「サイバーセキュリティはデマ」とその他の海事に関する誤解

著作権 LailaBee/AdobeStock

米国沿岸警備隊からサイバー セキュリティに関する新しい規則が発表される中、ABS のサイバー セキュリティ担当ディレクターである Angeliki Zisimatou 氏は、海事サイバー セキュリティについて総合的に議論できる独自の立場にあり、規則草案から見聞きした内容に関する洞察や、それが船主にとってどのような意味を持つかについてのアドバイスを提供します。

サイバーセキュリティとそれに伴うすべてのことは、海事において急速に優先度が上がってきています。接続性への依存度の高まりは、希望と危険の両刃の剣だからです。

サイバー セキュリティ対策のレベルは業界によって大きく異なりますが、おそらく最も大きな懸念は、リスクを認識していない企業もあることです。 「過去 8 年間で何度も『サイバー セキュリティはでっちあげだ』という声を聞きました。乗組員、オペレーター、オーナーから何度も聞きました」と、ABS のサイバー セキュリティ担当ディレクター、アンジェリキ ジシマトウ氏は述べています。彼らは、船上のシステムが船上の接続から「エアギャップ」されていると信じており、誤ったセキュリティ意識につながっています。

ABS にとっての第一歩は、脅威が現実であることを知らせ、教育し、説明することです。2017 年にNotPetya攻撃を受け、10 日間業務が中断し、数億ドルの収益が失われた世界最大の海運会社の一つ、AP Moller-Maersk Group に聞いてみてください。

海運業界全体としてはサイバーセキュリティの導入が遅れているが、ジシマトウ氏は、大規模な船団の所有者や運営者はリスクを真剣に受け止め、自社の安全なオペレーションセンターに多額の投資を行っていると述べ、特にノットペトヤのような注目度の高い事件が注目を集め、問題の潜在的範囲を浮き彫りにしたことを受けて、業界全体で態度が変化し始めていると指摘する。いつものように、国際海事機関や米国沿岸警備隊による新たな規則も推進力となっている。

「中小規模の事業者や所有者にとっては、規制が行動の原動力になっていると思うので、彼らは義務付けられたことや推奨されたことだけをやり、最低限のことを守ろうとしている」とジシマトウ氏は語った。

USCG の新しいサイバー セキュリティ規則

2024 年 11 月 13 日にニューオーリンズのモリアル コンベンション センターで開催される「サイバー セキュリティ ランチ & ラーニング」にご参加ください。このイベントでは、新しい USCG サイバー セキュリティ ルールとそれが船舶所有者および運航者に及ぼす潜在的な影響について、司会者がディスカッションします。こちらをクリックして無料で登録してください。

ギャップを埋める

ネット接続された新しい船舶がますます増え、新しい世代の船員（オンラインネイティブ）が海上空間の指揮を執るようになるにつれ、サイバーセキュリティの認識と行動もそれに追随するようになるだろう。それまでには、多くの作業が残っている。

「この問題に関する知識不足、さらに乗組員と陸上要員に当てはまる訓練と認識不足」が、おそらく今日の最大のギャップだとジシマトウ氏は述べた。「行動を起こす必要があるとわかっている海運会社でさえ、その仕事をIT部門に任せるかもしれないが、通常、IT要員は船上のシステムについてほとんど、あるいは全く知らない」ため、どこから手を付ければよいのかという課題がある。

Windows NT やその他の時代遅れのソフトウェアなど、既存の船舶上で稼働しているレガシー システムの古さは、脆弱性の点で同様に大きな課題をもたらします。

海事サプライ チェーン全体におけるもう 1 つの潜在的な問題は、船上システムのメンテナンスとアップグレードに関する十分な可視性を確保することです。通常、船主や管理者はベンダーを船上に物理的に派遣してシステムにアクセスし、アップグレードするため、船上で実際に何が更新され、インストールされたかについての可視性はほとんど、あるいはまったくありません。重要なシステムの更新とメンテナンスに関する完全な制御と可視性を確保することは、船主/管理者の「やること」リストのもう 1 つの優先項目です。

しかし、ギャップや問題は潜在的に大きいものの、少なくとも最初は解決策は簡単です。

「まずは明白なことから始めましょう」とジシマトウ氏は言います。「まず、真剣に受け止めてください。業務やビジネスに対する実際のリスクとして考えてください。義務付けられていること、IMO や NIST のサイバーセキュリティ フレームワークで推奨されていることに従ってください。手順に従ってください。まずは、非常に堅牢なリスク評価から始め、業務部門の担当者と IT 部門の担当者など、適切な人材を会議に招集してください。ブレインストーミングを行い、リスクとその軽減方法について真剣に考えてください。リスクの特定が不十分であれば、実装されるコントロールも不十分になります。」

「規制では3か月ごとにサイバーセキュリティ訓練を行うことが義務付けられていますが、これは少し頻度が高すぎると思います。具体的な内容が示されていません。これは何を意味するのか、何をテストする必要があるのか」
ABS サイバーセキュリティ ディレクター、アンジェリキ・ジシマトゥ


沿岸警備隊の新規則

今年初め、 沿岸警備隊は連邦官報に、米国船籍の船舶、外洋大陸棚の施設、および 2002 年海上輸送保安法の規制対象となる米国施設に対する最低限のサイバーセキュリティ要件を確立することに特に重点を置いた規制を追加することで海上保安規制を更新することを提案する規則案を発表しました。新しい規則は今年後半に最終決定される予定ですが、その内容や、最終的に船舶所有者/運航者の手続きとコストにどのような影響を与えるかについては多くの疑問が残っています。

「私たちは、何が欠けている可能性があるか、あるいは運航者にとって何が困難になる可能性があるかについて、沿岸警備隊にフィードバックを提供しました」とジシマトウ氏は述べた。「[現時点では]新しい規制が新造船に適用されるのか、既存の船にも適用されるのか、よくわかりません。そうなると、米国船籍の船に大きな影響が出るでしょう。」彼女は、提案された規則には、例えばネットワークのセグメント化について言及している要件がいくつかあり、特に既存の船ではネットワークが通常フラットであるため、「追加の努力が必要になる」と述べた。

しかし、それで終わりではありません。

「規制では3か月ごとにサイバーセキュリティ訓練を行うことが義務付けられているなど、他の項目もありますが、これは少し頻度が高すぎると思います」とジシマトウ氏は言う。「具体的な内容はありません。それは何を意味するのか、何をテストする必要があるのか」

彼女は、船級協会は沿岸警備隊に対し、新造船に関してIACSが提案した内容、つまり船舶の設計、就役、建造、運用寿命に至るまでのサプライチェーン全体への対処方法だけでなく、特定の規制への取り組み方についても考慮し、船級協会が何をすべきか、船主が何をすべきか、造船所が何をすべきかについてもう少し明確にするよう勧告したと述べた。

「規制が発表されるのを待っているところです。沿岸警備隊は、現在取り組んでいる多くの意見を受け取ったはずです」とジシマトウ氏は語った。「その発表を待ち遠しく思っています。特に、沿岸警備隊が発表した内容に基づいて、他の旗国政府からさらに規制が発表されたら、大きな影響が出ると思います」

ABS サイバーセキュリティ担当ディレクターの Angeliki Zisimatou 氏とのインタビュー全文は Maritime Reporter TV でご覧いただけます。