション（RS.CO）。

分析 （RS.AN）

低減（RS.MI）

改善（RS.IM）

復旧

(RC)

復旧計画（RC.RP）

改善（RC.IM）

コミュニケーション（RC.CO）

NIST Cybersecurity Frameworkの機能 ISO/IEC 27000の管理策

(出典: ISO/IEC 27001:2013

附属書A)

A.5

情報セキュリティのための方針群

A.6

情報セキュリティのための組織

A.7

人的資源のセキュリティ

A.8

資産の管理

A.9

アクセス制御

A.10 暗号

A.11

物理的及び環境的セキュリティ

A.12 運用のセキュリティ

A.13

ネットワークセキュリティ

A.14 システムの取得、開発および保守 A.15 供給者管理

A.16 情報セキュリティインシデントの管理

A.17

事業継続マネジメントにおける情報セキュリティの側面

A.18

順守

サイバーセキュリティのイロハの“イ”

✓ サイバーセキュリティには

セキュリティガバナンス ^の確立

が第一歩

✓ 特に、

セキュリティの最終責任者 ^の

明確化が必要

2021/3/11 12

識別

(ID)

資産管理（ID.AM）

ビジネス環境（ID.BE）

ガバナンス（ID.GV）

リスクアセスメント（ID.RA）

リスクマネジメント戦略（ID.RM）

サプライチェーンリスクマネジメント （ID.SC）

防御

(PR)

アイデンティティ管理、認証／アクセス制御（PR.AC）

意識向上およびトレーニング （PR.AT）

データセキュリティ（PR.DS）

情報を保護するためのプロセスおよび手順（PR.IP）

保守（PR.MA）

保護技術（PR.PT）

検知

(DE)

異常とイベント（DE.AE）

セキュリティの継続的なモニタリング（DE.CM）

検知プロセス（DE.DP）

対応

(RS)

対応計画（RS.RP）

コミュニケーション（RS.CO）。

分析 （RS.AN）

低減（RS.MI）

改善（RS.IM）

復旧

(RC)

復旧計画（RC.RP）

改善（RC.IM）

コミュニケーション（RC.CO）

2021/3/11 13

なぜ “cyber accountability”?

✓ そもそも アカウンタビリティ ^とは？ 説明 ^する 責任 ・・・ではありません！

説明 する

責任

と をとる

“Cyber Accountability Policy”の狙い

✓ アカウンタビリティを担う、

CISO(最高セキュリティ責任者)

の職責を明確化する

✓ 例えば 「 CISO公募時のミッションステートメントの雛形 ^{」 として}

使うことを想定

2021/3/11 14

CYBER ACCOUNTABILITY POLICY の

ポイント

スマートシティのサイバーセキュリティを含め、サイバーセキュリ ティは、 都市の最高幹部レベルが責任を負う 一人の最高責任者 ^{が、すべての} ITおよび

OTインフラに対するサイバーセキュリティ ^の

アカウンタビリティと権限を持つ。

最高責任者は、市の幹部、議会、職員、請負業者を対象に、

市全体の サイバーセキュリティに関する意識向 上と訓練 を行う責任を有します。訓練実績を記録し、最 低でも年に一度は評価しなければなりません。

“cyber accountability policy”内容のご紹介 －職責ー

2021/3/11 16

市長

副市長

副市長

情報システム

(ITインフラ) IoTシステム OTシステム

(OTインフラ) CISO

セキュリティ対策 インシデント対応

訓練

職員・業者

2021/3/11 17

最高責任者は、 都市が定義したパフォーマンス 指標に基づいて、サイバーセキュリティ関連の すべての事項を報告する責任 ^を有する

最高責任者はサイバーセキュリティに関する全体的な

ガバナンスの枠組みとポリシーを定め、 1年に1度以上、

都市の最高幹部チームの確認と承認を 受ける ^{ものとする。}

最高責任者は、 法務チームと協力し、すべての ポリシーや指示が関連法規や国際標準に 準拠していることを担保 ^{しなければならない}

“cyber accountability policy”内容のご紹介 －職責ー

市長

副市長

CISO

セキュリティポリシー 策定/

定期改訂

関連

法規 国際

標準 報告/確認

副市長

2021/3/11 18

上記最高責任者は、既存の すべてのITおよびOT 製品/サービス/調達/内部のアプリケーショ ン開発に関してサイバーセキュリティ面での最 終意思決定 ^{を行う権限を有する。}

これには、都市におけるIT/OT製品やサービスへの多額の投 資・調達も含まれる

上記最高責任者は、 既存のインフラ(デバイス、

ユーザ、ネットワーク、データ、アプリケーション を含む)のインベントリを作成・維持することに 対して責任を有し、既存の資産のセキュリ ティを確保するためにインベントリの内容とIT インフラの全体像を理解しなければならない。

上記最高責任者は、インフラストラクチャに対する脅威の全体 像、様々なシステムの依存性、ユーザのアクセス権、誰がイン ベントリの責任者であるのか、に対して一定の理解を有しなけ ればならない

“cyber accountability policy”内容のご紹介 －職責ー

情報システム

(ITインフラ) IoTシステム OTシステム

(OTインフラ) CISO

企画 調達 開発 運用 廃棄

構成情報 理解

定期収集

“cyber accountability policy”内容のご紹介 –市民の教育-

2021/3/11 19

最高責任者の権限の下、責任者は、市民が 都市のWebサイトから容易に情報を見つけ 活用できるよう、オンラインリソースの参照先 を管理しなければならない

CISO

情報公開

セキュリティ 責任者

市民

GSCA モデルポリシー と

日本のガイドラインとの違い

2021/3/11 21

日本のガイドライン

地方公共団体における

情報セキュリティポリシーに関するガイドライン

• 情報セキュリティの基本方針と対策基準を 例文と解説付きでガイド

• 日本の地方公共団体特有の要件を考慮して ガイドライン化

• CISOについても記載

https://www.soumu.go.jp/main_content/000727474.pdf

22

GSCAのモデルポリシーは何が違うんでしょう？

23

そもそもの土台(モデル/思想)が違っています

2021/3/11 24

GSCA Model Policyのモデル

CISO

セキュリティ 責任者

首長 都市におけるサイバーセキュリティの最終責任、

方針策定と、危機における陣頭指揮

都市におけるサイバーセキュリティの実行責任

• セキュリティポリシー策定

• 調達時のセキュリティ評価

• セキュリティ対策

• セキュリティ教育/訓練

• セキュリティ監査

• 市幹部層への報告

• インシデント対応計画策定

• 関係部局との連携

• 業務委託先のセキュリティ

• 市民への情報提供

• セキュリティポリシー改訂

• セキュリティ対策の実施

• セキュリティ教育/訓練実施

• セキュリティ監査の実施

• 業務委託先のセキュリティポリ シー策定と実行

報告

報告

2021/3/11 25

日本のガイドラインのモデル

CISO (副市長)

統括情報 セキュリティ

責任者

情報 セキュリティ

責任者 情報セキュリティ

委員会

CSIRT 首長

報告

報告

サイバーセキュリティの 最終責任

• セキュリティ対策

• セキュリティ教育/訓練

• セキュリティ監査

サイバーセキュリティの方針策定

• セキュリティポリシー策定

• セキュリティポリシー改訂

• インシデント対応計画策定

サイバーセキュリティの 危機における陣頭指揮

• インシデント対応

• 関係部局との連携

26

良し悪しではありません

おわりに

28

◼ 「完璧なセキュリティ対策」は存在しません

◼ まずは「他所並み」、次に「他所の半歩先」をめざす

◼ 改善プロセスを回しながら段階的に範囲を拡大

サイバーセキュリティで大切なのは「最初から無理をしない」こと

最初の一歩としての「サイバーアカウンタビリティ」

他所との情報交換口としての「GSCA」

2021/3/1129

ありがとうございました