フォーティネット・登坂恒夫がビジネス観点で考えるセキュリティ戦略
デジタル化とネットワーク接続が進む海運業/船舶、そのサイバーレジリエンスを高めるために
【提言】物流インフラ「船舶」で高まるサイバー攻撃リスク IT/OTセキュリティ視点で取り組みを
船舶/海運業の「IT/OTコンバージェンス環境」をどう守る?
こうして船舶/海運業におけるデジタル化、ネットワーク化が進んだことで、冒頭で挙げたようなサイバー攻撃のリスクが高まっています。特に、船舶という“OT環境”と、陸上(海運会社など)の“IT環境”がつながる「IT/OTコンバージェンス環境」になるため、セキュリティ対策の複雑さも増します。対策はどのように進んでいるのでしょうか。
2023年には、船陸間のデータ通信を対象とする新たな国際標準化規格、ISO23807が制定されました。これまで、船陸間のデータ通信では主に電子メール(添付ファイル)が活用されていましたが、ISO23807では、より安定的で(非同期通信にも対応)効率的、そしてセキュアな(通信の暗号化など)ファイル共有を実現するための要件を定義しています。
船内のレーダーやセンサーで収集した船舶IoTデータを、船舶から陸上へ安定的に送信することを主な目的としていますが、それ以外のファイル交換にも利用できます。たとえば、これからさらに高度化/自動化が進むであろう船上機器のソフトウェア更新、AIのロジック更新など、大容量でセキュアな通信が求められる用途にも対応しています。
一方、船舶および船舶が搭載するシステムについては、国際船級協会連合(IACS)が2022年に2つの統一規則(UR E26、UR E27)を発行しています。いずれも、サイバー攻撃のリスク低減と影響の最小化を図り、船舶の安全運行を確保する「サイバーレジリエンス」を目的としています。
「船舶のサイバーレジリエンス」を目的とするUR E26では、船舶の設計から建造、引き渡し後の運用までのライフサイクル全体において、OT環境とIT環境の双方を含む船舶全体を“1つのシステム”ととらえ、サイバーレジリエンスの確保を目指します。ここでは、「NISTサイバーセキュリティフレームワーク(NIST CSF)」と同様に、サイバー攻撃の識別/防御/検知/対応/復旧という5つのカテゴリーに基づく要求事項が定められています。
一方、「船上のシステム/機器のサイバーレジリエンス」を対象とするUR E27は、UR E26が適用される船舶が搭載する個別の機器レベルでのサイバーレジリエンス確保を目的としています。舶用機器メーカーが製品のUR E27承認を受けるためには、審査機関であるIACSへの申請が必要です。
UR E26における5つの「セキュリティ機能カテゴリー」と目的(出典:PwC)
UR E26/E27で示された要件からもわかるとおり、船舶/海運におけるサイバー脅威リスクを抑えるためには、海運事業者によるセキュリティ対策だけでなく、造船事業者や舶用機器メーカーも含めたサプライチェーン全体での取り組みが必要になってきています。こうした国際標準が定められたことで、今後はさらにセキュリティ対策の取り組みが進むことになるでしょう。
【提言】船舶サプライチェーン全体、事業者の経営層を巻き込んだ取り組みを
UR E26/E27は、2024年7月1日以降に建造契約された新造船に対して、適用が義務づけられました。海運会社、造船会社、舶用機器メーカーの各事業者は、サイバーセキュリティが確保された船舶を設計し、建造するとともに、引渡し後の運用段階においても機器のセキュリティアップデート対応に関する検討やインシデントについての対応計画や復旧計画を整備することが必要です。
UR E26/E27への取り組みは、NIST CSFへの取り組みと同様に「継続的に」行っていくことになります。セキュリティ管理組織の構築、セキュリティ人材の育成、セキュリティ運用プロセスの整備といった、組織としてサイバーセキュリティ対応を推進するための体制を構築することが重要であり、中長期的な計画づくりが求められます。
そのため、関係する各事業者の経営層では、ビジネス活動に影響を及ぼすサイバーリスクを逐次把握するとともに評価すること、それを可能にする「3線防御体制(スリーラインディフェンス)」を整備することになります。さらに、セキュリティ予算の計画的な確保、セキュリティリテラシー教育の実施、規模に応じたセキュリティ人材確保といったことも、経営層の役割ととらえるべきです。
一方で、情報セキュリティ部門などの現場担当者は、UR E26/E27の内容を把握し、それに合わせたセキュリティ運用プロセスの整備と、テクノロジーの導入検討を行う必要があります。また、セキュリティ担当者のスキルを向上させるために、サイバー脅威の知識習得やセキュリティ専門スキルの習得、ネットワーク/セキュリティ技術の習得を行っていくことが求められます。
このように、経営層とセキュリティ担当者がそれぞれに役割を果たすことで、船舶のサイバーセキュリティとサイバーレジリエンスが強化され、重要な社会インフラである海運の安全な運行が守られ、船員の労働負担軽減や居住環境改善なども実現すると考えます。
■筆者プロフィール
登坂 恒夫(とさか つねお)
2021年9月、フォーティネットジャパンにマーケティング本部 Field CISOとして入社。情報セキュリティ全般を通して、ユーザー企業の情報セキュリティ責任者に対して技術や脅威などの動向をお伝えするとともに、情報セキュリティ責任者との意見交換を通じて課題解決に向けた取り組みを支援する。フォーティネットジャパン入社前は、IDC Japanにおいて10年以上国内のセキュリティ市場調査アナリストに従事。国内のセキュリティ市場全般に深い洞察を持つ。これまでに、SE業務、コンサルティング業務、サポート業務と幅広くIT業務を20年以上にわたり経験。
この特集の記事
この記事の編集者は以下の記事もオススメしています
-
TECH
フォーティネットのFortiSASE・SOCサービスがISMAP登録完了 -
sponsored
狙われる産業設備、フォーティネットのOTセキュリティの現状と課題 -
TECH
重要インフラの事故対応にサイバー視点を ― OTセキュリティ関連法改正をフォーティネットが解説 -
sponsored
「受注書です」←実はウイルス!? Excelファイルを偽装する攻撃に要注意 -
sponsored
官民連携でサイバー犯罪に立ち向かう! フォーティネットが描く“共闘”の未来 -
sponsored
フォーティネット、ガートナー「Customers' Choice」に3年連続で選出 -
sponsored
革新性と信頼性に支えられたフォーティネットの「ユニファイドSASE」 -
sponsored
世界の重要インフラを支えるOT環境に必要な「Threat-Informed Defense」とは -
TECH
“サイバーセキュリティの地産地消”目指せ フォーティネット×SYNCHROが山口県で新モデルに取り組む