海事サイバーリスク

国際海事機関(IMO)は、船主及び管理会社に2021年までに安全管理システム(SMS)にサイバーセキュリティ管理手順書を含めることを要求しています。しかし、海事サイバーリスクとはいったい何であり、またどのように我々に影響するのでしょうか?

海事サイバーリスクとは、技術情報あるいはシステムが破損、紛失、または侵害され、その結果、海運関連の運航、安全、またはセキュリティの障害が発生し、最終的に海事関連資産が脅かされる可能性の広がりを指します。

現代の世界では、船のシステムがハッキングされ、船舶が意図的に破壊されたりし、またテロリスト、海賊、または犯罪組織によって、彼らの選んだ場所に誘導されたりするという最悪のシナリオを防ぐために、効果的なサイバーリスク戦略が必要です。
サイバー脅威の実際の例として、次のものがあります。

現実のサイバー脅威

  • 2017年–MaerskはNotPetraの世界的なマルウェア攻撃の被害を受け、同社は4,000台のサーバーと45,000台のPCのネットワークを再構築しなければなりませんでした。
  • 2018年–Coscoはサイバー攻撃によりネットワーク通信が数日間機能しなくなったため、米国の港湾運営が危険にさらされました。
  • 2019年–USCGは、米国のポートステートコントロール(PSC)から偽って送信された電子メールが、船舶に送信されたと警告しました。そのメールは、開封時に船舶システム全体にマルウェアを拡散させるというものです。 USCGはさらに、これらの電子メールの結果として、ニューヨーク港行きの船舶が、船上ネットワークに影響を与える重大なサイバー事故を経験したと報告しました。
  • 2020年–Mediterranean Shipping Company(MSC)は、Webサイトとオンライン予約サービスに影響を与えるマルウェア攻撃を経験しました。その結果、イースターの週末にITインフラの一部が5日間オフラインになりました。

サイバーテクノロジーは、次に示すように、海運の安全とセキュリティに非常に重要となる、システムの運用と管理に関し不可欠なものになっています。

海運の安全とセキュリティに不可欠なシステム

- 船陸通信システム

- ブリッジシステム

- 推進機械および動力制御システム

- 貨物の取り扱いおよび管理システム

- 乗客のサービスおよび管理システム、及び

- 経営および乗務員管理システム

サイバー脅威は、悪意からの行為(ハッキングやマルウェアなど)によって示されることも、また悪意の無い行為(ソフトウェアのメンテナンスやユーザー許可など)の結果として発生することもあります。いずれにせよ、これらの行為は弱点(古いソフトウェアや効果のないファイアウォールなど)を明らかにし、運用または情報技術の脆弱性につながる可能性があります。この新しい“隔離時代”においては、自宅などの遠隔地からシステムにアクセスする従業員や顧客がサイバーリスクを高める可能性があります。

船舶への脅威は、特定の機器のチェックまたは更新を契約しているサードパーティの業者によって、誤って船舶システムに導入される可能性があります。乗組員の過失から生じるもの(例として、USBポートを通して)は別の種類のものです。さらに、未知の技術システムが船内で普及している可能性があり、多くの場合、乗組員はそれらについて何も知りません。あるケースでは、メインエンジン監視システムが明確な目的も分からずに、発見されました。これは数年前に契約が終了した第三者によって設置されたものでした。管理会社には、購入または設置の記録がありませんでした。

米国沿岸警備隊は、次のようなサイバーセキュリティ対策を船舶に採用することを推奨しています。

米国沿岸警備隊が推奨するサイバーセキュリティ対策

  • 従業員ごとにネットワークプロファイルを作成し、特別のログイン資格情報を要求し、ネットワーク特権を制限します。
  • ウイルス対策ソフトウェアをインストールします。
  • ソフトウェアを最新の状態に保ちます。
  • 外部メディアに注意し、そして
  • ネットワークシステムのセグメンテーションを実施します。さらに、乗組員の機器が船内のコンピュータシステムに接続されていないこと、およびUSBポートを未使用にしていることを確認してください。訓練および再教育コースは、すべての乗組員に実施すべきです。

さらに、乗組員の機器が船内のコンピュータシステムに接続されていないこと、およびUSBポートを未使用にしていることを確認してください。訓練および再教育コースは、すべての乗組員に実施すべきです。

IMOガイドラインは、効果的なサイバーリスク管理戦略のために次の原則を定めています。

サイバーリスク管理のためのIMOの原則

  • 識別:サイバーリスク管理の責任者を定義し、もし攻撃された場合、海運業務にリスクをもたらすシステム、資産、データ、および機能を識別します。
  • 保護:サイバー攻撃から保護し、運用の継続性を確保するために、リスク管理措置と緊急時対応計画を策定します。
  • 検出:サイバー攻撃をタイムリーに検出するために、必要なプロセス/防御を開発および策定します。
  • 対応:サイバー攻撃が発生した場合、安全/確実な海運業務に必要である重要なシステムに関し、回復力供給計画を開発及び策定します。
  • 回復:サイバー攻撃後の安全/確実な海運業務に必要である重要なテクノロジーシステムをバックアップ/復元する方法を識別します。

海事サイバーリスク管理の目標は、サイバー攻撃に強い安全で確実な海運業務の構築です。 リスク管理は、伝統的に物理的な資産と運用に焦点を合わせてきました。 しかしながら、テクノロジー、自動化、ネットワークベースのシステムへの依存度が高まるにつれ、今日の海運業界ではサイバーリスク管理の必要性が高まっています。 海事サイバーリスク管理の詳細なガイダンスについては、クラブメンバーは、関連する業界標準とベストプラクティスとともに、旗国政府の要件を参照する必要があります。

Thomas Rittweger

Senior Claims Director

Date2020/11/11