{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.title}}
{{item.text}}
海事分野におけるサイバーセキュリティ対応の必要性
近年、船舶を含む海事分野(海運業、造船業、港湾など)においてもICTやIoT技術を活用したデジタルトランスフォーメーションが推進されています。一方で、これらの技術を利用するために必要となるサイバーセキュリティの確保が急務となっています。以前より海外では船舶に対するサイバー攻撃(操船システムの乗っ取り、GPS信号の改ざんなど)が確認されています。また、日本国内においても船舶ではないものの、港湾インフラのシステムを標的としたサイバー攻撃がすでに確認されており、海事分野におけるサイバーセキュリティ対応は待ったなしの状況です。
船舶サイバーセキュリティに関する統一規則(IACS UR E26/E27)の発行
2022年4月、IACS(International Association of Classification Societies:国際船級協会連合)は船舶を対象としたサイバーセキュリティに関する2つのUR(Unified Requirement:統一規則)を発行しました。UR E26では船舶、UR E27では船上のシステムおよび機器を対象に、サイバーセキュリティを確保するために最低限のセキュリティ要件が定められています。本統一規則によって、2024年7月以降に建造契約される船舶については本規則への対応が必要となります。
IACS UR E26とは
UR E26では、船舶の設計、建造、引渡し後の運用といった全てのライフサイクルにおいて、OT環境とIT環境の双方を含んだ船舶全体を1つのシステムと捉えた上で、サイバーリスクに対してレジリエントな状態(≒セキュリティインシデントの発生リスクを低減するとともにインシデント発生時における影響を軽減すること)を確保することを目指しています。なお、本規則における基本方針として、船舶のサイバーリスク管理を実施する上で備えるべき5つのセキュリティ機能カテゴリーを定義しています(図表1)。
図表1:IACS UR E26で定義されるセキュリティ機能カテゴリー
| セキュリティ機能 カテゴリー |
セキュリティ機能カテゴリごとの目的 |
識別 |
船上のシステム、人、資産、データおよび機能に対するサイバーセキュリティ上のリスクを管理するために、組織的な理解を促進する |
防御 |
船舶をサイバーインシデントから保護し、船舶の運用の継続性を最大化するための、適切な防護策を開発および実行する |
検知 |
船上におけるサイバーインシデントの発生を検知および特定するための、適切な手段を開発および実行する |
対応 |
船上で検知されたサイバーインシデントに関して行動を起こすための、適切な手段および活動を開発および実行する |
復旧 |
サイバーインシデントにより障害が発生した、船舶の運用に不可欠な全ての機能またはサービスを復元するための、適切な手段および活動を開発および実行する |
IACS UR E27とは
一方、UR E27は、UR E26が適用される船舶に搭載される舶用機器が製品レベルでサイバーレジリエンスを確保することを目指した統一規則となります。今後、舶用機器メーカーは審査機関である船級協会に対して図表2のような文書を提出し、UR E27に関する承認を受ける必要があります。
図表2:IACS UR E27で提出が求められる文書
No |
提出文書 |
記載内容 |
1 |
資産管理台帳 |
|
2 |
トポロジー図 |
|
3 |
セキュリティ機能の説明 |
|
4 |
セキュリティ機能の試験方法 |
|
5 |
セキュリティ構成指針 |
|
6 |
セキュア製品開発ライフサイクル文書 |
|
7 |
コンピュータシステムの保守および検証のための計画 |
|
8 |
船主のインシデント対応とリカバリープランをサポートする情報 |
|
9 |
計画の変更に関する管理 |
|
10 |
試験結果 |
|
IACS UR E26/E27対応における関係各社の役割
前述したUR E26/E27の対応を実施するためには、以下に示す海事分野における事情を考慮し、関係各社で連携しながらサイバーセキュリティ対応を進めていくことが必要となります。
- 船舶全体の設計・建造は造船会社が担う一方で、船舶に搭載されるシステムは多数の舶用機器および船上システムを複合的に組み合わせて構成されています。したがって、サイバーセキュリティ対応についても舶用機器メーカーおよび船上システムのインテグレーターといった関係者との連携が必要不可欠となります。
- 船舶は製品のライフサイクルに応じて所有者が変わります。具体的には、船舶の所有者は船舶の設計・建造段階は造船会社となりますが、引渡し以降の運用段階においては海運会社となります。これらの事情を加味した上で、製品のライフサイクルにおいて各社がどの領域に対してどこまでの責任を負うかといった点についても今後業界の中で議論していく必要があると思われます(図表3)。
IACS UR E26/E27対応における審査の流れ
本審査対応に関わる関係者および審査の流れを図表4に示します。荷主から提示されるサイバーセキュリティ要件をインプットとして、海運会社、造船会社、舶用機器メーカーが連携しながら審査対応を進めていく必要があります。
まとめ
UR E26/E27は2024年7月1日以降に建造契約される船舶に対して適用される強制要件となります。したがって、海運会社、造船会社、舶用機器メーカーといった関係各社が有機的に連携しながら、サイバーセキュリティが確保された船舶を設計・建造するとともに、引渡し後の運用段階においても機器のセキュリティアップデート対応に関する検討やインシデント対応計画・復旧計画を整備することが求められます。
なお、短期的な視点ではUR E26/E27審査に関する実務対応が優先的な取り組みとなるものの、中長期的な視点ではセキュリティ管理組織の構築、セキュリティ人材育成、セキュリティ業務プロセスの整備(脆弱性管理、製品セキュリティインシデントなど)といった、組織としてサイバーセキュリティ対応を推進するための仕組みを整備していくことが重要であると考えます。
PwCコンサルティングは本統一規則および審査対応についての調査を継続するとともに、船舶のサイバーセキュリティを確保するための実施事項についてより具体的に解説していきます。また、PwCグローバルネットワークを通じて収集した情報も活用し、海事分野のサイバーセキュリティ動向についていち早く紹介します。
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{contentList.loadingText}}
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
