数億ドルの被害も! 船舶デジタル化の裏に潜む「サイバー攻撃」のリスクをご存じか

キーワード :
,
船舶のデジタル化が急速に進んだことで、効率や安全性が向上した一方、サイバー攻撃のリスクも増えている。実際に名古屋港やMaerskは被害を受け、数億ドル規模の損失が発生した。今後、海運業界ではサイバーセキュリティ対策の強化が欠かせない。

サイバーセキュリティーの国際規則

 このような事態を受けて、2022年にIACS(国際船級協会連合)は船舶のサイバーセキュリティーを強化するためにふたつのUR(統一規則)を発行した。それが「UR E26」「UR E27」である。UR E27は船上のシステムや機器のサイバーレジリエンスに関するもので、対象は機器の製造者(供給者)だ。一方、UR E26は船舶のサイバーレジリエンスに関するもので、造船所や船主が対象となっている。

●UR E27
 UR E27はシステムや機器の製造者(供給者)が対象で、船舶の材料や機器は船級の承認を受ける必要がある。承認には、個品承認と使用承認の2種類があり、個品承認は製品ごとの承認が必要で、使用承認は代表的な型式に対してあらかじめ取得するものだ。どちらの承認を取得するかによってプロセスは異なるが、いずれも書類審査と立ち会い検査が必要になる。

 書類審査では、コンピューターシステムの資産インベントリ、トポロジー図、セキュリティー機能の説明、試験方法案、セキュリティー構成指針などの図面を提出する必要がある。書類審査が完了すると、検査員の立ち会いのもとで立ち会い検査が行われ、合格すると証書が発行される。

●UR E26
 UR E26では、サイバーレジリエンスに関する要件が示されている。対象となる船舶は、2024年7月1日以降に建造契約が行われる総トン数500トン以上の国際航海に従事する貨物船や高速船である。内航船や2024年6月30日以前に建造契約を行った船舶は対象外となる。

 サイバーレジリエンスとは、船舶がサイバー攻撃を受けてもその影響を最小限にし、回復・適応する能力を指す。UR E26では、サイバーリスクに強い安全・安心な海運を支援するため、サイバーリスク管理のための五つの機能要素を定義している。

・識別(Identify):船内のシステムや人、資産、データに対するサイバーセキュリティーリスクを管理するための組織的理解を深める。
・防御(Protect):サイバーインシデントから船舶を保護し、運航の継続性を最大化するための適切な保護措置を策定し、実施する。
・検知(Detect):船上でのサイバーインシデントの発生を検知・特定するための適切な対策を実施する。
・対応(Respond):船内で検知されたサイバーインシデントにどのように対応するか、適切な対策と活動を策定し、実施する。
・復旧(Recover):サイバーインシデントにより損なわれた運航能力やサービスを回復するための適切な対策と活動を行う。

全てのコメントを見る