Upload
others
View
0
Download
0
Embed Size (px)
Citation preview
2018/11/6 01
船舶におけるサイバーセキュリティ対策の構築へ向けた現況
2018年11月2日 一般財団法人 日本海事協会
事業開発本部 認証2部 主管 斎藤直樹
S-1
許可なく複製禁止
2018/11/6 01
内 容 1. 「サイバーセキュリティ」とは?
2. IMOにおける議論
3. IACSにおける取組み
4. 船舶におけるサイバーセキュリティ
の考え方
S-2
2018/11/6 01
1. 「サイバーセキュリティ」とは?
S-3
2018/11/6 01
S-4
サイバー攻撃…IT及びOTシステム、コンピュータ・ネットワーク、及び
/またはパソコンを標的に、企業や船内のシステムやデータを漏洩、
破壊、またはアクセスしようとするあらゆる種類の攻撃的行為
1. 「サイバーセキュリティ」とは?
例えば…
(出展 BIMCO:「船舶のサイバー・セキュリティに関するガイドライン」)
「英国の病院、サイバー攻撃とみられる大規模なコンピュータ被害発生」
「英国全域でサイバー攻撃により病院のコンピュータに障害が発生、予約不能、回線がダウンし、治療不能に」
2018/11/6 01
S-5
サイバー・インシデント…船内システム、ネットワーク、コンピュータ、ま
たはそれにより処理、保管、または送信されるプロセスに悪影響を起
こす、またはその恐れのある事象。その影響を抑えるために対応措
置が必要な場合がある。
例えば…
(Source: “gCaptain”)
(Source: “Marine Electronics & Communications”)
(出展 BIMCO:「船舶のサイバー・セキュリティに関するガイドライン」)
「あなたの船はおそらくすでにサイバー攻撃を受けている」
「海運へのサイバー攻撃は予想よりも広く蔓延している」
1. 「サイバーセキュリティ」とは?
2018/11/6 01
S-6
船舶のサイバー・セキュリティの対象:
OTシステムをサイバー・インシデントの結果から防ぐ
IT/OTシステム及びそこに含まれている情報の損傷、無許可の使
用または改変、または悪用から保護する
インターネットの利用または通信中に情報の傍受を防ぐ
例えば…
(Source: “Seatrade Maritime News”)
(出展 BIMCO:「船舶のサイバー・セキュリティに関するガイドライン」)
「船内における脆弱なサイバーセキュリティは、会社全体のシステムへの裏口を開けることになる」
1. 「サイバーセキュリティ」とは?
2018/11/6 01
S-7
船舶のサイバーセキュリティを複雑にしている3つの問題点
1. 様々な船種に様々なコンピューターシステムが搭載され、その
ほとんどが陸上からのサポートのないOSを長い年月に渡り使い
続けていること
2. 乗組員が短期間に交代することで慣れていないシステムを使う
ことによるヒューマンエラーに関連したサイバーインシデントの可
能性が高い
3. インターネットを介し陸上のシステムと船舶のシステムが連携す
ることによって、船舶が陸上のサイバーセキュリティに依存して
いる
(出典:”Conversation” 2018年6月13日)
1. 「サイバーセキュリティ」とは?
2018/11/6 01
S-8
1. Cyber Reporting Portalの開設 “CSO Alliance”
参加 BIMCO (Shipowners)
North P&I Club (P&I sector)
Marshall Islands (Maritime Administration)
DNV GL (Classification society)
CSO Allianceのウェブサイト http://www.csoalliance.com/
船舶へのサイバー攻撃の事例収集
2. Maritime Cyber Security Centre of Excellenceの開設 参加 Wärtsilä (機関メーカー)
BIMCO (Shipowners)
Maritime Cyber Security Centre of Excellenceのウェブサイト https://www.templarexecs.com/the-maritime-cyber-security-
of-excellence/
2018/11/6 01
2. IMOにおける議論
S-9
2018/11/6 01
第96回海上安全委員会 (2016年5月)
“船舶のサイバーセキュリティに関するガイドライン”
(BIMCO, CLIA, ICS, INTERCARGO and INTERTANKO)
初版: 2016年1月
目的:
船主及び運航会社が船舶のサイバーシステムのセキ
ュリティを維持できるように、サイバーセキュリティの運
用評価方法及び必要な手順と措置の実行方法を提示
すること
1. IMOにおける議論
注:BIMCOガイドラインのその後の状況
第2版:2017年7月 (国際海上保険連合(IUMI)が参加)
2019年初頭に第3版を発行予定
S-10
2018/11/6 01
S-11
船舶のサイバー・セキュリティに関するガイドライン
(BIMCO, CLIA, ICS, INTERCARGO and INTERTANKO)
マネジメント的なアプローチ
2018/11/6 01
第98回海上安全委員会 (2017年6月)
“海事分野のサイバーリスクマネジメントに関するガイドライン”
(非強制) (MSC-FAL.1/Circ.3)
目次:
1. 序
2. 一般的な事項 2.1 背景
2.2 適用
3. サイバーリスクマネジメントの要素
4. サイバーリスクマネジメントのベストプラクティスとしてBIMCOガイドライン、
ISO27001、NIST Frameworkを紹介
マネジメント的なアプローチ
1. IMOにおける議論
注:MSC96 (2016年5月)でMSC.1/Circ.1526として承認されていたものを改めてMSC/FAL合同ガイドライン
として承認した。
S-12
2018/11/6 01
S-13
第98回海上安全委員会 (2017年6月)
MSC決議
“サイバーリスクマネジメントを安全管理システムに統合するための
ガイドライン”
(非強制) (Res. MSC.428(98))
要旨:
1. 安全管理システムはISMコードの目的及び機能要件に従
い、サイバーリスクマネジメントを考慮すること。
2. 2021年1月1日より後、最初に行われる会社の適合証書
にかかる年次検査までに、安全管理システムの中で、サ
イバーリスクを取り扱うこと。
マネジメント的なアプローチ
1. IMOにおける議論
2018/11/6 01
ISM サイバーセキュリティ プロセス (ドイツ、2018年6月1日)
1. IMOにおける議論
S-14
1.方針
2.責任
3.遵守
4.リスク アセスメント
8.資格
7.会社のサポート
6.船長
5.SMSへの反映
9.緊急
10. 報告
11. 計画された保守システム
12. 書類 13. 検証
14. 評価
15. 改善
2018/11/6 01
S-15
OCIMF(石油会社国際海事評議会)
1993年 検船レポート制度(Ship Inspection Report (SIRE))
2004年 「タンカーの管理および自己査定制度」(Tanker Management and Self Assessment (TMSA))を導入“
2008年 TMSAバージョン2(12種類の評価項目)
2017年 TMSAバージョン3(第13章に「サイバーセキュリティ」導入)
(2018年1月1日から適用) 推奨事項:
1. サイバーセキュリティに関する内部監査プログラムを実施すること
2. 船舶所有者が、独立したサイバーセキュリティ専門家のサポートを得ること
3. サイバーセキュリティリスクに対処するため、船舶のISMシステム/SMSおよび
ISPS船舶セキュリティ計画書を更新すること
参考:OCIMFの取組み
2018/11/6 01
3. IACSにおける取組み
S-16
2018/11/6 01
サイバーシステムパネル (2016年7月~) 議長: ABS
メンバー: 12 の船級協会
サイバーシステム・ジョイントワーキンググループ (2016年11月~) 議長: ABS
メンバー:
2. IACSにおける取組み
• 船級協会(8)
• 業界団体(4:CIRM, EUROMOT, Inmarsat, World Shipping Council)
• 船社、オペレーター団体(5:BIMCO, CLIA, ICS, INTERCARGO and INTERTANKO)
• 造船団体(2:Active Shipbuilding Experts' Federation, Community of Europe Shipbuilding Association)
• 旗国当局(4:カナダ、韓国、シンガポール、米国)
S-17
2018/11/6 01
サイバーシステムパネル (2016年7月~)
目的:12のRecommendationsの策定
1. ソフトウェア保守
2. ソフトウェア従属機器システ
ムの手動/現場制御能力
3. 緊急時の対応策
4. ネットワーク構造
5. データ保証
6. 物理セキュリティ
7. ネットワークセキュリティ
8. 船舶サイバーシステムデザイン
9. インベントリーリスト
10.インテグレーション
11.リモートアップデート/アクセス
12.通信及びインターフェース
2. IACSにおける取組み
IT/OTシステムへの技術的なアプローチ
S-18
2018/11/6 01
IACS Maritime Cyber Systems Recommendations 原理
(Philosophy) ロバスト設計
(Design for Robustness) システム回復力
(System Resilience)
Rec.8 船舶サイバーシステムデザイン
Rec.6 物理
セキュリティ
Rec.9 インベントリー
リスト
Rec.1 ソフトウェア保
守
Rec.10 インテグレー
ション
Rec.12 通信及びインターフェース
Rec.11 リモートアップデート/アクセス
Rec.4 ネットワーク
構造
Rec.7 ネットワーク セキュリティ
Rec.5 データ保証
Rec.3 緊急時の対応策
Rec.2 システムの手動/現場制御能力
2. IACSにおける取組み
S-19
2018/11/6 01
サイバーシステムパネル
12のRecommendationsの今後の作業 1. 2018年6月に12本すべてのドラフトがジョイントワーキンググル
ープ(JWG)へ意見照会され、ICS、CIRM、ASEFから意見が提出さ
れた。
2. 9月28日に9本をIACSのウェブサイト上で公表 http://www.iacs.org.uk/news/12-iacs-recommendations-on-cyber-safety-mark-step-change-in-delivery-of-cyber-resilient-ships/
3. 残りの3本も2018年に公表予定
4. その後12本を1本に統合する
2. IACSにおける取組み
S-20
2018/11/6 01
4.船舶におけるサイバーセキュリティの考え方
S-21
2018/11/6 01
船舶におけるサイバーセキュリティへの現在のアプローチ 1. マネジメント的なアプローチ
サイバーリスクマネジメント
教育及び訓練
ISO27001 (情報セキュリティマネジメントシステム)
2. IT・OT システムへの技術的なアプローチ
ソフトウェアアップデート
ネットワークセキュリティ
通信及びインターフェース
4. 船舶におけるサイバーセキュリティの考え方
S-22
2018/11/6 01
1. 一般的には「組織」に対する認証 代表的な規格:
ISO27001(情報セキュリティマネジメントシステム)
IEC62443 (制御システムセキュリティマネジメントシステム)
2. 「製品」に対する認証 ISO/IEC15408 (IT 製品や情報システムに対して、情報セキュリティを
評価し認証)
約30製品に対して実施
一番大きなものは日本においては「デジタル複合機」
サイバーセキュリティの認証
4. 船舶におけるサイバーセキュリティの考え方
船舶へサイバーセキュリティ:マネジメントからのアプローチが主流
S-23
2018/11/6 01
目的: 研究データに基づき、サイバーリスクを目に
見ないリスクではなく、目に見えるリスクとして捉え、
サイバーセキュリティのベストプラクティスを構築
船内の実態に基づく調査: 検証可能な事実を船内
の現場調査により収集し、それにより海事分野のサ
イバーアシュアランスの枠組みを構築
海事サイバーアシュアランスチーム: 船員経験者、
ターミナルオペレーター、海事分野のサイバーオペ
レーター、セキュリティ技術者等で構成
S-24
NK海事サイバーアシュアランス
4.船舶におけるサイバーセキュリティの考え方
2018/11/6 01
S-25
日本海事協会とUSMRC とのパートナーシップ
2014年にサイバーセキュリ
ティに関する共同研究開発活動のための枠組みを構築
船員向けe-ラーニング”Cyber Awareness for Mariners”を開設(2017年2月)
https://www.usmrc.org/cyber-awareness-for-mariners
左:日本海事協会:冨士原康一会長 右:USMRC: ブライアン ホールデン会長
(2014年12月8日、米国ニューポート)
4.船舶におけるサイバーセキュリティの考え方
2018/11/6 01
1. 現在、世界各国の船舶保険マーケットにおいて適用されている約款では、サイ
バー攻撃による損害は免責から除外されている。
2. サイバーリスクの高まりを受け、近年のロンドンマーケットではこの約款に加え
て、“Institute Cyber Attack Exclusion Clause(01/11/2003)” を付帯するケース
が増えている。
3. “Institute Cyber Attack Exclusion Clause(01/11/2003)”では、サイバー攻撃によ
る損害を全面的に免責とするもので、海運業界のデジタライゼーションに伴っ
て普及しつつあると言える。
保険業界におけるサイバーリスク対応
出典:2017年11月「海運」 海上保険特集 「海運業界におけるサイバーリスクと保険」(東京海上日動))
4. 船舶におけるサイバーセキュリティの考え方
S-26
2018/11/6 01
S-27
ABSとAmerican Institute of Marine Underwriters(AIMU)の連携 (2017年11月)
(左) Rear Admiral Mark Buzby, U.S. Maritime Administration
(中央)Mr. Drew Feldman, AIMU Chairman
(右)Mr. Christopher J. Wiernicki, ABS Chairman
4.船舶におけるサイバーセキュリティの考え方
保険業界と船級の連携構築(米国)
2018/11/6 01
IMO MSC(98) 2017年 Res. MSC.428(98) サイバーリスクをSMSの中で扱うことを推奨(非強制) (2021年1月以降) 「船級協会を含めたすべての関係者が現在のサイバーの脅威及び脆弱性から海運を守る活動を促進すべき」と明記されている。
船級協会 サイバーセキュリティマネジメント(CSMS)認証 (ガイドラインの公表)
• ABS • BV • DNV-GL • LR • KR • (準備中)
IACS Recommendations on Cyber Systems の策定 (内容は船上のネットワーク及びソフトウェアの構築・運用面で技術的にサイバーリスク管理を実践するもの)
Joint Working Group
<<IMOの動き>>
陸上におけるIT/OT及びサイバー関係の主な国際規格 • ISO27001/2 • NIST Framework • NIST 800-53 • IEC 62443-2-1 • IEC 62443-3-3
<<海事業界の動き>>
IMO MSC(98) 2017年 MSC-FAL.1/Circ.3 サイバーリスクの脅威を周知しサイバーリスク管理導入を推奨(非強制) “BIMCO Guidelines”
(船舶におけるサイバーセキュリティガイドライン) 陸上の国際規格を参酌し本船へのサイバーリスク管理導入の一助となるべく作成された文書。BIMCOはこのガイドラインを認証基準に用いることを許可していない。
IT: Information Technology (情報技術)
OT: Operational Technology (運用技術)
各船級はサイバーの専門機関との連携を構築
S-28
NK
4.船舶におけるサイバーセキュリティの考え方
2018/11/6 01
S-29
日本海事協会とテュフラインランド とのパートナーシップ
2018年10月30日にサイバーセ
キュリティに関する認証事業におけるパートナーシップを締結
左:テュフラインランド:ミヒャエル フビCEO 右:日本海事協会:冨士原康一会長
(2018年10月30日、東京)
4.船舶におけるサイバーセキュリティの考え方
2018/11/6 01
船舶におけるサイバーセキュリティリスクの一例 「サイバー攻撃対策が不十分(脆弱性)なブリッジシステム(資産)にサービス妨害
攻撃(脅威)がなされることにより、船舶の運航に支障が生じ、荷主への遅延・損害
が生じる(結果)」
アプローチ:船内の主要システムを「資産」として考える (例)ブリッジシステム、通信システム、船内事務室、荷役制御システム、機関制御
及び推進システム、アクセスコントロールシステム、バラスト水管理システム、安全
システム、警報制御システム
S-30
4.船舶におけるサイバーセキュリティの考え方
2018/11/6 01
基本原則 1. リスクの特定
① 守るべき資産と脅威、脆弱性の洗い出し
② 起こりうる結果の特定
2. リスク分析 ① 結果の影響度、起こりやすさ等からリスクレベルを分析
② 受容可能な基準を設定し、分析結果と比較
3. リスク対応策の決定 ① 「リスク低減」リスク対策をとる
② 「リスク回避」リスクのある活動を行わない
③ 「リスク共有」リスクを他社と共有する(保険を掛けるなど)
④ 「リスク保有」何も対策を取らない
S-31
4.船舶におけるサイバーセキュリティの考え方
2018/11/6 01
アプローチ:船内の主要システムを「資産」として考える (例)ブリッジシステム、通信システム、船内事務室、荷役制御システム、機関制御
及び推進システム、アクセスコントロールシステム、バラスト水管理システム、安全
システム、警報制御システム
S-32
4.船舶におけるサイバーセキュリティの考え方
通信システム、船内事務室のサイバ
ーセキュリティリスクの低減 船舶IT統合セキュリティ監視サービス
“MN (MarineNet)-Station”
2018/11/6 01
S-33
① サイバーセキュリティマネジメントシステム(CSMS)の認証
② 船上に搭載される各種ソフトウェアシステムの認証
(NAPA社の”NAPA GREEN Solutions”の認証を早期に実施
予定)
NKサイバーセキュリティサービスの構築へ向けて
4.船舶におけるサイバーセキュリティの考え方
関係機関との連携を早期に構築 IT・OT専門機関
セキュリティ専門機関
研究機関
2018/11/6 01
S-34
2021年からのISMコードにおけるサイバーリスク対応
IACSにおけるRecommendationsの策定
各船級協会におけるNotationを含めたサイバーセキ
ュリティサービス
保険業界の対応
まとめ
2018/11/6 01
for your kind attention
2 Nov. 2018
ClassNK A World Leader in Ship Classification
S-35
船舶におけるサイバーセキュリティ対策の構築へ向けた現況
1.はじめに
IT(情報技術)及び OT(運用技術)の進展に伴いサイバー攻撃が公共機関や企業の活動を麻
痺させるリスクが高まっており、海運界においても航行安全侵害や経済的被害等の様々なリスク
が懸念されている。
そこで本セミナーでは、船舶におけるサイバーセキュリティ対策について、これまでの国内外の
動き、今後の方向性等について解説を行う。
2.概要
① 「サイバーセキュリティ」とは?
(サイバー関係用語の定義を紹介し、船舶における具体例を考える。)
② IMO(国際海事機関)における議論
(これまで IMOに提出されたサイバーセキュリティ関連文書を紹介し、今後の対策を考え
る。)
③ IACS(国際船級協会連合)における取組み
(サイバーシステムパネルで検討されている推奨事項について、その方向性を解説す
る。)
④ 船舶におけるサイバーセキュリティの考え方
(これまでの動きを総括し、今後の船舶のサイバーリスクを考える方向性を示す。)
3. おわりに
IMO及び IACSにおける今後国際的に強制力を持つと考えられる動きに関しては、遅滞なく対
応すべく情報収集が必要となる一方、サイバーセキュリティの一般的な関心の高まりを受けた業
界団体としての自主的な取組み、EUや米国等の地域的な規制、船級協会や船舶保険のサービ
ス展開といった様々な情報が錯綜することが予想される。NK としては専門機関との連携の上で
こうした様々なサイバーセキュリティ情報を収集し、最新のサイバーセキュリティサービスを提供
していけるように努めて参る所存である。
許可なく複製禁止