スマートシティの未来は、ユートピアかディストピアか?

スマートシティへのハッキングは、重要インフラへのハッキングよりもさらに大きな被害が見込まれます。保護対策は後から付け足すのではなく、開発段階から組み込まなければなりません。

SmartCities_wide

スマートシティは、自動制御装置を活用して都市生活者を支援するという画期的なコンセプトです。コンピューターが登場する遥か昔から構想が練られ、SFの世界では、作者の目的に応じて、理想郷のようにも、暗黒の世界のようにも描かれてきました。今や日常の現実になろうとしていますが、それでもこの質問への答えは出ていません。スマートシティはユートピア(理想郷)でしょうか、それともディストピア(暗黒郷)でしょうか?

スマートシティは現代の都市生活が抱える数限りない問題を解決してくれるでしょうか?それとも、サイバー空間で突発的または日常的に混乱が生じても、私たちがそれに慣れてしまうのでしょうか?現時点では、どちらもあり得ます。

注意と警戒が間に合わない

危険に対する用心やリスク評価の前にテクノロジーを実装してしまうのは、今に始まったことではありません。利益や流行を最優先すれば、「思わぬ結果」を招きます。実際には予測できた結果なのに、どういう訳か無視されてしまったのです。

よくあるサイバーパンクの作品なら、こんな筋書きになるでしょう。あるハイテク企業が適切な市場に適切なタイミングで参入し、流行を取り入れた製品をリリースしたところ、瞬く間に世の中に定着しました。ただ、その製品はある問題を抱えていました(セキュリティが基準以下でした)。しかし、この企業は問題を解決する代わりに強力なマーケティング力を発揮して、批評家や競合企業の発言を阻止したり、評判を傷つけたりしました。同時に、製品の実用性や効果、「ライフスタイル」や「ステータス」に関する問題からユーザーの注意をそらそうとしました。そして、究極の(反論できない)見解として「間違いは誰にでもある」と主張するのです。

どこかで聞いたことがありませんか?実は、過去に同じような話がありました。あるソフトウェアパッケージが超有名になり、(セキュリティ上の欠陥とともに)世間に広まっていきました。「Slammerワーム」でピンときませんか?

もっとも、「スマートシティ」は別の話です。スマートシティでは、快適で効率的な都市機能があるだけでなく、突き詰めれば人間の命が危険にさらされます。都市は(あらゆる意味で)非常に重要なインフラです。コンピューター化の初期段階からセキュリティを考慮しておかないと問題が深刻化し、昨今、頻繁に話題になっている重要インフラストラクチャのサイバーセキュリティ問題よりもさらに大規模になる恐れがあります。この問題には早い段階での対応が必要です。

課題

サイバーセキュリティの観点からスマートシティの情報システムを考えてみたとき、どんな課題があるでしょうか。少し考えただけで、4つの課題が思い浮かびます。

  1. 相互運用、相互通信を必要とするテクノロジーや製品が多い。
  2. 組み込まれるテクノロジーの品質にばらつきが出る。
  3. スマートシティの情報システムが、リモートやオンサイトで悪用される可能性がある。
  4. 分析、保存対象データの量がかなり多い。

おなじみのサイバーセキュリティ問題が絡み合っていることがおわかりでしょう。一番外側の部分から見ると、さまざまなシステム間で相互運用や相互通信が行われているということは、システムの脆弱性につけこまれ他のもっと重要なシステムの制御を奪われる可能性があるということです。たとえば、最新の旅客機の機内Wi-Fiシステムが悪用され、航空電子機器が乗っ取られるかもしれません。これを都市にあてはめて考えてみてください。ネットワークがそれぞれ適切に分離されていなければ、あり得る話です。

また、「品質のばらつき」という問題もあります。おそらく、さまざまな世代に属するテクノロジーがごちゃ混ぜになるはずです。

それがどういう状態なのかは、すでに明らかです。そもそも、なぜ産業、公共サービスの「最新」の重要システムに問題があるかというと、こうしたシステムの多くが実は最新でないためです。その上、こういったシステムは、設計、構築時には存在しなかった接続技術に合わせてレトロフィットされているためです。

ところで、スマートシティシステムがハッキングされやすいのは、先日行われた、ある都市の監視カメラシステムに関する調査からよくわかります(詳しい調査結果はSecurelistに発表されています)。都会のCCTVネットワークには、多数の弱点(設定がいい加減、ハードウェアのラベルが無防備といったことから、データが暗号化されずに送信されているといったものまで)があることが示されました。

この調査は、想定外のことが起きるとセキュリティはどのように低下するかについて示唆に富んでいます。ぜひご一読ください。

そして、ビッグデータとそれに関わるセキュリティ問題の解決も必要です。

都市を「スマート化」する前に、こうした問題を他の多くの問題と一緒に検討しなければなりません。

おまけの話題:航空機のケース

さて、飛行機のハッキングについて、前にどんなことを書いたでしょうか?Kaspersky Labで次世代技術プロジェクトのリーダーを務めるアンドレイ・ニキーシン(Andrey Nikishin)によると、航空電子機器のデータは、独立したバス(Wi-Fiや機内エンターテインメントシステムには接続されていない)経由で送信されます。

しかし、米連邦航空局(FAA)は7年前、ボーイング社に警告を発したと報道されています。ボーイング787ドリームライナー、エアバスA350、A380は、Wi-Fiの設計に欠陥があり、ハッキングに対して脆弱になっているとのことです。今年4月のFAAの報告では、ドリームライナーは今でもハッキングの恐れがあります。

また、サイバーセキュリティコンサルタントのクリス・ロバーツ(Chris Roberts)氏は航空機の制御システムのハッキングに成功したとTwitterで触れ回っていました。実害はなかったものの、結局ロバーツ氏はFBIのおもてなしを受けることになりました。裁判所の記録では、同氏は機内からコンピューターシステムに20回も侵入し、飛行中の飛行機のエンジンを制御しようとしたとFBI捜査官に供述しています。

ロバーツ氏が嘘をついていない限り、この飛行機のシステムには本当に深刻な欠陥が存在します。実際、重要なネットワークと重要でないネットワークがファイアウォールだけで分離されているなら(ファイアウォールはハッキング可能です)、これらの航空機は、控えめに言っても安全ではありません。

これと同じことを、都市にあてはめてみましょう。または、『ダイ・ハード4.0』は、とてもわかりやすく映像化されているので、ご覧になってください。ただし、現実の世界では、たった1人のヒーローだけで事態を収拾できるわけではありませんが。

前もってトラブルを考える

スマートシティのコンセプトには、「サイバーセキュリティをレトロフィットしてから追加する」というオプションはありません。リスクが大きすぎるので、「サイバー版トロイ第7市」を構築できません。Kaspersky Labは、早い段階であらゆるレベルでサイバーセキュリティを考慮すべきだと考えています。

そのため、多くの主要ITセキュリティ企業が、今年5月末に開始された非営利のグローバルイニシアチブSecuring Smart Citiesに参加しています(もちろんKaspersky Labも)。

このイニシアチブの狙いは、スマートシティが直面するサイバーセキュリティ問題を、コラボレーションと情報共有を通じて解決することです。このグループは、現代都市のためのスマートで安全なテクノロジーの開発、改良、促進に携わる世界中の企業、政府機関、報道各社、非営利団体、個人の通信拠点として機能します。また、このイニシアチブのもう1つの狙いは、スマートテクノロジーの計画から導入まで、スマートシティのあらゆる開発段階で発生するサイバー問題を解決することです。

スマートシティは生まれるべくして生まれたコンセプトであり、そこで発生する問題を解決するのも当然のことです。しかし、適切で「最初からセキュリティを考慮した」アプローチをとれば、問題の数は大幅に減少するでしょう。これこそ、新しいイニシアチブの要です。

詳細については、本イニシアチブの公式サイトをご覧ください。

ヒント