マリンネットウェビナー 第3回 船舶サイバーセキュリティ・2021年へ向けて

更新日:2021年2月16日

(2020年12月3日にライブ対談としてお送りした内容を掲載しています。)

タイトル

谷繁:皆さんこんにちは。マリンネットライブ対談本日は船舶サイバーセキュリティ2021年へ向けてと題しまして、日本海事協会 事業開発本部海技部 部長の斉藤様と、私マリンネットの谷繁が対談形式でお送りしていきたいと思います。前回は7月に行いまして今回は3回目となります。このコロナの環境下で船主さんは船員交代などで大変なご苦労をされていると聞いております。更にサイバーセキュリティに関しても、来年はいよいよ船舶サイバーセキュリティ元年とも言える年になるのかなと、船主さんの関心も高まっていると思います。本日はこの状況をNKの斎藤さんと話していきたいと思います。


斎藤:日本海事協会の斎藤でございます。ウェビナーにご参加の皆様こんにちは。本日もどうぞよろしくお願い致します。



ClassNKの最新動向


斎藤:谷繁さんにご紹介いただいたように今回が3回目でだんだん慣れてくるのかと思ったら、2021年に向けて緊張感が高まってきたと私も緊張しております。ですが肩肘張らずに本日も色々ご説明させていただければと思います。今年、海外の専門誌を見ていましてもISM CODE 2021という話題がずっと続いていたという風に感じています。我々ClassNKとしましては、昨年サイバーセキュリティアプローチとして、舶用製品、新造船、それから運航と三つの階層に分けたガイドラインを出しました。皆さんの関心は、実際に走っている運航船に高い関心があると理解していますが、少しだけこの舶用製品、新造船のところを紹介しますと、今年の7月に国際船級協会から船舶サイバーセキュリティに対する推奨事項がIACS Recommendation No.166として出されました。それを受けまして、我々ClassNKにてサイバーセキュリティデザインガイドラインを発行致しました。新造船におけるサイバーノーテーションの付与へ向けた作業を開始しているところでございます。それから舶用製品ということに関しましては今年このIACSでも舶用製品のセキュリティの検討をしていますし、国内でも関係団体の方が集まって、舶用製品のセキュリティガイドラインの構築に当たっている所です。サイバー対策の取られた船作りに向けて着々と準備が進んでいるという段階です。そして、今日このウェビナーの中で運航部分ということにフォーカスを当ててお話を進めて行きたいと思います。運航部分の動きを紹介しますと、我々はサイバーセキュリティマネジメントガイドラインを発行しました。サイバーセキュリティマネジメントシステム認証、通称「CSMS認証」を昨年からスタートさせまして三社三隻に対し認証させて頂いております。この「CSMS認証」は他船級でも出していると思いますが、海外のウェビナーでは構築に8ヶ月かかると言われております。我々が行った三社三隻も同様の時間を要しました。


谷繁:8ヶ月もかかるのかとの印象ですね。船主のITポリシーの確認、陸上側でそのITポリシーに基づいたサイバーセキュリティ対策の体制把握、そして船側の状況確認が必要になりますね。この船側の状況確認が実際に走っている船の場合には、厄介ではないでしょうか。竣工時から状況が変わっている、船員さんが交代すると状況が変わっている場合が多いようです。陸上及び船員のIT業務遂行状況を把握した上で、陸上と船上とがサイバーセキュリティ対策を構築し、運用体制を整え、運用実施しているというのをNKさんが確認していくという流れですね。

前回もお伺いしましたが、旗国の強制化の動きは如何でしょうか?


斎藤:パナマ、香港は、非強制化を鮮明にしています。米国が旗国に関係なく寄港する船舶全てにおいてISM Codeにサイバーセキュリティ対策を盛り込むことを要請したことが大きいと思います。



米国寄港船舶のサイバーリスクマネジメント適用


谷繁:はい、今年10月末に米国が米国寄港船舶に対し、IMOが推奨していることを強制する旨のWork Instructionを発行しました。但し、このWork Instructionにも船主が何をしなければいけないのか、具体的なことは書かれていません。そもそもサイバーセキュリティは、Goalがない、日々要求されることが変化していくものではありますが、米国の今後の対応、それに対し船主はどのように対処して行けば良いのでしょうか。


斎藤:ここ、一番関心の高いところでしょうから、緊張しますね。この米国のWork Instructionを何度も読み返してみました。谷繁さんご指摘のようにベースはIMOのResolutionであることは間違いありません。その中で引用されているFALのCircularにある、認識からリカバーまでのサイバーセキュリティのプロセスに関しては、このWork Instructionの中でも特筆して取り上げているところです。それにより、CSMS認証のような認証というものと、米国での検船と2つ分けて考えなくてはならないと思っています。まず、認証というのはプロセスがしっかり確立されているかを見る審査です。そこが例えば我々のCSMS認証なり、旗国で強制化しているDOC審査という風になると思います。アメリカでの寄港時の検船は、時間的にも制約がありますから、そこのプロセスの審査は終わっているという前提で、本船上での実行上それがしっかり運用されているかの確認であることは間違いないと思います。Work Instructionの中で基本的なサイバーの衛生管理というベーシックサイバーハイジーンが特筆されています。CSMSってよくわからないという方々もいらっしゃるとは思いますが、まずそういったCSMSの構築が必要で、寄港時の検船というのはそれが回っていって船でも浸透しているということを確認することなのだと理解できると思います。

一つポイントとなるのはUSBなどの管理だと思います。USBだけ管理すればいいのかというわけではなくて、セキュリティ上会社が決めたルールがあって、その運用確認として乗組員にUSBの取り扱いはどうですか?と検査官が聞いてくる。それからコンピューターでポップアップなどが出た時にどう対応しているかなど、確認してくると思うのです。また、もう一つ気をつけなければいけないのは、守るべきは船を運航しているOT側であるということです。これは国際認識でブレの無いところです。その中でスプーフ Eメール、いわゆるなりすましEメールなどが送られてきたことがありますか?と乗組員に聞いてくるのです。守るべきなのはOT側だと認識しつつ、インターネットを含む情報系の部分もしっかりと乗組員が関心を持っていますかと問われていくのではないかと思っています。Work Instructionの前段では、CSMS的なマネジメントシステムの確立が必要であることが言われています。その前提で、Work Instructionの中で特出しされているのはUSB、特にECDIS辺りで使われているUSBが意識されていると思います。例えば、会社としてUSBの使用前にはスキャンしなければいけないと決めているにもかかわらず、検査官がUSBを差し出し、「そこに入っている文書を印刷してくれ」と乗組員に頼む。その場合の乗組員の対応を見るのではないでしょうか。会社が構築したものが、船、乗組員に浸透されていなければなりません。最後に検査官に立ち向かうのは乗組員なのです。


谷繁:乗組員に対しての教育というのも非常に重要視されていますので、教育も含めて検査されていくのですね。


斎藤:今回のWork Instructionからもう少し詳しいInstructionが出るという情報もありますが、時期的なものや詳細はまだわかりません。そうしたものが出た場合は、テクニカルインフォメーションで皆様にお伝えしていくことになります。管理システムの構築があるという前提としての検船時における確認と例(USB)が出されていますので、どうシステムを構築しなければいけないのか、CSMS認証やDOC検査についても良いヒントにはなっていると思います。ただし、USBの管理やEメールだけ注意しておけば良いというものではなく、Work Instructionにも書かれています通り、IdentifyすなわちInventory Listがあり、ネットワーク構成図があり、リスクアセスメントを完了しどこにリスクがあるのか抑えていることが重要です。そうでなければ、コスト感覚の無いセキュリティ対策になってしまうと思います。先ほどお伝えした構築に8ヶ月もどうしてかかるのかというと、サイバーセキュリティの専門家がこの業界にいなかったので手探りでやったということが影響しています。我々クラスとしては、枠組みであるシステムとしてあるべきことはお伝えしますが、技術的なSolutionまでは提供できません。それは、マリンネットさんはじめ、IT/OTのサイバーセキュリティ対策をされる専門の方々に入って来ていただかないと船舶のサイバーセキュリティは継続的に追っていけないと思います。


谷繁:専門家も単に情報系、ITだけがわかっているというのでは不十分だと思います。機関系、OTの部分も把握し、それらがネットワーク化されているのかどうか、しっかり切り分けて考えていかねばなりません。ネットワーク論理構成図も、新造時とは状況が変わっており、あらためて確認をして作成しなければならず、リスクアセスメントと共に行われる厄介な作業です。


斎藤:検査官は、ネットワーク構成図ができていることを前提に検査に来ると思いますので、構成図を見せろとは言ってこないと思います。聞いてくるのは非常に基本的なところだと思います。そういった中で、乗組員がこのPCはスタンドアローンなのでUSBを抜き差ししても特に問題ないですよとか、船内PCのOSアップデートを定期的にするとか。そのような答えが返ってくると乗組員の認識度が高いと思われるでしょう。



船主として今後注意して行く点


谷繁:リスクアセスメントをしました、状態把握をしました、それがちゃんと明言され、どういう体制でやっているのかというのも、大事なポイントになってくると思います。だんだん業界もこなれていき、船主側がサイバー対策に何をすべきかが分かってくると、それに応じて検査する側もハードルを上げていく。そのようにどんどん発展していく。そしてサイバーセキュリティ対策を何もしないというのは無しというようになっていくと思います。


斎藤:そうですね、注意点としては繰り返しとなりますが、システムの構築は大前提です。それがあるものとして検船を受けた場合、基本的にベーシックサイバーハイジーンというところをしっかりと船内で対策を取る。結局は乗組員の皆様への浸透度だと思います。最後はやはり検船ですので根拠をどこかに持ってきての指摘になるところ、ISM CODEに持ってくるので、例えばサイバーセキュリティマネジメントシステムと我々認証していますけれど必ずそれはISM CODEにぶら下げてくださいということはお伝えしているところです。やはりCSMS単体として作っても必ずISM CODEと連携して一つのマネジメントとして置いておくことも重要だと思っています。

それからもう一つ、DOCの検査にサイバーリスクを確認する時期の問題ですね。例えばDOC検査が秋だった場合、船の米国入国が2月だとした場合、まだDOC検査を受けていないので何もしていないが大丈夫なのかというのが議論になる処だと思います。お伝え出来る事は、構築には6ヶ月〜8ヶ月はかかるということです。時間が掛かるということであればその前に何の準備も無いということは、あり得ないので、何も準備していないと何かしらの問題になる可能性があると考えています。そう考えると、早めの対応が必要になってきて、かつ、そういう対応が船まで浸透させるということが重要だと思っています。


谷繁:船主さんも一気に対応というのは難しいですよね。船に対し、何らかのインストラクションを出しておいた方が良いということですね。


斎藤:そうですね。また認識の所ですが、インベントリであるとかネットワーク構成図であるとか、リスクアセスメントが準備中だったとしても、今回のこのWork Instructionにあるように、例えばパスワードの管理を掲示しているだとか、PCを立ち上げている場合に誰もが触れられるような状態にあるのかどうかということをよく見られるというように思います。


谷繁:要は船員のITリテラシーを少しでも改善するということですかね。基本的なインストラクションであれば皆さん準備できるのかなと思います。事務所でも対応しているようなことを船でもやっていくということですね。


斎藤:まずは、陸上でやっているサイバーセキュリティを船でもできるように対応することが重要です。その為にはやはり専門家のご協力があってこそ、成果が出ると思います。6ヶ月〜8ヶ月という期間を短縮する為にも無くてはならない存在だと思います。


谷繁:最新のサイバーセキュリティ対策を常にアップデートしていくということで、やはり専門家の力が必要ですね。ただ、船主さんの中でもIT担当者が窓口としていらっしゃる方が円滑に進むと思います。船舶のサイバーセキュリティは、一人や二人では到底対応出来ませんので、その意味でも専門家の方の力を借りるというのが重要になってきますね。


斎藤:その話の延長になってくるのですが、ClassNKとしてはサイバーリスクマネジメントの枠組みを提案するというのが我々の役割となっていきます。6ヶ月〜8ヶ月かかるところの短縮化を加速させていく為にNKコンサルティングサービスから新サービスとして、雛型の部分を提供して参ります。

そして、今後の課題となるのが船内ネットワークの「監視」です。非常に注目されていくところだと思います。船は現状、検知というのが弱いのです。そこを上げる為には「監視」というところが必要で、外との通信をどう監視すればいいのか、船舶内のIT機器か、それからOTのネットワークを監視したらいいのか、我々も詰め切れていないのですが、キーワードとしては「監視」になると思います。セキュリティは見えないので、何に対して働いているのかわからないという場合が多いと思います。技術的解決策をお持ちの皆様に是非この世界に入って来てもらい、そしてそれが普及していくような世界にならないと、自律運航に向かっていくのは難しいと考えております。


谷繁:斎藤さんありがとうございました。また色々なところで情報提供・情報発信をいただいて、やっていきたいと思います。宜しくお願いいたします。本日はありがとうございました。


斎藤:皆様ありがとうございました。



一覧に戻る