目次
スマートシティにおけるサイバー攻撃への対策とは
スマートシティでは、公共サービスの向上や効率化、住民の生活の質の向上のために、さまざまなテクノロジーが活用されています。しかし、これらのシステムには、サイバーセキュリティの脅威があり、その対策を怠ると様々な問題が発生する可能性があります。
例えば、メリーランド州ボルチモアでは、ランサムウェアの攻撃を受け、ほとんどのサーバーが停止し、多くの市のサービスが提供できなくなりました。自治体だけでなく、911緊急通報センターも通常レベルの機能を果たせなくなりました。また、ボルチモア市のITリソースに依存していた地域の開放型アニマルシェルターのような官民連携組織も攻撃に巻き込まれたのです。
拡大するスマートシティへのサイバー攻撃に対処するには、スマートシティがなぜ恰好の的にされてしまうのか、特性を理解することが重要になります。
スマートシティにおけるサイバーセキュリティーの類型
スマートシティでは、複数のシステムが接続されており、リソースや導入期間、セキュリティ対策などが異なります。レガシーなソリューションと最新のソリューションが混在し、非常に複雑なインフラとなっているため、潜在的な攻撃対象が多くあるのです。
ここでは、このような環境に起因するサイバーセキュリティ上の懸念事項をご紹介します。
不均一な保護
古いシステムと新しいシステムが混在しているため、脅威の検知・防御機能が充実しているソリューションもあれば、セキュリティ機能が限定されているソリューションもあり、スマートシティは、最弱なコンポーネントによってのみ強くなります。
時代錯誤のレガシーシステム
寿命を迎えた技術は、セキュリティアップデートやバグ修正が行われなくなるため、潜在的な脆弱性が発生する可能性があります。また、パッチが提供されていても、手続きが煩雑なために、パッチの提供が遅れてしまうのです。
セキュリティのないインターネット・オブ・シン グスデバイス
スマートデバイスの中にはセキュリティ対策が施されていないものがあり、スマートシティのネットワークに容易に侵入できるポイントができてしまいます。
セキュリティチームの連携不足
各セキュリティチームがエコシステム全体の状況を把握できていなければ、攻撃者が機密データや機能にアクセスするのを防ぐことができません。また、各チームにリソースが偏って割り当てられていたり、専門のチームが存在しない場合も同様です。
サイバーセキュリティー対策を支えるポリシーや手順の欠如
サイバーセキュリティ技術は、適切なポリシーと手順が明確にされていなければ、その効果は十分に発揮されません。
多すぎる官僚主義が効果的なサイバーセキュリティを妨げる
稟議書が多すぎると、効果的な攻撃への対応ができなくなります。攻撃を受けた際には、権限を与えられた担当者が業務を遂行し、スマートシティのシステムをオンラインに保つことができます。
適切なデータ暗号化ができていない
スマートシティのエコシステムの一部または全部が暗号化されていないと、機密データが危険にさらされます。
サイバーセキュリティソリューションの監査・認証の不備
サイバー攻撃の最中に、セキュリティ対策が機能していないことに気付くのは最悪のタイミングです。セキュリティ監査は、パフォーマンスのベースラインを確立し、頻繁なテストによってすべてのサイバーセキュリティソリューションが機能していることを確認します。
専任のサイバー攻撃対応計画やチームがない
サイバー攻撃を受けた際に、協調性やリーダーシップが欠けていると、効果的な対応ができません。市の防災計画が技術に対する脅威を考慮していない場合、被害を最小限に抑えることが困難になります。
セキュリティ対策の予算がない
都市によっては、サイバーセキュリティに十分な予算が割り当てられていない場合があります。リソースが不適当に制限されることで、防御策が損なわれます。資金不足の原因は、不十分な市の収入、他の機関や部門での不足、セキュリティに対する優先順位の低い位置付けが考えられます。また、そのような環境の中で購入できるセキュリティソリューションは、古いものであったり、新たに出現した脅威に対応できない場合があります。古いシステムを維持することは、最新のソリューションに投資するよりも、長期的にはより多くのリソースを必要とします。
サイバーセキュリティ・トレーニングの予算がない。
サイバーセキュリティは、携わる人々が適切なトレーニングを受けていないと効果を発揮できません。このようなスマートシステムに関わるすべての人を対象としたサイバーアウェアネストレーニングは不可欠です。想定外のサイバー攻撃が阻止されることで、より高度なハッカーに対応するためのリソースが確保されます。
セキュリティ担当者の不足
スマートシティのセキュリティ問題は、適切な技術者が配置されていないことに起因する場合があります。ITセキュリティは採用競争が激しいため、都市では優秀な人材を確保できないという問題を抱えているかもしれません。
ランサムウェアやDDOS攻撃に対する重大な脆弱性
スマートシティのシステムは、信号機、911システム、照明、その他の公共サービスなど、多くの機能に欠かせないものです。もし攻撃者がDDOSやランサムウェアでシステムをダウンさせた場合、スマートシティは災害を引き起こす前に、何としても復旧に努めなければなりません。
スマートシティのサイバーセキュリティにどう取り組むか
World Economic Forum と Deloitteは スマートシティのサイバー攻撃のリスクに積極的に対処するための提言を発表しました。これらの戦略により、スマートシティ政府は、スマートテクノロジーのセキュリティを強化し、危機時に早急に対処し、これらのシステムをオンラインで維持する計画を立てることを可能にします。
このように高度に相互接続されたシステムでは、あるソリューションの脆弱性が他のソリューションに容易に波及するため、サイバーセキュリティに関するすべての判断は、エコシステム全体に基づいて行わなければなりません。セキュリティを中心としたアプローチにより、共通の攻撃対象を排除することができます。また、ポリシーや手順を通じて成功事例を導入することで、これらのシステムの一部として統合されます。
スマートシティの政府は、この戦略を推進するために、適切なトレーニングと人材を必要としています。リソースが不足していると、緊急時に適切な対応をすることが難しくなるからです。専任チームは、この環境をサポートし、新たに増大する脅威に対し、改善することに注力します。また、十分なリソースを確保するために、市のリーダーにサイバーセキュリティ対策を支持してもらうことも重要なステップとなります。
スマートシティをサイバー攻撃から守るためには、多くのチーム、機関、選挙民、その他の関係者からなる強固で柔軟なサイバーセキュリティ戦略が不可欠です。ハッカーを防御することで、都市は近代化された技術を通して住民に変革をもたらす体験を提供することができます。