サイバーリスク管理-期限が迫っています!
09 2020
IMOの決議 (MSC.428(98) ) によって、ISMコードに基づく安全管理システム(SMS: Safety Management System)を通じてサイバーリスク管理を実施することが推奨されており、その期限が2021年1月1日に迫っています。
メンバーの皆様には、2021年以降の初回の会社の書類(DOC: Document of Compliance)審査までに、サイバーリスク管理の実施が推奨されていることを改めて通知させていただきます。審査のタイミングによってメンバー様およびその船舶の目標実施期限が異なってきますが、サイバーリスク管理に向け相当量の準備作業が必要となる可能性があることをご認識いただく必要があります。
「NotPetya」ランサムウェア攻撃など最近注目を集めている事例がありますが、サイバー事件に対する本船システムの脆弱性も、引き続き大きな脅威となっていることをご認識いただくことが重要です。上記ランサムウェア攻撃自体は船舶の運航に直接影響を与えませんでしたが、本船搭載システムの潜在的な脆弱性は「ホワイトハッカー(Ethical Hacking)」によって実証されています。ホワイトハッカーによって人間の行動の盲点をついたサイバー攻撃のテストを行った結果、航海システムおよび本船制御システムが危険にさらされる可能性があることが報告されています。
2019年7月、アメリカ沿岸警備隊(USCG)は、国際航海中で米国の港に向かう深喫水船に関わるサイバー事件について、海洋安全警報(Marine Safety Alert)を発令しました。当該本船は、船上のネットワークに影響を与える、決して看過できないサイバー事件を経験していたと報告しています。調査を行ったUSCGが率いる専門家チームによると、主要な船舶制御システムは侵害されなかったと結論付けられましたが、マルウェアによりコンピュータシステムが大幅に劣化していたと報告しています。また本調査により、船舶が効果的なサイバーセキュリティ対策を講じずに運航されており、その事実が主要な船舶制御システムの脆弱性を露呈させていることも発覚しました。サイバー事件が発生する以前に、船上におけるセキュリティリスクは、乗組員によく周知されていましたが、実際にはうまく対処されていませんでした。
USCGは、海事関係者が刻々と変化しているテクノロジーとそれに付随する脅威に適応することが不可欠であると述べており、基本的なサイバー衛生対策を実施すること、すなわち2021年に向けたサイバーセキュリティ管理が重要であることを強調しました。
スマート海上ネットワーク (SMN, Smart Maritime Network)のWebサイトに最近掲載された記事では、堅牢なパスワード管理などの基本的なサイバー衛生対策が実施されていない船舶の通信システムの脆弱性と、同システムへのアクセスの容易性が説明されています。
BIMCOによって作成され、多くの海事関係者によって支持されている 船上におけるサイバーセキュリティガイドライン
(The Guidelines on CYBER SECURITY ONBOARD SHIPS)は、MSCの決議に沿った上で、サイバーセキュリティ管理の実施を成功させるために必要な推奨事項が記載されています。
アメリカ国立標準技術研究所(NIST)が提唱している「Identity(特定)–Protect(防御)–Detect(検知)–Respond(対応)–Recover(復旧)」のフレームワークはサイバーセキュリティ対策のアプローチを示し、ISMコードとISPSコードは、各企業がリスク管理やセキュリティ対策を行うための必要なフレームワークを提供しています。
当クラブはロスプリベンション活動の一環として、DVD「サイバーセキュリティ-スマートかつ安全な輸送」を作成しています。当クラブも船舶のサイバーセキュリティ管理の重要性を認識しており、書類審査による実施期限が差し迫っていない場合においても、可能な限り早い段階でサイバーリスク管理を安全管理システム(SMS)に取り込むことを推奨しています。
※記事の原文(英語)は以下リンクをご参照ください。
参照:
国際ガイドライン
スティームシップ
その他
