数億ドルの被害も！船舶デジタル化の裏に潜む「サイバー攻撃」のリスクをご存じか

船舶デジタル化の進化

　ここ数年で船舶のデジタル化が急速に進展し、海上と陸の間でリアルタイムの情報伝達が可能になり、船上での情報解析も行えるようになった。

　船舶の運航管理システムや自動航行技術は、これまで以上に安全で効率的な運航を支えている。

　しかし、このデジタル化の進展とともに、船舶に対するサイバー攻撃のリスクも増加している。

　これらのシステムが攻撃の標的となることで、重大な被害が発生する可能性がある。そのため、船舶におけるサイバーセキュリティーへが重要視されている。

急増するサイバー攻撃の実態

　近年、船舶のデジタル化が急速に進み、従来の物理的な接続や制御からコンピューターを活用したシステムへと変化している。しかし、船舶の機器がサイバー空間にさらされることで、サイバー攻撃のリスクが増大している。

　これらの攻撃は、航行システムや通信機器に影響を及ぼし、船の安全運航を脅かす可能性がある。そのため、

・船舶の運航を支える情報技術（IT）
・安全運航を支える運用技術（OT）

のシステムを守り、乗っ取りや運航不能になるリスクを避ける必要がある。

　実際、船舶に対するサイバー攻撃はここ数年で急増している。2017年には、世界的な海運企業Maerskがランサムウエア「NotPetya」の攻撃を受け、大規模なシステム障害に見舞われた。この攻撃により、同社の船舶運航は大きな混乱に陥り、被害額は2億ドルから3億ドルに達したといわれている。

　また、2023年7月には名古屋港コンテナターミナルがランサムウエア攻撃を受け、約3日間の操業停止に至る事態が発生した。サイバー攻撃は日本でも実際に起こっており、その影響は海事産業全体に及んでいるのだ。

船舶システムの脆弱性

　船舶はかつて物理的な機器やアナログな通信手段に依存していたが、デジタル化の進展により船内のシステムは大きく変わっている。自動運転システムや船舶管理システムは効率性や安全性を大幅に向上させたが、その一方でサイバー攻撃に対する脆弱（ぜいじゃく）性も高まっている。

　以下のようなシステムがサイバー攻撃の対象になり得る。

・AIS（船舶自動識別装置）：船舶の位置、針路、速力などの安全に関する情報を自動的に送受信するシステム。
・ECDIS（電子海図表示情報システム）：AISから取得した他船の情報や海図情報を取り込み、周辺海域の船舶の運航状況をリアルタイムで把握できるシステム。

　このような航海設備に加えて、

・操舵（そうだ）システム制御装置
・火災探知機
・消火装置
・ウインドラス制御装置

といった一見サイバー攻撃とは無関係に見える機器も、サイバー攻撃の対象になる可能性がある。したがって、サイバーレジリエンスを考慮すべき機器は船舶のシステム全体にわたる。

　デジタル技術は現在、船舶運航に不可欠な要素となっているが、同時にサイバー攻撃の新たな入り口にもなり得るため、これらのシステムを保護することが重要である。

サイバーセキュリティーの国際規則

　このような事態を受けて、2022年にIACS（国際船級協会連合）は船舶のサイバーセキュリティーを強化するためにふたつのUR（統一規則）を発行した。それが「UR E26」「UR E27」である。UR E27は船上のシステムや機器のサイバーレジリエンスに関するもので、対象は機器の製造者（供給者）だ。一方、UR E26は船舶のサイバーレジリエンスに関するもので、造船所や船主が対象となっている。

●UR E27
　UR E27はシステムや機器の製造者（供給者）が対象で、船舶の材料や機器は船級の承認を受ける必要がある。承認には、個品承認と使用承認の2種類があり、個品承認は製品ごとの承認が必要で、使用承認は代表的な型式に対してあらかじめ取得するものだ。どちらの承認を取得するかによってプロセスは異なるが、いずれも書類審査と立ち会い検査が必要になる。

　書類審査では、コンピューターシステムの資産インベントリ、トポロジー図、セキュリティー機能の説明、試験方法案、セキュリティー構成指針などの図面を提出する必要がある。書類審査が完了すると、検査員の立ち会いのもとで立ち会い検査が行われ、合格すると証書が発行される。

●UR E26
　UR E26では、サイバーレジリエンスに関する要件が示されている。対象となる船舶は、2024年7月1日以降に建造契約が行われる総トン数500トン以上の国際航海に従事する貨物船や高速船である。内航船や2024年6月30日以前に建造契約を行った船舶は対象外となる。

　サイバーレジリエンスとは、船舶がサイバー攻撃を受けてもその影響を最小限にし、回復・適応する能力を指す。UR E26では、サイバーリスクに強い安全・安心な海運を支援するため、サイバーリスク管理のための五つの機能要素を定義している。

・識別（Identify）：船内のシステムや人、資産、データに対するサイバーセキュリティーリスクを管理するための組織的理解を深める。
・防御（Protect）：サイバーインシデントから船舶を保護し、運航の継続性を最大化するための適切な保護措置を策定し、実施する。
・検知（Detect）：船上でのサイバーインシデントの発生を検知・特定するための適切な対策を実施する。
・対応（Respond）：船内で検知されたサイバーインシデントにどのように対応するか、適切な対策と活動を策定し、実施する。
・復旧（Recover）：サイバーインシデントにより損なわれた運航能力やサービスを回復するための適切な対策と活動を行う。