スマートシティのサイバーセキュリティ、厳しい監視の下で

接続性の向上と接続デバイスの増加は、スマートシティの普及に直接影響を与えています。地方自治体は、市民サービスの向上を目的に、新しいスマート技術を取り入れたプロジェクトを独自に、または他の政府機関や団体と連携して推進しています。

最近の国連の調査では、これらのツールの導入状況が世界的に概観されており、世界中の自治体の69％がこの分野において戦略的なアジェンダを持っていることが示されています。しかし、接続デバイスの数が増えるにつれて、攻撃対象領域も拡大します。2024年には約83,000個のセンサーが設置されたと推定されています。

ネットワーク化されたセンサーがサイバー攻撃者の侵入口となる実例はすでに数多く存在します。2017年には、ダラスの竜巻警報システムがハッキングされ、すべての警報が一斉に鳴動しました。同年、ドナルド・トランプ氏の初就任式直前には、ワシントンD.C.の監視カメラシステムの70％がランサムウェアによって停止しました。2021年には、フロリダの水処理施設で化学成分の濃度が改ざんされました。都市交通もまた敏感な分野であり、2023年にはスマートシティの先進都市として知られるポーランド・オルシュティン市の交通管理システムがサイバー攻撃を受け、交通渋滞や市内交通のチケット購入不能などの問題が発生しました。

環境測定システム、灌漑システム、ごみ管理システム、公的建物のガス・電気管理システムなど、より多くのデバイスが統合されるにつれて、市民サービスへの攻撃の可能性はさらに高まります。

スマートシティのリスクの複雑さ

スペインおよびポルトガルのアクセンチュアでサイバー・フィジカル・セキュリティ部門を率いるエンリケ・ドミンゲス氏は、「スマートシティは、その重要なシステムのハイパーコネクティビティ…および運用に関わる多数の関係者の存在により、サイバーセキュリティの観点で前例のない複雑さをもたらします」と述べています。

その結果、これらは公共サービスであり、1つのデバイスの侵害が都市全体に連鎖的な影響を及ぼす可能性があるため、全周囲を保護する必要があります。

スマートシステムでは、しばしば異なる世代の機器が組み合わされており、その多くはすでに旧式化しているか、旧式化しつつあることを考慮すると、状況はさらに複雑になります。

「この種のセンサーは企業ネットワークへの侵入口となります」と、スペインのデジタルソリューション企業Zebra Technologiesの公共部門責任者であるカルロス・デ・ラ・クエスタ氏は強調します。新しい技術は工場出荷時に保護機構が備わっていますが、市内ネットワークには依然として多くのレガシーデバイスが存在し、非常に脆弱だと彼は言います。「一見重要でないように思えるものでも、アクセスを許すことで問題になることがあります。」

デ・ラ・クエスタ氏は、2020年に有名になったアーティストによるGoogleマップ“ハッキング”の事例を挙げています。そのアーティストは、位置情報をオンにした99台のスマートフォンをカートに入れて運び、ナビゲーターがそれを99台の車両と認識し、実際は空いている場所で渋滞警報を出しました。

「だからこそ、すべてを管理し、安全にし、できるだけアクセスしにくくすることが重要です。なぜなら、100％完全なセキュリティは存在しないことは誰もが知っているからです」とデ・ラ・クエスタ氏は言います。「必ずどこかでセキュリティが低下するポイントはありますが、できるだけ多くの障壁を設け、アクセスを困難にすることが大切です。」

アクセンチュア。写真はエンリケ・ドミンゲス。

S2GRUPOの公共部門ディレクター、ロサ・ディアス・モレス氏も、スマートシティの複雑さとそれに伴うサイバーセキュリティ上の課題を強調しています。

公共サービスのデジタル変革は「ITとOTシステムの加速的な融合、そして大量のIoTデバイスの導入」を伴うと彼女は説明し、これにより攻撃対象領域の拡大や、老朽化インフラと最新インフラの共存、複数のプロバイダーによって展開されたデバイスの可視性・管理不足といった課題が生じると述べています。

また、彼女は新しい都市モデルに適応したセキュリティアーキテクチャが存在しないケースや、インフラ展開の成熟度不足、リアルタイムでの検知・対応能力の限定性についても警鐘を鳴らしています。

「欧州サイバーセキュリティ機構によると、IoTを導入している欧州の地方自治体の86％が、これらのデバイスに関連する何らかのセキュリティ侵害を経験しています」と彼女は述べています。

アクセンチュアのドミンゲス氏は、課題として「行政、コンセッション事業者、第三者間の責任分担の分断がサイバーセキュリティガバナンスを複雑にし、高度な調整モデルを必要とする」と付け加えています。

デ・ラ・クエスタ氏もまた、プロジェクト開発が縦割りであることが、積極的なサイバーセキュリティ戦略の策定を大きく妨げていると強調します。

スペインのスマートシティ、サイバー課題に挑む

ここスペインでは、いくつかの都市のプロジェクトが国際的なスマートシティの先駆者として注目を集めています。IMD世界競争力センターが実施した2025年のスマートシティ・インデックスでは、ビルバオ（29位）、マドリード（38位）、サラゴサ（52位）、バルセロナ（92位）の4都市が世界146の主要スマートシティにランクインしています。スマートシティは、Red.esの2025年上半期の財務報告でも開発優先事項の一つとして明らかにされており、スマート都市インフラ向けデータスペース（EDINT）や、スペイン自治体・州連盟のスマートシティネットワークとの協定などの取り組みが進められています。

Zebra。写真はカルロス・デ・ラ・クエスタ。

「公務員の方々には敬意を表したいです。少ないリソースで多くのことを成し遂げています」とZebra Technologiesのデ・ラ・クエスタ氏は語ります。「もちろん間違いもあり、時には後戻りすることもありますが、全体的にはかなりうまくやっています。」

新しいツールの導入において、スペインが5Gなどの分野で先進的な立場にあるにもかかわらず、「技術の進歩は政府の対応能力よりもはるかに速い」と彼は言います。

「民間企業のように、投資判断に一定の俊敏性があるわけではありません。公共機関ははるかに遅いのです。予算も異なります。行政手続きは非常に長いです。プロジェクトが最初に議論されてから実行されるまで、何年もかかります。」と彼は説明します。

彼の経験では、政府がサプライヤーに求めるセキュリティ要件はますます厳格になっており、国家暗号学センターなどの組織が定める最低基準に沿っています。

アクセンチュアのドミンゲス氏も同意します。「スペインは、NIS指令や国家セキュリティスキーム（ENS）の導入による規制強化や、制度的な意識の高まりのおかげで、近年、重要な都市インフラの保護において大きな進展を遂げました。」

ドミンゲス氏によれば、マドリード、バルセロナ、バレンシア、マラガは「OTセキュリティ、ネットワーク分割、リアルタイム監視、協調的なインシデント対応を統合したサイバー保護イニシアチブを構築しています。しかし、保護レベルは依然として不均一で、多くの場合、受動的です。」

彼は、自治体CISOが直面する主な課題として、自治体レベルでの専門リソース不足と、「設計段階からサイバーセキュリティを統合しないこともある」テクノロジープロバイダーへの依存を挙げています。

S2Grupo。写真はロサ・ディアス・モレス。

包括的なセキュリティ計画が必要

S2GRUPOのディアス氏は、同社がスマートシティで見つかる脆弱性の種類を浮き彫りにするプロジェクトに取り組んできたと述べています。たとえば、同社は複数の自治体でスマート街路灯システムのサイバーセキュリティ評価を実施し、「サイバー攻撃によって広範囲の停電を引き起こす可能性があることが判明し、市民の安全に大きな影響を及ぼす」と彼女は言います。

また、別の欧州都市では都市交通制御システムを分析し、信号機のサイクルを改ざんできることを検出しました。

「これらの事例は、セキュリティ侵害が直接的な物理的影響を持ちうることを示しており、接続された都市インフラのサイバー保護への投資の緊急性を強調しています」と彼女は述べています。

「いくつかの大都市では都市サイバーセキュリティ戦略が進展していますが、大半の中小自治体では構造的な欠陥が見られます」と彼女は言い、包括的な計画なしの展開や、暗号化されていない、または更新されていないデバイスの存在を指摘しています。

「サイバーセキュリティはもはや行政のIT環境だけに限定できません」と彼女は言います。「分散システム、接続された物理資産、インテリジェントプラットフォームの保護も組み込む必要があります。」

ディアス氏によれば、ゼロトラストアーキテクチャ、ネットワーク分割、高度な検知、都市サイバーインテリジェンスなどがこの新しい状況での重要な要素です。都市に適用されたIoTのすべての利点は、適切な保護がなければ大きな問題になり得るからです。