海事分野ワーキンググループ

海事分野ワーキンググループ

活動目的

船舶におけるサイバーセキュリティ対策の充実・強化に向けて、現状の課題や取り組むべき方策や方向性について幅広く検討・議論することを目的とする。

活動内容

下記事項を活動テーマとして、会合及び情報共有システム(SIGNAL)による情報共有及び共同検討を行う。

  • 船内設置サーバー及びPC等エンドポイントセキュリティ対策の強化
    ※OSアップデート(FU含む)、セキュリティパッチ配布、アンチウィルス更新
  • 船内設置のその他IT機器のセキュリティ強化対策
  • 船陸間衛星通信の監視強化対策
  • リモートアクセス強化対策
    ※船内設置機器のメンテナンスや障害対応の為の陸⇒船のアクセス
  • NISTフレームワークへの準拠 等々

※船舶サイバーセキュリティ対策においては、航海計器や機関制御系機器等の船舶の安全運航に影響を及ぼすOT系機器への対策が最重要であるが、先ずは船内PCやメールシステム等のIT系機器を対象として活動を開始する。

海事分野ワーキンググループ

WG実施要領

  • 四半期間にWGを開催し、選定したテーマに関し検討・議論する。
  • WGの選定テーマに合わせて進行役を決めWGを運営する。
  • テーマの内容によってはWGを複数回継続し検討・議論する。
  • WGへの参加者はテーマに応じて適任者を選べる事とする。

国際船級協会連合(IACS)から公表されたセキュリティの統一規則

UR(統一規則) E26「船舶のサイバーレジリエンス」

  • 対象:OTシステム,OTシステムと通信ができる他のシステムとのインターフェース
  • 船全体のサイバーレジリエンスに関する要件を規定
  • 要件の内容(IACS Rec 166, BIMCOガイドライン,NIST SP 800-53, IEC 62443等)
    ① 識別 ② 防御 ③ 検知 ④ 対応 ⑤ 復旧
  • リスク評価による適用除外あり

UR(統一規則) E27「船上のシステム及び機器のサイバーレジリエンス」

  • 対象:UR E26と同様
  • システム及び機器のサイバーレジリエンスに関する要件を規定
  • 要件の内容
    1. セキュリティ要件,信頼できないネットワークと通信する場合の追加のセキュリティ要件(IEC 62443-3-3)
    2. 製品の設計及び開発に関する要件(IEC 62443-4-1)
  • 使用承認あり

UR(統一規則) E26「船舶のサイバーレジリエンス」

4.1 識別/Identify

  • ハードウェア、ソフトウェア、ネットワーク関するインベントリを作成し、船舶の一生にわたって更新すること。

4.2 防御/Protect

  • セキュリティゾーンを超える通信は、明示的に許可されたものに限定すること。
  • ファイアウォール等で防御し、過度のデータフローも防ぎ、不要な機能は制限すること。
  • ウィルス対策ソフト等で防御すること(手順や物理的保護、製造者の推奨によっても可)。
  • アクセス制御として、鍵を掛け、部外者によるアクセスは監視下に限り、取外し可能なメディアの使用も管理し、アクセス権も管理し、最小権限の原則を適用する等を行うこと。
  • 無線通信は、許可された人/プロセス/デバイスに限定し、暗号化等も活用すること。
  • 遠隔アクセスは明示的な許可を要し、ログを残す等して、保守時もロールバックや多要素認証等を求め、アクセス失敗後一定時間は再試行不可、多数失敗でブロック等を行うこと。
  • 携帯用及び可搬式デバイスの接続は、船舶の運航や保守に必要ないものはブロックすること

UR(統一規則) E26「船舶のサイバーレジリエンス」

4.3 検知/Detect

  • ネットワークを監視し、過大なトラフィックや不正な接続等の異常時に警報を発すること。

4.4 対応/Respond

  • インシデント対応計画書を、設計の情報も集めて、初回年次検査までに作り、船の一生にわたり更新し、紙で保持すること。
  • バックアップの機側制御は、主制御システムから独立し、監視も制御も自己完結していること。
  • ネットワークの分離は、手動又は自動で物理的に実行でき、データ依存性も明示しておくこと。
  • 機能不全時にミニマルリスクコンデイション(状況に応じた低リスクの停止状態等)に至ること。

4.5 復旧/Recover

  • 復旧計画書を、設計の情報(復旧やバックアップの手順、ネットワークの構成図等)も集めて、初回年次検査時までに作り、船の一生にわたり更新し、船上及び陸上に紙で保持すること。
  • バックアップ計画書を作成し、バックアップ及びリストアが、適時に完全に安全に行えること。
  • 制御されたシャットダウン、リセット、ロールバック、再起動を、文書に従って行えること。

UR(統一規則) E26「船舶のサイバーレジリエンス」

一般的なサイバーセキュリティの規格の実装方法

  1. セキュリティポリシーの設定によるあるべき姿の検討
  2. リスク評価の実施による現状把握(船舶を対象とする場合は資産ベースの評価が多く実施されている)
  3. 規格に示された管理策(=対策)の実装について,設定したセキュリティポリシーに基づき,リスク評価で実施したリスク値をどこまで軽減するかで具体的な実装を決定する。

船舶のサイバー関連規則の実装方法

  1. セキュリティポリシーは後付け
  2. リスクアセスメントの実施はなし

今後の海事分野ワーキンググループの活動

活動方針(案)

  1. 「国際船級協会連合(IACS)のサイバーセキュリティに関する統一規則(2024年7月1日以降の建造契約に適用)についての実務的な対応」を中心に共同検討を行う。
  2. その上で、船陸間衛星通信は低軌道衛星の登場によって、新たな時代に入ると考えられることから、「船陸間衛星通信の監視強化対策」についても情報共有を行う。
  3. 昨年度に引き続き船舶のOT側を守るためにはIT側、「船内のIT側のセキュリティ」についても共同検討を行う。