海上におけるサイバー攻撃:デジタル船舶を狙う脅威の増加
船舶のデジタル化が多くの利益をもたらす一方で、新しい技術の導入により海洋ネットワークを狙うサイバー攻撃が増加しています。DNV船級協会は、2023年1月16日にフリート管理および運用プラットフォーム「ShipManager」を狙ったサイバー攻撃について報告しました。このサイバー攻撃は、約1,000隻の船舶に影響を及ぼし、ITサーバーの一時的なシャットダウンを引き起こしました。そして、この海洋業界を襲った標的型ランサムウェア攻撃が警鐘となり、船舶搭載システムのサイバーセキュリティ強化が緊急の課題であることが明確になりました。
2024年:UR E26 / UR E27によるサイバーセキュリティの転換点
船舶および船舶搭載機器のサイバーレジリエンスを重視したUR E26 / UR E27要件への準拠が2024年1月に義務化されました。この変化に対応するには、以下で説明する4つのポイントを明確に理解する必要があります。
1. UR E26 / UR E27が適用される対象者
この項では、新しいサイバーセキュリティ基準の影響を受ける海事関係者を明らかにします。UR E26「Cyber Resilience of Ships」は、サイバーセキュリティへの対処にあたり、船舶設計会社、造船所、システム設計者を重視しています。
出典:IACS E26 1.3から抜粋したテキスト
UR E27「Cyber Resilience of On-Board Systems and Equipment」の発行により、これらの規定の適用範囲が、船舶に搭載された全ての運用テクノロジーシステムにまで拡大した結果、あらゆる担当者が無関係ではなくなりました。船舶所有者は、船級協会とセキュリティ階層を明示する必要があります。サプライヤーは、IEC 62443-4-1およびIEC 62443-4-2などの高いセキュリティ規格を満たす堅牢な製品を製造する責任を負い、船級協会はこれらの規格に基づいて審査を行います。
2. UR E27の早期導入メリット
UR E27を早期導入し、UR E27に準拠したギャップ分析と検証を実施する企業は、2024年に競争力を得ることができるでしょう。
3. 検証ガイドラインを発行する船級協会
各船級協会は今年度、UR E26 / UR E27の要件に基づいたガイダンス資料と関連補足資料の発表を予定しています。
例:
- DNVは、既に「DNV-RU-SHIP-Pt6Ch.5 Section 21 Cyber Security」基準を実施し、UR E26 / UR E27準拠と同等の水準に到達。
- CCSは、2023年5月1日に「Guidelines on Cybersecurity Onboard Ships」を正式に発効。
各協会間の相違は最小限となるべきであり、計画と検証の両面を考慮し船級を選択することが肝要です。
4. UR E26 / UR E27の核心
UR E26は、サイバーレジリエンスを備えた船舶製造の原則として、CBS(コンピュータベースシステム)を構築する海洋プロフェッショナル向けの指針を定めており、情報セキュリティにおける5つの項目(識別、保護、検知、対応、復旧)を重視しています。UR E27は、特にIEC 62443-3-3規格を参照しているため、UR E27のセキュリティ要件を満たす上で、IEC 62443を理解することは非常に重要です。IACS UR E27 4.1「要求されるセキュリティ機能」は、さまざまな目的に応じた31の要件を指定し、それらをIEC-62443-3-3 SRシステム要件にマッピングしています。
出典: IACS UR E27 4.1
迅速な実装:IEC 62443の役割
IEC 62443は、システムとコンポーネントのセキュリティ基準および要件を設定し、これは海上輸送システムがUR E27に準拠しているかどうかを評価する際の鍵となります。一定のセキュリティレベルに到達するには、堅牢なセキュリティ機能に加えて、システムの脆弱性を補う対策が必要です。大手メーカーや各種業界は、産業用オートメーションおよび制御システム(IACS)向けに、このサイバーセキュリティ規格を採用してきました。迅速なUR E27準拠に向けて、IEC 62443-4-1やIEC 62443-4-2に認定された業界のパイオニアであるMoxaのIEC 62443に準拠したコンポーネントやサービスをご検討ください。Moxaは、海洋セキュリティのコンプライアンスに準拠するソリューションの提供により、海洋ネットワークのセキュリティを保護します。
詳細は、https://www.moxa.com/jp/solutions/marineをご覧ください。