Rate this article:  

IMO(国際海事機関)は、船主と運航者に、2021年までにサイバーリスク対策を船舶の安全管理システムに組み込むことを推奨していますが、サイバー犯罪者は既に活動しています。彼らは、しばしば新型コロナウイルス感染症(COVID-19)のパンデミックのような危機に乗じて様々な手口を繰り出してきます。

こちらは、英文記事「Cyber security amid a global pandemic」(2020年4月6日付)の和訳です。

現在、物理的なアクセスの遮断、船舶の検疫、渡航制限などの運航上の問題が生じていますが、これらに対処すべく、船主たちは積極的にリモートアクセスの導入を進めており、船舶へのリモートデジタル調査ツールの実装や、陸上職員の在宅勤務が奨励されています。

また、モバイルデバイスから船内の運航システムや社内の業務基幹システムへのアクセスも増加しています。もし、デバイスが保護されていない場合は、データの喪失やプライバシーの侵害が発生したり、システムの復旧と引き換えに身代金を請求されたりする危険性があります。資産であるデータを保護するためには、機密性、統合性、可用性をバランス良く維持することが不可欠となります。

技術の高度化、クラウドサービスの普及、船舶向けネットワーク機能の向上に伴い、至る所にネットワークが張り巡らされる今、サイバー脅威は増加の一途をたどっています。サイバー犯罪者は、高度に洗練された手口で運航システムやバックアップ機能を同時に攻撃し、破壊的なサイバー攻撃を仕掛けてきます。サイバーセキュリティは、社内や船舶のシステム、プロセスがどのように設計されているかだけでなく、どのように使われるか(つまり、ヒューマンファクター)にも左右されます。

 

サイバーリスクの識別は容易でない場合がある

海運業界、船舶、乗組員に対して悪事を企てる犯罪者集団は、巧妙に組織化されており、その手口も常に進化しています。これは、サイバーリスクの性質が全般的に高度化しつつあることの現れです。サイバーリスク管理に対するアプローチは、各企業、各船の状況に応じたものでなければなりませんが、関連する国内・国際規制や旗国の規制の要求事項にも則さなければなりません。

船主と運航者が、サイバーリスクを評価し、自船の安全管理システム(SMS)にサイバーリスク対策を組み込み、乗組員の意識向上訓練を実施すべき時期が到来しています。また、船主と運航者は、陸上と船内の全レベル・全部門にわたってサイバーリスクに対する意識を醸成していくべきです。こうすることで、継続的に機能し、船員からのフィードバックに基づいて常に評価・検証可能な、柔軟なサイバーリクス管理体制を構築する必要があります。

多数の船級協会や海運コンサルティング会社から船舶向けのサイバーセキュリティに関するガイドラインや推奨事項が提供されています。旗国の当局に代わり、認定代行機関(RO)として、サイバーリスクを含む安全管理システム(ISM)検査を提供できるようになった船級協会もあります。

また、サイバーシステムの設計・運用面で安全性が証明された船舶にサイバーセキュリティ証明(notation)を発給したり、サイバーセキュリティ対策を実施したシステムやコンポーネント提供するメーカーを支援するためのサイバーセキュリティタイプ認証を発給する船級協会もあります。

さらに、アドバイザーとして、船上と陸上の双方に向けて、サイバーセキュリティリスクの評価、改善、侵入テスト、訓練支援を提供する船級協会もあります。

Gardでは、メンバーの皆様の利益を最善の方法で保護することに努めています。Gardが推奨するのは、サイバーリスクに対する総合的なアプローチを講じて、プロセス、テクノロジー、そして(最も重要な点として)人的な要素をカバーする対策により、ITとOTの両システムの機密性、統合性、可用性を保護することです。サイバー犯罪者がこうしたシステムにアクセスするための常套手段(そして、最も簡単な方法)は、不注意な者や訓練を十分に受けていない者につけ込むことなのです。

 

推奨事項 1:規程、手順、リスク評価に重点を置く

Guidelines on Cyber Security Onboard Ships(船上でのサイバーセキュリティに関するガイドライン)の最新版では、サイバーインシデントが発生した場合には、物理的な影響が生じ、安全性や汚濁事故にもつながりうるとしています。したがって、企業ではIT機器のみならず、船内のOT機器の使用に起因するリスク評価も実施して、これらに関わるサイバーインシデントに対する適切な保護措置を確立する必要があります。

会社のサイバーリスク管理の計画・手順は、会社規程に含まれるISPSコードとISMコードに記載の既存のセキュリティと安全に関するリスク管理要求事項と合致するものでなければなりません。重要なサイバーシステムの訓練・運用・保守管理に関する要求事項も、船内の関連文書に含める必要があります。

IMOの海上安全委員会(MSC)は、2017年6 月、Maritime Cyber Risk Management in Safety Management Systems(安全管理システムでの海上サイバーリスク管理)に関する決議MSC.428(98)を採択しました。同決議では、2021年1月1日以降で最初の適合証書(DOC)に関する年次検査の前に、承認済み安全管理システム内に、ISMコードの目的と要求事項に則したサイバーリスク管理を含める必要があるとしています。

決議MSC.428(98)では、サイバー主導型システムへの依存度の上昇に伴う運用上のリスクに対処するために、Guidelines on maritime cyber risk management(海上サイバーリスク管理に関するガイドラインMSC-FAL.1/Circ.3内の推奨事項をベースに、既存のリスク管理手法を使用する必要があるとしています。同ガイドラインでは、効果的なサイバーリスク管理を支援するために実行できる行動として以下を規定しています。

  1. 特定:サイバーリスク管理責任者の職務を定義する。また、妨害された場合に運航にリスクをもたらすシステム、資産、データ、機能を特定する。
  2. 防御:サイバーインシデントから船舶を防御し、海運業務の継続性を確保するための危機管理計画を作成するとともに、リスク管理プロセスと対策を導入する。
  3. 検知:サイバーインシデントを速やかに検知するために必要なプロセスと防御策を開発・導入する。
  4. 対応:サイバーインシデントによって停止された海運業務・サービスに必要な回復力の提供とシステムの復元のための活動・計画を開発・導入する。
  5. 復旧:サイバーインシデントの影響を受けた海運業務に必要なサイバーシステムのバックアップ方法と復旧方法を特定する。

適合証書(DOC)の保持者は、船上のサイバーリスク管理を確保する最終的な責任を負います。船舶が第三者の管理下にある場合、船舶管理者は、その場合の責任者について船主との間で合意を形成しておくべきです。特に、責任の分担、実務面の期待する事項、船長に対する具体的指示、購買の意思決定と予算設定への参加について、両者で決めておくべきです。

ISMの要求事項以外にも、EU一般データ保護規則(GDPR)やその他の沿岸諸国における固有のサイバー規制などの適用法令も考慮に入れた合意とする必要があります。船長や船主は、船上での効果的なサイバーリスク管理体制を確立するためのベストな方法について議論するためのベースとして、これらのガイドラインの利用を検討するべきです。サイバーリスク管理の責任分担に関する合意は、正式な書面で定めることが望まれます。

サービス提供業者の物理的なセキュリティやサイバーリスクの管理プロセスについても、評価を実施し、サプライヤー契約書に含めておくべきでしょう。船舶が港に寄港する際の取り決めも、国際的な側面と地域的な側面の両方があり、非常に複雑です。これには、代理店からの最新情報の取得、港湾事業者との情報確認、ポートステートコントロール関連対応、船舶や乗組員に必要なものの手配、船舶・港湾・陸上当局の間における電子通信も含まれます。

代理店の品質基準も重要です。なぜなら、代理店もサイバー犯罪者から狙われるからです。不正な電子送金や虚偽の代理店起用といったサイバー犯罪や、ランサムウェアやハッキングなどのサイバー脅威に対しては、リスク軽減のため、船主と代理店間で相互に整合させたサイバー戦略を策定し、関係を強化しておく必要があります。

 

推奨事項 2:システムの設計・構成について、安全性を確保し、十分に理解する

手順に関してよくある問題は、いくら意図が適切であっても、単に文書化しただけで終わってしまうことです。重要なのは、サイバーセキュリティの手順書の作成に関わる担当者が、その手順の目的は不正アクセスを防止することであり、単に監督当局や直属の上司を満足させることではないことを理解することです。

安全とセキュリティにおける他の(証拠の履歴が残る)分野とは異なり、サイバーリスクの分野では、事象の発生事実とその影響が明確になりにくいため、サイバーリスク管理はより困難です。証拠が得られない限り、攻撃の規模と頻度が不明な状況は続きます。

海運業界や他業界(金融機関、行政機関、航空輸送業界など)の各事例は、サイバー攻撃を防げなかった場合、甚大な被害が発生することを示しています。

特に、船内でネットワークの安全が確保されていない場合やインターネットへのフリーアクセスを認めている場合は、新しいテクノロジーの導入に伴って船舶の脆弱性がさらに高まる可能性があります。また、船内に設置した機器やネットワークシステムに対して、その機器のメーカーからリモートでアクセス可能な状態になっていることを船員も陸上の担当者も把握していないようなケースもあります。運航中の船舶に対して知らない間にリモートアクセスされる可能性についても、リスク評価の一環として重要なポイントとなります。

Gard では、各船社が、船舶のITシステムとOTシステム自体についてだけでなく、こうしたシステムが陸上側(公的機関、海上ターミナル、港湾作業員など)とどのように接続され、統合されているのかを十分に理解しておくよう推奨しています。これには、船内のコンピューターベースのシステムのすべてと、サイバーインシデントが発生した場合の船舶の安全、運航、事業がどの程度損なわれるかを理解しておくことも含まれます。

ITシステムやOTシステムの中には、リモートアクセスが可能なものもあり、リモートでの監視、データ収集、メンテナンス、セキュリティ更新のためにインターネットに常時接続されているものもあります。これらは、請負事業者がシステムをリモートで監視・メンテナンスする「第三者のシステム」である場合があり、双方向通信あるいは送信のみのいずれかが許可されている可能性があります。

 

リモートでの制御、アクセス、設定が可能なシステムやワークステーションには以下のものがあります。

  • 船舶の管理ネットワークに接続されているブリッジや機関室のコンピューター
  • 温度制御システムを備えた冷凍コンテナ等の貨物やリモートで追跡管理される特殊貨物
  • 船舶の復元力判定支援システム
  • 船体にかかるストレスの監視システム
  • 航海用電子海図(ENC)や航海データ記録装置(VDR)等の航行システム
  • 自動船位保持システム(DP)
  • 荷役、積付け・エンジン・貨物管理、荷積計画に用いる各システム
  • 有線テレビを用いた監視カメラ(CCTV)等、安全とセキュリティのためのネットワーク
  • 掘削作業、破裂防止、海中設備システム等の特殊システム
  • ガスタンカーの緊急停止装置(ESD)、海底ケーブル設置・修復用システム

 

既存船のサイバー面における脆弱性の例として以下のものがあります(新造船でも脆弱な場合があります)。

  • OSが旧式でありサポートが終了している
  • ウィルス対策ソフトウェアやマルウェア対策が旧式である、あるいは導入されていない
  • セキュリティ設定や運用が不適切(ネットワーク管理の設定が不適切である、管理者アカウントとパスワードが初期設定のまま変更されていないなど)
  • ネットワークのゲートウェイの保護対策とセグメント化が不十分である
  • 安全上の重要な機器やシステムが、陸上側から常時接続されている
  • 請負事業者やサービス提供業者等の第三者に対するアクセスコントロールが不十分である

 

推奨事項 3:適切な啓蒙活動と訓練を実施する

サイバーセキュリティで最も弱点となるのは、ヒューマンファクターです。したがって、船員向けの適切な訓練を実施し、サイバーインシデントを認識・報告できるようにすることが重要です。

最新のサイバーセキュリティ調査によると、海運業界内ではサイバーセキュリティに対する認識は高まっており、サイバーリスク管理の訓練も実施されるようになってきていますが、まだ改善の余地はあります。Futurenautics Maritimeグループと提携企業が実施した「2018 Crew Connectivity Survey(2018年船員のコネクティビティ調査)」でもこのことが裏付けられています(この調査で、サイバーセキュリティの訓練を受けたと回答した船員はわずか15%であり、直近で乗船勤務していた船でパスワードの定期的な変更を求める規程があったと回答した船員も33%にとどまっています)。

サイバーリスクを評価する際は、外部と内部の両方のサイバー脅威を考慮する必要があります。ITシステムや OTシステムの保護に重要な役割を果たすべき者が、例えば、システム間でデータを移動させようとしてマルウェアに感染したリムーバブルメディアを使用してしまうなどのケアレスミスを犯す可能性があります。船長、オフィサー、クルーなど、レベルに応じた適切な訓練と啓蒙活動を実施すべきです。

Gardは以前、DNV-GLと共に、乗組員の能力向上に向けた、無料でダウンロード・共有可能な cyber security awareness campaign(サイバーセキュリティ意識向上キャンペーン)を制作しています。同キャンペーンは、「一般の人々」にサイバー問題を分かりやすく説明することを目的としており、日々のタスクやルーティンに焦点を合わせています。なお、同キャンペーンは、業界に変革や規則の変更を提案するものではなく、人々の振る舞いや行動の変化を促すことを意図して作成されたものです。

 

最後に、常に警戒を続け、あらゆる「COVID-19便乗フィッシング」を回避するために、以下を実践することを推奨します。

  • COVID-19に関連する件名、添付ファイル、ハイパーリンクを含む電子メールが届いた時は注意する。また、COVID-19に関連するソーシャルメディア上のキャンペーン、携帯メール、電話にも注意する。
  • 正規のウェブサイトや政府のウェブサイトなどの信頼できるソースから、サイバーセキュリティやCOVID-19に関する最新の事実に基づいた情報を入手するようにする。
  • 電子メールに個人情報や金銭に関する情報を記載しない。また、そのような情報を要求してくるメールには返信しない。
  • 業務終了後は、外部の関係者に一時的に付与していたリモートアクセスを必ず切断または閉じるようにする。

 

その他の情報源からの役立つ情報を以下にまとめています。

 

Gard

2019 年 8 月 - 海運業界がサイバー犯罪者の標的となっています

2019 年 7 月 - これ以上、サイバーセキュリティを見過ごすことはできません

2019 年 1 月 - デンマークが海運セクターのサイバー脅威を確認

2018 年 12 月 - 船上のサイバーセキュリティ管理を強化すべき時期です

2018年6月 - Cyber security awareness campaign (サイバーセキュリティ意識向上キャンペーン)

船員の意識向上・トレーニング用フルビデオ20分(MP4 - 635Mb)

意識向上キャンペーンショートビデオ3分 (MP4 - 102Mb)

損失防止ポスター Cyber security(サイバーセキュリティ)

損失防止ポスター Think before you click(クリックする前によく考えて)

損失防止ポスター Is your download free of malware? (ダウンロードデータにマルウェアは含まれていませんか?)

 

BIMCO(ボルチック国際海運協議会)

BIMCOは、 2019年10月、 ICS(国際海運会議所)と共に、船長とオフィサーがサイバーインシデントに備えて参照できる「Cyber Security Workbook for On Board Ship Use (船舶向けサイバーセキュリティワークブック)」を発行しました。

2019年9月、BIMCOはSafety at Sea 社と共同で、「サイバーセキュリティホワイトペーパー」を発行しました。過去4年間のサイバーセキュリティ調査で得た結果と所見に基づくアドバイスを始め、カンファレンスの際に専門家から得たフィードバックや情報が掲載されています。

2019年8月、BIMCOは主要な海運業界団体と共に、「Guidelines on Cyber Security onboard Ships(船上でのサイバーセキュリティに関するガイドライン)」(通称BIMCOガイドライン)第3版を発行しました。同ガイドラインは、船主と運航者が船内のサイバーシステムのレジリエンス(回復力)を向上させ、統合性を維持できるように、サイバーセキュリティの運用評価方法および必要な手順と措置の実行方法を提示しています。同ガイドラインは、IMO Guidelines on Cyber Risk Management(サイバーリスク管理に関するIMOガイドライン)に記載されている推奨事項とも合致した内容となっています。また、よくあるサイバーインシデントの防止に役立つこちらの便利なポスターもご覧ください  。


米国コーストガード

米国コーストガードは、2015年7月、サイバー攻撃を米国の経済と国家安全保障上の利益に対する最大の脅威の一つと認識し、Cyber Strategy(サイバー戦略) 文書を公表しました。コーストガードのサイバーセキュリティ関連ウェブサイトからは、同文書に加え、Cyber Maritime Bulletins などの各種サイバー関連情報が入手できます。これらを閲覧するには、http://homeport.uscg.mil の[Missions] > [Cybersecurity]のページに進んでください。

米国コーストガードは、2018年12月13日、Guidelines for Cybersecurity Onboard Ships(船上のサイバーセキュリティに関するガイドライン)第3版を公開しました。同ガイドラインは、サイバーインシデントによる安全、環境、ビジネス面への潜在的影響を軽減するために作成されたもので、企業が船内のサイバーリスク管理に対する独自のアプローチを策定する際の参考となるものです。

DfT英国運輸省)

DfT(英国運輸省)は、2017年9月13日、Code of Practice: Cyber Security for Ships(船舶のサイバーセキュリティに関する実施要項)を発表し、その中で、船舶、乗組員、乗客、貨物の安全または安全保障に影響を与えうるサイバーインシデントのリスクを軽減するための管理フレームワークを提示しています。同実施要綱は、2020年1月27日にDfTが発表した最新版の「Good practice guide: cyber security for ports and port systems(港湾および港湾システムのサイバーセキュリティに関するグッドプラクティスガイド)」と併用して使用する内容となっています。

前述の実施要綱は英国の海上警備規則を参考にしていますが、同規則の規定がSOLAS条約、ISMコード、ISPSコードの規定を補完するものであることから、前述の実施要綱は、あらゆる国籍の船舶に有益な指針書であると考えられています。

各船級協会

ABS(米国船級協会) Cyber insight: A Simple approach to understanding cyber risk in OT assets(サイバーインサイト:OT資産におけるサイバーリスクを把握するための簡単なアプローチ)

ABS(米国船級協会) Cyber insight: Cyber Security Solutions for Operational Technology(サイバーインサイト:運用技術(OT)を保護するためのサイバーセキュリティ対策)

ABS(米国船級協会) Application of Cybersecurity Principles to Marine and Offshore Operations - CyberSafety Volume 1(海上および陸上でのサイバーセキュリティ原則の適用 - CyberSafety 第1号)

DNV GL Maritime cyber security insight (including ISM guidance)(業界のサイバーセキュリティインサイト〔ISMのガイダンス含む〕)           

DNV GL Recommended practice : Cyber security resilience management(推奨実務:サイバーセキュリティのレジリエンス管理)

ロイズ レジスター Cyber insight - Tackling an evolving threat(サイバーインサイト - 進化する脅威に立ち向かう )

ロイズ レジスター Procedure for the Assessment of Cyber Security for Ships and Ships Systems(船舶・船舶システム向けサイバーセキュリティ評価手順)