欧州にみるスマートシティのサイバーセキュリティ：ビッグデータ利活用と問題解決のいま（2/3 ページ）

[笹原英司，ITmedia]

スマートシティの階層にサイバーセキュリティ脅威をマッピングする

　スマートシティのように、モノのインターネット（IoT）とビッグデータがシームレスかつリアルタイムに連携する環境下では、アーキテクチャを構成する階層ごとにITリスク管理対策を講じる必要がある。本連載第23回および第24回で、米国の事例を取り上げたが、ENISAの報告書も同様のコンセプトをベースにしている。

　図3は、ENISAの報告書で、スマートシティに対する脅威をマトリックス化したモデルの例を示している。縦軸については、セキュリティ脅威をモデル化するために、可用性（例．継続的なDoS攻撃）、完全性（例．情報の改ざん、損失）、真正性（例．なりすまし、偽り）、機密性（例．立ち聞き、通信傍受）、否認不可／説明可能性（例．レピュテーションの損失）の5つのカテゴリーに分類している。他方、横軸については、図1に示したフィールドコンポーネント層、データ転送ネットワーク層、データ処理層、データ集計／コネクティビティ層、スマート処理層に分類し、脅威カテゴリーとのマッピングを行うというのが、基本的な考え方だ。

図3.スマートシティに対する脅威のマトリックス（出典：ENISA「Cyber security for Smart Cities. An architecture model for public transport」、2015年12月）

　そして図4は、公共交通分野のスマートシティにおける具体的な脅威の全体イメージを示したものである。意図的な攻撃からの脅威として、盗み聞き・通信傍受、権限外利用／アクセス、改ざん／変更、窃盗、分散サービス妨害攻撃（DDoS）、レピュテーションの損失などを挙げている。他方、偶発的なアクシデントからの脅威として、ハードウェアの障害／故障、ソフトウェアのエラー、オペレーター／ユーザーのエラー、電磁／周波の妨害／干渉、サポートの終了／陳腐化、天災、環境インシデントなどを挙げている。

図4.公共交通分野のスマートシティにおける脅威の全体イメージ（出典：ENISA「Cyber security for Smart Cities. An architecture model for public transport」、2015年12月）

　ENISAは、このようなフレームワークを踏まえた上で、以下の8項目を提言している。

1. 地方自治体はハーモナイズされたサイバーセキュリティフレームワークの開発を支援すべきである
2. 欧州委員会と加盟各国は産業界、加盟国、地方自治体の枠を越えてサイバーセキュリティにおける知識の交換とコラボレーションを促進すべきである
3. インテリジェンス公共交通事業者はセキュリティ要件の明確な定義を構築すべきである
4. 製造企業とソリューションプロバイダーは製品にセキュリティを統合すべきである
5. インテリジェンス公共交通事業者と地方自治体はサイバーセキュリティにおける経営層の責任を定義すべきである
6. 欧州委員会と加盟各国は全ての関係者の責任を明確化すべきである
7. インテリジェンス公共交通事業者と地方自治体はより大きい支出をサイバーセキュリティに割り当てるべきである
8. スマートシティおよび標準化団体はスマートシティの成熟度のレベルにサイバーセキュリティを統合すべきである