海事産業がサイバーセキュリティの重要性に目覚める

ロンドン時間の2018年5月16日から、国際海事機関(IMO)の海上安全委員会(MSC)で第99回会合(MSC99)が始まった。

船舶の安全管理システムへのサイバーリスクマネジメントの組込み


昨年の会合(MSC98)
では、サイバーリスクマネジメントに関する審議があり、サイバーセキュリティ対策に関するガイドラインが正式に承認された。また、2021年以降の船舶の適合審査の際に、安全管理システムにサイバーリスクマネジメントが含まれていることを確認することになった。

このガイドラインでは、サイバーリスクマネジメントを実現するためのベストプラクティスとして、業界固有のガイドラインの他に、汎用の国際的なセキュリティ基準(ISO/IEC 27001等)も参照している。船舶のサイバーリスクマネジメントを実装する際には、それらのセキュリティ基準を参考にすることができるだろう。

これまで、海事産業におけるサイバーセキュリティの取り扱いは、他の輸送・交通手段である、自動車、航空機、鉄道などよりは、比較的ゆるやかに進展していた。しかしこの数年の間に、船舶のデジタライゼーションが急速に進展していること、船舶や港湾施設を対象とするサイバー攻撃技術が話題になっていること、また実際にランサムウェアの被害が発生したことなどから、世界的な動きが加速されたと推測している。

インターネット常時接続を前提としたセキュリティ対策

子どもの頃、外洋を航行中の船が巨大怪獣に襲われ、通信士がSOSのモールス信号を発信するといった映画やテレビを見た記憶のある読者も多いことと思う。時は流れ、モールス信号が役目を終えて過去のものとなり、衛星を介したインターネット常時接続を提供する商用サービス(InmarsatスカパーJSATなど)が、船舶においても利用される時代となった。

船舶がインターネットに常時接続されるようになれば、陸上と同じように、さまざまなサイバーセキュリティリスクに晒されることになる。そして困ったことに、サイバー攻撃を受けて被害に遭った(操船に不可欠なシステムを乗っ取られてしまった)ときに、造船メーカやSIerに電話をかけても、「分かりました、すぐに伺います」などという返事は期待できない。何せ遥か彼方の海の上、しかも最悪の場合はサイバー攻撃を仕掛けた海賊たちに囲まれているかも知れないのだから。そうした事態にならないように、事前のサイバーセキュリティ対策の実施が何より大切である。

スマートシップとサイバーセキュリティ

今年の会合(MSC99)では、自律運航船に関する検討が議題にとりあげられている。既に欧州においては、自律運航船の実現を目指した相当数のプロジェクトが進行しており、2020年の声を待たずに自律運航船の実証が開始されるようだ。日本においても、海事イノベーションのための取り組みとして、積極的な施策 が進められている。

次世代船舶の総称であるスマートシップの形態には、自律運航船の他に、陸上からの遠隔操船もある。自律運航船の定義はまだ確定していないが、ここでは船舶に取り付けられたセンサー等からの情報をもとに、人間の介在なしにシステムが状況を判断し操船する船舶を想定している。また、遠隔操船は、陸上等の離れた場所からの操船を想定している。

自律運航船にせよ遠隔操船にせよ、船内で人間が操船する一般的な船舶に比して、サイバーセキュリティ対策の重要性が格段に高いことは言うまでもない。サイバー攻撃により船舶の航行システムが使用できなくなった場合に、手動での操船ができる人間が存在しないからだ。

海事サイバーセキュリティ対策はセキュリティマネジメントも大切なポイント

そう遠くない将来に、SFに登場しそうな自律運航船を就航させる海運会社が現れるかもしれない。考えるだけでもワクワクする話だが、一方で海事サイバーセキュリティ対策は、ますますやるべきことが多数残されていると感じる。

新造船については、セキュリティ・バイ・デザインの考えに基づき、設計時点から対処していくことが可能だろう。しかし、現在すでに運航している就航船についてはそう簡単ではない。例えば、運航中の船舶の主要システムに勝手にセキュリティパッチをあてることなどは、そのために船舶に不具合が発生する可能性もあるため許されないだろう。そこで例えば、4~5年ごとの定期検査でドック入りする際に、セキュリティパッチを含めたシステム更新をするといった対応にならざるを得ないのではないか。技術的な対策のみならず、セキュリティパッチの適用のような運用に関する課題をどのように解決できるかが重要なポイントになるだろう。