サイバー脅威を制御できるのか?
デジタルに関する新たな期限が迫っています。しかし今回は、大混乱を引き起こすと思われながら実際の影響がほとんどなかった2000年問題のことではありません。IMOによる国際安全管理コード(International Safety Management Code)の改正が、2021年1月1日から施行されます。そして業界は、なすべき準備ができていないかもしれません。
2020年には、すでに切迫していた海運サプライチェーンのサイバー攻撃に対する脆弱性が改めて示されました。いくつかの大手船会社から業界自身の規制機関に至るまで、サイバー脅威は運航を混乱させ続けています。
IMO加盟国、特にアメリカ沿岸警備隊は、より厳格なITセキュリティポリシーと対策の実施を船舶運航者に奨励する決議の採択を促しました。
一般に認められているように、海運業は、技術に関して先行者ではありません。それは、なかなか進まない船舶用ITシステムの更新から、新技術の採用に消極的なことにまで及んでいます。サイバー攻撃の悪影響が予想される中で、これはリスクであり、もっと厳密に制御して監視する必要があることをIMOは認識しています。
一見したところ、変化は単純です。2020年1月1日より、IMOは、ISMコードの適合証書(Document of Compliance)の中でサイバーセキュリティ予防策を参照するよう求めています。
船主にとっての主な課題は、複数の解釈が可能な非常に広い意味で書かれた決議をどのように解釈するかということです。どういう行動を取るべきなのか?決議に従うには特に何が必要なのか?非常に単純化して言うならば、IMO2021に記載された推奨対策を実施することは、意識、手順および技術という3つの異なる分野にわたって行動を起こすことを意味します。
IMO2021は、組織を挙げてサイバーリスクについての意識を高めなくてはならないこと、そしてこれを徹底的に行わなくてはならないことを提案しています。リスクは組織全体に存在するため、「IT部門」が単独で解決する問題として扱うべきではありません。業界の大半の人間は、BIMCO、INTERTANKO、CLIAが作成したベストプラクティスガイドラインをすでに見ているはずなので、それらを出発点として使うことができます。
規制はさらに、サイバー攻撃を防止および検知するための手順を船上と陸上の両方で実施するよう提案しています。船上では、ハードウェア、ソフトウェアアップデート、ウェブサイト、およびフィッシングやその他のリスクの情報を簡潔な注意事項としてまとめ、それに関する手順を乗組員のために用意する必要があります。乗組員は、こうした手順をリスクが特定された際の対処法へと拡張してもかまいません。場合により船舶は、是正措置についての注意事項または行動を陸上へ知らせる必要があります。
意識と手順に関して主に取り組むべき課題は、リスクを最小限に抑えるための振る舞い、知識、そして対処法を理解することです。技術分野とは、サイバーリスクを軽減するために使用できるツールを指しています。
典型的な従来の保護手段としては、ウイルス対策保護、ファイアウォール、コンテンツフィルタ、ネットワーク分割などがあります。これらに加えて、PCオペレーティングシステムやERPプログラムをリモートで自動的にスクリプティングしたりアップデートできるシステムモニタリングといったより高度なツールを利用することができます。
ITネットワークをより深く検査して洞察し、ファイアウォールやウイルス対策ルーチンでは検出されないリスクを特定するためのサイバー検知サービスも利用できます。また、ますます多くの脅威がITリスクからではなく制御技術(Operational Technology:OT)から生じているという理解も重要です。航行、推進、貨物およびその他のシステムは、インターネットに接続されていますが、必ずしも安全ではありません。
海運においてデジタル化とネットワーク化が進む中で、セキュリティがますます重要になると広く考えられているため、サイバーも重要です。船主と運航者にとっての課題は、船員から規制遵守の負担を取り除き、代わって技術が積極的な役割を果たせるようにシステムベースのアプローチを用いて脅威を特定し、リスクを管理することをどこまで推進できのるかということです。
業界最大手の歴史あるプレーヤーたちは、すでにIMO2021の要件を満たしているようですが、限られたIT設備しかない小規模運航者にとっては、受け入れる余裕がなければ重い追加負担となります。ITおよびOTシステムを含む高度なネットワークを抱えている場合は、管理負担を最小限に抑えることができない限り、乗組員の一連の作業が増えることを意味します。
今までは、自主的なサイバーセキュリティガイドラインの遵守が成功するか失敗するかは、人的要素に左右される傾向があり、正しいことをするという意思に依存してきました。作業がどのように実施され、アップデートがどのように記録されているのかに関しては透明性が欠けており、規制が変えようとしているのは、まさにこの点です。
企業は、少なくともリスク管理プロセスと対策、さらには緊急時対応計画を実施し、とりわけサイバーイベントの検知に必要な活動を開発して実施するべきです。また、サイバーイベントによって運航やサービスに支障をきたす場合に備えて、強靭性を高め、システムを復旧するための活動と計画を開発して実施するべきです。
サイバー脅威を、リスクが減少するという意味において本当に「制御」できるかどうかは疑問です。IMOが定めようとしているのは最低限の基本要件であり、すべての運航者は、それを満たし、さらに上回るようにするべきです。SIREやTMSAといった業界の審査システムは、すでにその要件を上回っており、サイバーの監視は、ますます厳しくなっているようです。
ITおよびOTシステムをサイバー脅威から守るための積極的な戦略は、時間と資源の継続的な投入を意味しますが、消極的な戦略という選択肢はありません。船主と運航者は、サイバーを真剣に考えなくてはなりません。そうしなければ、より大きなリスクを負うことになります。
More about new Cyber Security Regulations
Individual companies will clearly vary in terms of systems, personnel, procedures and preparedness. The risks to a specific ship will also be unique and dependent upon the specific integration of cyber systems aboard.
It is nonetheless up to ship owners and operators to assess their cyber risks and to implement appropriate mitigating measures. Each ‘Document of Compliance’ holder must consider their own cyber risks and implement necessary measures in their SMS.
For this reason, Voyager Worldwide has implemented a number of security measures. We have also prepared instructions that may help mitigate security risks. You can read more about these provisions here in our Voyager Cyber Security Procedures.