安全なスマートシティ:IoT のインフラとリスクの関係を整理する

Securing Smart Cities: What You Need to Know

2022/01/03 StateOfSecurity — 経済/人口/社会/文化/技術/環境などに関連する、さまざまなプロセスが複雑に絡み合う都市化に伴い、各国政府は都市部特有の課題に対処するスマートシティを開発している。この開発は、無線技術とクラウドを利用したデータ転送により行われる。スマートシティには、IoT (Internet of Things)/ICT (Information and Communications Technology)/GIS (Geographic Information Systems) などの技術が使われていく。それぞれの技術が連携して大量のデータを収集し、そのデータを基に都市内のコンポーネントやシステムを改善する。

スマートシティでは、人工知能 (AI) やブロックチェーンなどの技術を、特定のシステムに活用することもある。この記事では、都市をスマートにしている物理的なデバイスが接続された、広大なネットワークである IoT に主に焦点を当てる。

スマートシティとは?

スマートシティは、医療や交通などの領域を超えて、さまざまな分野から大量のデータを収集/分析していく。そのためには、センサー/デバイス/ソフトウェアが相互に接続された複雑なネットワークを構築/維持し、セキュリティを確保していく必要がある。

スマートシティの最終的な目標は、住民のための持続可能で効率的な環境を促進することにある。スマートシティでは、デジタル技術を利用して、市民の生活の安全性と質を向上させるとともに、ビジネスの有効性と効率性を高める。スマートシティのメリットには、市民のエンゲージメント、リアルタイムのデータインテリジェンスによるオペレーションの最適化、データとテクノロジーに基づいた都市計画などがある。スマートシティでは、テクノロジーを活用して、以下の分野のソリューションを提供していく。

  • 駐車場
  • 公共の Wi-Fi
  • セーフティ・セキュリティ
  • 交通機関
  • アーバン・モビリティ
  • 廃棄物処理

スマートシティの仕組みとは?

スマートテクノロジーにより、都市は持続可能で効率的になっていく。スマートシティには、大量のリアルタイムデータを提供する IoT センサーが欠かせない。都市は、このデータを利用して、インフラ/交通/緊急サービス/公共事業などを改善していく。

IoT インフラは、デジタルの世界と物理的な世界の橋渡しを行う。ここでいう物理的世界とは、サイバー攻撃による重要なサービスの停止や、悪意の目的による IoT デバイスの制御などの、現実に生活に生じる結果のことだ。たとえば、サイバー犯罪者が街の信号機を制御して、四差路交差点のすべての信号を青にする攻撃を考えてみよう。これは、現実の世界に危険な結果をもたらす。

サイバーリスクと IoT インフラ

テクノロジーが都市部の改善に役立つという期待がある一方で、この成長分野がもたらる負の側面として、データのプライバシー/セキュリティに関する懸念がある。スマートシティにおける安全性を確保は、IoT の性質に依存する。つまり、相互に接続されている安全ではないデバイスが、機密データを大量に収集すること。そして、サイバー犯罪者が医療/公共施設/交通機関などの、重要なインフラやサービスを妨害した場合に生じる、被害の重大性という困難さを伴う。政府が IoT インフラの計画/開発/拡張を続けていくと、平均的なスマートシティでは数百万台のデバイスがネットワークに接続されると考えられる。そうなると、攻撃を仕掛けようとするサイバー犯罪者にとっては、100万個以上の侵入口ができることになる。

スマートシティでは、IoT センサーやビデオカメラからのデータを収集/分析する。収集したデータの多くは、プライベートな機密データである。情報共有やオープンデータがスマートシティの発展を支えていく。データの収集は、市民のプライバシーやセキュリティに関する懸念や疑問を引き起こす。たとえば、最近のサイバー事件を考えると、市民は収集されたデータが安全に保管されているかどうか、データが送信される際に安全かどうかを、知りたいと思うだろう。

相互運用性

レガシーシステムと新しいシステムの間の相互運用性により、一貫性のないセキュリティ・ポリシーがもたらされる可能性がある。スマートシティでは、レガシーシステムの大規模なネットワークが、IoT ベースの新しいセンサーやシステムと組み合わさることで、これらの異なるデータソースをすべて管理し、データを有用で実用的な情報に変えることが困難になる可能性がある。異なる領域のデバイス間の相互運用性の問題は、共通の標準がないことや、サイバー攻撃のリスクが増加していることから困難となる。

多様なベンダーおよびロケーション場所から、より多くのデバイスがスマートシティのネットワークに接続されることで、各デバイスの能力が効果的に活用される。したがって、スマートシティのエコシステムに価値を付加するためには、それぞれのデバイスが互いに、一定レベルの相互運用性を持つことが必要とされる。共通の基準やポリシーがなく、新たなベンダーやプロダクトが試されているため、統合における問題が引き起こされ、サイバーリスクが悪化していく。

統合

従来は互いに独立していたサービスを統合するには、関連する規制要件の都市による確認/遵守が必要であり、また、さまざまなセキュリティ・プロトコルの調整と、新しいプロトコルの開発や、データの所有権/使用法/プライバシーへの対処が必要となる。

相互運用性や統合の課題に加えて、多くの IoT デバイスがセキュリティを考慮せずに製造されているという問題があり、結果としてセキュリティの脆弱性が増大していく。また、スマートシティのセキュリティを確保するためには、ベンダー/デバイスメーカー/政府の間で、協力が必要であることが示唆される。

スマートシティのセキュリティを確保するための全体的かつ統合的なアプローチ

それぞれの政府はスマートシティを実現するために、各種システムから得られた情報を単一の包括的なシステムに統合し、接続されたデバイスやアプリケーションに関連する、全体的な性能や脆弱性を把握する必要があると認識している。スマートシティのセキュリティを確保するためには、政府や企業が課題を総合的に捉え、都市の関係者が特定のサービス/デバイスに対応するのではなく、脅威や脆弱性を全体的に把握するための統合的なアプローチが必要になる。Deloitte Insights のレポート Making Smart Cities Cybersecure によると、スマートシティのセキュリティを確保する統合的なアプローチには、以下のような項目がある。

  • デジタル・トラスト・プラットフォーム
  • プライバシー・バイ・デザイン
  • サイバー脅威に関する情報と分析
  • サイバー脅威に対する反応と回復
  • サイバー脅威に対する適正/意識を向上させるプログラム

    都市の安全性を確保するための全体的なアプローチの一環として、IoT デバイスが収集したすべての情報を集約する政府機関は、透明性の高い手法を用いて、データが悪用されていないことを市民に保証する必要がある。それにより、スマートシティの設計/計画/成長に対する信頼と支持が得られる。また、コネクテッド・デバイスのセキュリティ基準を正式に定めることも重要だ。スマートシティの IoT 導入の全体像を把握するための、単一の IoT プラットフォームがあれば、すべての IoT デバイスのリモートからの制御/管理が実現され、サイバー・リスクの軽減へとつながる。

まとめ

テクノロジーにより、公共駐車場/治安/交通/廃棄物管理などの、必要不可欠なサービスがデジタル化され、スマートシティが後押しされている。このデジタル・トランスフォーメーションの新しい波は、スマートシティの存在に根本的な影響を与えるだろう、新たなサイバー・リスクを生み出すことになる。したがって、スマートシティの開発者 (政府機関や企業など) は、IoT インフラを効果的に監視/管理する体制を整える必要がある。開発者にとっては、リスクを軽減するだけでなく、IoT インフラのサイバー回復力を確保することも重要になるだろう。

日本では Toyota の Woven City が注目を集めていますが、あくまでも実証実験としてのものであり、そこで蓄積された知識を、既存の都市に注入していくという、遠大なプロセスが控えています。そこでは、文中にでも指摘されている、「コネクテッド・デバイスのセキュリティ基準」も試されるはずであり、その結果に期待が集まります。その一方で、ネガティブなことを並べてみると、2021年12月には「Log4J と攻撃者たち:IT/IoT/OT を狙うランサムウェア・ギャングから国家支援ハッカーまで」や、「mySCADA myPRO HMI/SCADA の深刻な脆弱性 CVE-2021-44462:リモートからの乗っ取りも?」といった具合に、Apache Log4j のバグが、IoT のインフラにも影響をおよぼしている状況が浮き彫りにされます。大きなバックログを抱えながら、そして、様々な社会的な問題も抱えならが、前に進んでいかなければならないのでしょう。

%d bloggers like this: