（2020年5月27日にマリンネット会員様限定のライブ対談としてお送りした内容を掲載しています。）

谷繁：皆さんこんにちは。マリンネットの谷繁です。本日は「船舶サイバーセキュリティの最新事情」ということで、ウェビナーと言いながらも対談という形式でやっていきたいと思います。日本海事協会 事業開発本部 海技部 部長 斎藤様にお越しいただいております。お話を伺いながら情報共有ということでやっていきたいと思います。

そもそも船舶のサイバーリスクとは

谷繁：昨今サイバーリスクというと、皆様の認識ではニュースでよく取り上げられている情報漏洩ではないでしょうか。色々な個人情報を盗む、企業の情報を盗むとか、それに対してのプロテクションをどうすると取り沙汰されている事が多いですが、船というのはまた少し違うと思います。ある船主さんと話をした所、「ウチの船から情報盗んだって困るような情報は無いからサイバーリスクなんか考えなくていいんだ」という風なことを仰っていたのですが、船はプラントと同じようなものであり、沢山の機械を乗せて動かしている、ということで、そのオペレーションに支障をきたすようなサイバーリスクというものが存在している。情報漏洩対策だけではないというのが船舶サイバーセキュリティではないでしょうか。

斎藤：まず我々船級協会、海事社会が対象としているサイバーリスクは安全運航と環境保全を阻害するリスクであって谷繁さんが仰った貨物情報や商取引情報の漏洩といったようなビジネスにおけるリスクではないというのが出発点なのではないかと考えております。その上で安全運航を阻害するサイバー攻撃として一番広く認識されているのがGPSのスプーフィング、所謂位置情報をコントロールして座礁・衝突に持っていくことが可能となるというような攻撃です。新型コロナウイルス感染拡大に乗じたサイバー攻撃は、陸上では増加していると言われていますが船舶に対するサイバー攻撃が増加しているというのは今のところ無い様です。ただしビジネスリスクという点ではMSCのネットワーク障害がサイバー攻撃によるものだと言われておりますし、エモテットというマルウェアが造船大手と取引のあった中小企業に被害を及ぼしたということで、一般社会で起こっていることは当然ながら海運界、そして将来的に船舶でも起こる可能性はあると考えています。

IMO MSC決議

IMO･･･国際海事機関　MSC･･･海上安全委員会
IMO第98回海上安全委員会（2017年6月）MSC決議にて2021年1月1日以降、最初のDOC年次審査までに、サイバーリスクが安全管理システムで適切に対処されていることが推奨された。

斎藤：まずこちらは推奨事項であって、非強制です。その中で、会社は年次審査を毎年受けますし、船舶は5年更新の中間ですから、2年目と3年目の間ということになるのですが、安全管理システムとして会社で決めたことが船で実施されていくということの前段として、サイバーリスクに関して、「会社としてしっかり決めていますか？」という確認を2021年1日1日以降からからやりましょうということです。こういう背景ですので、来年の段階で船がそういった検査になるというよりは、まずそういったシステムが会社で構築されているかを、来年から会社審査で行われるという理解が前提です。

谷繁：船側においては、会社単位のDOC審査および、そのDOCに基づいて船舶管理が行き届いているのかのSMC審査がありますが、これにサイバーセキュリティ対策、サイバーリスクに対処しているかというのが盛り込まれていくという流れですよね。海事産業は全世界的にITリテラシーが劣っていると言われていたのが、これを起点に逆転する可能性もありますよね。

旗国の対応

斎藤：先程のことを強制化として表明している旗国は3ヶ国あります。ケイマン諸島・キプロス・マーシャル諸島の3つです。この中でもケイマン諸島は会社の準備状況に対して調査して報告するようにと要請しています。次に、パナマやリベリアは？という話です。来年からほぼ強制だというような報道が多い一方、実は強制化を表明しているのは未だ3ヶ国しかないところで、秋頃に「いや実はうちも強制です」とパナマやリベリアに言われた場合、非常に混乱してしまいます。我々は正式ルートで各旗国に先程の推奨事項の取り扱いを伺っている所です。その中で回答があったパナマは、推奨というように言っています。もう一つシンガポールは、RO（代行権限機関を持つ検査機関）と協議したいという旨を伝えてきています。それ以外の反応が無いところは、推奨というレベルで留まっております。

谷繁：どうしてもルール先行というのがこれまでの海事関係だったと思うのですが、サイバーリスクというのはもうそこに目の前にある危機、リスクだと思うのです。旗国がどうであろうがルールがどうであろうが、船舶管理をする立場としては無視できなくなってきているという状況だと思います。が、世の中の情勢次第というところですね。

船級協会の動向

谷繁：昨年末に日本海事協会さんも、サイバーセキュリティの認証を出されていました。催ーバーセキュリティの認証について整理しますが、ISMコード・船舶管理に関わる運用面での認証と、船舶そのものにサイバー対策が出来ているかの認証、ハード面でサイバーセキュリティ対策が出来ています、というお墨付きが付くいわゆるノーテーションの2種類あると思っているのですが、その辺も含めて解説頂けないでしょうか。

斎藤：はい。我々は昨年、サイバーセキュリティに対する基本的なアプローチを公表しておりまして、その中でまずは一定のサイバーセキュリティ対策が取られたコンピュータ機器が造船段階で適切なネットワーク化が取られて、そして運航開始後はそれが維持、最新化されていくという3つのフェーズでとらえておりまして、それぞれに対応するガイドラインを公表しているところです。その中でまずは2021年からのISMコード対応という関心がありますので、就航船に対するサイバーセキュリティマネジメントという認証を昨年の12月に初めて実施させて頂きました。そして今後は新造船に対するサイバーノーテーションというものや、船舶に搭載されるコンピュータ機器のセキュリティ認証の構築を進めていく予定にしております。さらに昨年公表した3本のガイドラインの改訂版も現在進めている所です。他船級も基本的には我々と同じアプローチだと考えておりまして、少なくともコンピュータ機器、建造、運航のフェーズが一体となってそれぞれの企画開発をしていると理解しております。例えば、新造時にサイバー対策が完璧だったとしても運用後は、翌日には破られる可能性も十分あるわけで…やはり船のライフサイクルを通じたサイバーセキュリティ対策になっていくと各船級考えているところです。その中でIACSとしては、今月新造船に対するサイバーセキュリティ推奨事項を公表しました。今後はこの推奨事項が新造船のベンチマークになると考えております。

荷主・保険・港の動向

谷繁：荷主の中でもオイルメジャーがかなり先行してサイバーセキュリティ対策を船に求めているというのは聞いています。

斎藤：ご指摘の通りオイルメジャーやライトシップの検査項目の中には、サイバーセキュリティの項目が既に入っております。それから大手企業の間では中小企業と契約する際に、サイバーセキュリティの要件を決める動きが出てきたというように聞いておりますので、海運においても、ISMコードでの強制化云々に関わらずサイバーセキュリティ対策が段階的に入ってくるという風に私も考えています。

谷繁：保険の方はどうなのでしょうか。リスクというと船舶保険ということが表裏一体だと思うのですが。

斎藤：仰る通りリスクというと保険というように続けて出てくるような感じだと思うのですが、保険の世界ではサイレントサイバー解消というように言われている通り、サイバーリスクを免責にするのか担保するのかを明確にする必要が出てきています。船舶保険においてもサイバーリスクを免責にするのか担保するのかどちらにしてもサイバー対策が船舶に求められてくるという流れは変わらないというように考えています。やはり、船舶へのサイバー攻撃があるのかどうか、その損失額がどれぐらいになるのか、それからそのサイバーに起因する海難をどう特定するのかということが鍵になってくる中、海事分野のISAC(具体的には米国のMaritime Transportation System ISAC) に事故事例が報告されてくると考えているので、それが一つの大きなトリガーとなって対策・保険というものも動いていくのではないかと考えています。

谷繁：そういったリスクの中で港はどうなのでしょう。

斎藤：コンテナターミナルへの攻撃は数々報道されていますので、対策は実施されていると想像しています。そうなると港湾側のサイバーセキュリティの対策が高くなっている、その一方で船舶側のサイバーセキュリティ対策が総じて低いとなると、セキュリティ対策の差に問題は無いかということが今後議論になるのではないかと考えています。我々も船舶のサイバーセキュリティを考える上で、港湾側がどうなっているのかということを注視している所です。

船主の留意点

斎藤：船舶サイバーセキュリティ対策の一環で一体何をすれば良いのかというところの、ズバリ私から言えることは、セキュリティの専門家との連携だということです。それぞれの企業においてもサイバーセキュリティ対策と言えば、やはり専門的な企業にどこまで任せるかは別としても構築・運用・緊急事態の対応は任せているということになっています。やはり船舶に関しても状況は一緒で、ここまで我々も構築にあたっては色々な専門家のご協力を得てきました。その結果大分わかりやすく説明できるようになってきたのです。専門企業との連携ということが必要になってくると考えています。やはり最後は人なんですよね、人の問題は重要ですので会社および本船においても教育、継続的な教育ということが軸になっていくと考えております。従い、継続的な専門家との連携というのが船主の留意点というところで一番大きいのではないかと考えております。

谷繁：次にISMとCSMSですが、勘違いしがちですよね。IT屋さんはISMSというのがあって、船舶のISMも同じような管理マニュアルのことだとごっちゃになりがちです。

斎藤：今、サイバーセキュリティを船のマネージメントシステムに入れていくという考えもある一方で、やはり一つ別に立てた方が考えやすいということも我々が進めてきた上で事実だろうと考えています。ISMコードに入れるというよりは、新しい考え方でサイバーセキュリティを回していくマネジメントを考慮するというのが一つの方向性だろうと考えております。

谷繁：それが、Cyber Security Management System、CSMSなのですね。ありがとうございました。今回はもう終わりなのですが、1回ではまだお伝えきれない所も沢山ありますし、今日は流す程度に通してやりましたが、6つの話題の内一つ一つが1時間以上掛けてお話を伺わなければならないところも多いと思います。こちらの対談形式をシリーズとしてやって行きたいと思っていますので、これからも対談形式のウェビナーにどうぞ、ご協力お願いいたします。