2018/11/6 01

船舶におけるサイバーセキュリティ対策の構築へ向けた現況

2018年11月2日 一般財団法人 日本海事協会

事業開発本部 認証2部 主管 斎藤直樹

S-1

許可なく複製禁止

2018/11/6 01

内 容 1. 「サイバーセキュリティ」とは？

2. IMOにおける議論

3. IACSにおける取組み

4. 船舶におけるサイバーセキュリティ

の考え方

S-2

2018/11/6 01

1. 「サイバーセキュリティ」とは?

S-3

2018/11/6 01

S-4

サイバー攻撃…IT及びOTシステム、コンピュータ・ネットワーク、及び

／またはパソコンを標的に、企業や船内のシステムやデータを漏洩、

破壊、またはアクセスしようとするあらゆる種類の攻撃的行為

1. 「サイバーセキュリティ」とは？

例えば…

(出展 BIMCO：「船舶のサイバー・セキュリティに関するガイドライン」)

「英国の病院、サイバー攻撃とみられる大規模なコンピュータ被害発生」

「英国全域でサイバー攻撃により病院のコンピュータに障害が発生、予約不能、回線がダウンし、治療不能に」

2018/11/6 01

S-5

サイバー・インシデント…船内システム、ネットワーク、コンピュータ、ま

たはそれにより処理、保管、または送信されるプロセスに悪影響を起

こす、またはその恐れのある事象。その影響を抑えるために対応措

置が必要な場合がある。

例えば…

(Source: “gCaptain”)

(Source: “Marine Electronics & Communications”)

(出展 BIMCO：「船舶のサイバー・セキュリティに関するガイドライン」)

「あなたの船はおそらくすでにサイバー攻撃を受けている」

「海運へのサイバー攻撃は予想よりも広く蔓延している」

1. 「サイバーセキュリティ」とは？

2018/11/6 01

S-6

船舶のサイバー・セキュリティの対象:

OTシステムをサイバー・インシデントの結果から防ぐ

IT/OTシステム及びそこに含まれている情報の損傷、無許可の使

用または改変、または悪用から保護する

インターネットの利用または通信中に情報の傍受を防ぐ

例えば…

(Source: “Seatrade Maritime News”)

(出展 BIMCO：「船舶のサイバー・セキュリティに関するガイドライン」)

「船内における脆弱なサイバーセキュリティは、会社全体のシステムへの裏口を開けることになる」

1. 「サイバーセキュリティ」とは？

2018/11/6 01

S-7

船舶のサイバーセキュリティを複雑にしている３つの問題点

1. 様々な船種に様々なコンピューターシステムが搭載され、その

ほとんどが陸上からのサポートのないOSを長い年月に渡り使い

続けていること

2. 乗組員が短期間に交代することで慣れていないシステムを使う

ことによるヒューマンエラーに関連したサイバーインシデントの可

能性が高い

3. インターネットを介し陸上のシステムと船舶のシステムが連携す

ることによって、船舶が陸上のサイバーセキュリティに依存して

いる

(出典：”Conversation” 2018年6月13日)

1. 「サイバーセキュリティ」とは？

2018/11/6 01

S-8

1. Cyber Reporting Portalの開設 “CSO Alliance”

参加 BIMCO (Shipowners)

North P&I Club (P&I sector)

Marshall Islands (Maritime Administration)

DNV GL (Classification society)

CSO Allianceのウェブサイト http://www.csoalliance.com/

船舶へのサイバー攻撃の事例収集

2. Maritime Cyber Security Centre of Excellenceの開設 参加 Wärtsilä (機関メーカー）

BIMCO (Shipowners)

Maritime Cyber Security Centre of Excellenceのウェブサイト https://www.templarexecs.com/the-maritime-cyber-security-

of-excellence/

2018/11/6 01

2. IMOにおける議論

S-9

2018/11/6 01

第96回海上安全委員会 (2016年5月)

“船舶のサイバーセキュリティに関するガイドライン”

(BIMCO, CLIA, ICS, INTERCARGO and INTERTANKO)

初版： 2016年1月

目的:

船主及び運航会社が船舶のサイバーシステムのセキ

ュリティを維持できるように、サイバーセキュリティの運

用評価方法及び必要な手順と措置の実行方法を提示

すること

１. IMOにおける議論

注：BIMCOガイドラインのその後の状況

第2版：2017年7月 (国際海上保険連合(IUMI)が参加）

2019年初頭に第3版を発行予定

S-10

2018/11/6 01

S-11

船舶のサイバー・セキュリティに関するガイドライン

(BIMCO, CLIA, ICS, INTERCARGO and INTERTANKO)

マネジメント的なアプローチ

2018/11/6 01

第98回海上安全委員会 (2017年6月)

“海事分野のサイバーリスクマネジメントに関するガイドライン”

(非強制) (MSC-FAL.1/Circ.3)

目次:

1. 序

2. 一般的な事項 2.1 背景

2.2 適用

3. サイバーリスクマネジメントの要素

4. サイバーリスクマネジメントのベストプラクティスとしてBIMCOガイドライン、

ISO27001、NIST Frameworkを紹介

マネジメント的なアプローチ

１. IMOにおける議論

注：MSC96 (2016年5月)でMSC.1/Circ.1526として承認されていたものを改めてMSC/FAL合同ガイドライン

として承認した。

S-12

2018/11/6 01

S-13

第98回海上安全委員会 (2017年6月)

MSC決議

“サイバーリスクマネジメントを安全管理システムに統合するための

ガイドライン”

(非強制) (Res. MSC.428(98))

要旨:

1. 安全管理システムはISMコードの目的及び機能要件に従

い、サイバーリスクマネジメントを考慮すること。

2. 2021年1月1日より後、最初に行われる会社の適合証書

にかかる年次検査までに、安全管理システムの中で、サ

イバーリスクを取り扱うこと。

マネジメント的なアプローチ

１. IMOにおける議論

2018/11/6 01

ISM サイバーセキュリティ プロセス （ドイツ、2018年6月1日）

１. IMOにおける議論

S-14

１．方針

２．責任

３．遵守

４．リスク アセスメント

８．資格

７．会社のサポート

６．船長

５．SMSへの反映

９．緊急

10. 報告

11. 計画された保守システム

12. 書類 13. 検証

14. 評価

15. 改善

2018/11/6 01

S-15

OCIMF（石油会社国際海事評議会）

1993年 検船レポート制度（Ship Inspection Report (SIRE)）

2004年 「タンカーの管理および自己査定制度」（Tanker Management and Self Assessment (TMSA)）を導入“

2008年 TMSAバージョン2（12種類の評価項目）

2017年 TMSAバージョン3（第13章に「サイバーセキュリティ」導入）

(2018年1月1日から適用） 推奨事項：

1. サイバーセキュリティに関する内部監査プログラムを実施すること

2. 船舶所有者が、独立したサイバーセキュリティ専門家のサポートを得ること

3. サイバーセキュリティリスクに対処するため、船舶のISMシステム/SMSおよび

ISPS船舶セキュリティ計画書を更新すること

参考：OCIMFの取組み

2018/11/6 01

3. IACSにおける取組み

S-16

2018/11/6 01

サイバーシステムパネル (2016年7月～) 議長: ABS

メンバー: 12 の船級協会

サイバーシステム・ジョイントワーキンググループ (2016年11月～) 議長: ABS

メンバー:

２. IACSにおける取組み

• 船級協会（８）

• 業界団体（４：CIRM, EUROMOT, Inmarsat, World Shipping Council)

• 船社、オペレーター団体（５：BIMCO, CLIA, ICS, INTERCARGO and INTERTANKO)

• 造船団体（２：Active Shipbuilding Experts' Federation, Community of Europe Shipbuilding Association)

• 旗国当局（４：カナダ、韓国、シンガポール、米国）

S-17

2018/11/6 01

サイバーシステムパネル (2016年7月～)

目的：12のRecommendationsの策定

1. ソフトウェア保守

2. ソフトウェア従属機器システ

ムの手動/現場制御能力

3. 緊急時の対応策

4. ネットワーク構造

5. データ保証

6. 物理セキュリティ

7. ネットワークセキュリティ

8. 船舶サイバーシステムデザイン

9. インベントリーリスト

10.インテグレーション

11.リモートアップデート/アクセス

12.通信及びインターフェース

２. IACSにおける取組み

IT/OTシステムへの技術的なアプローチ

S-18

2018/11/6 01

IACS Maritime Cyber Systems Recommendations 原理

（Philosophy) ロバスト設計

（Design for Robustness) システム回復力

（System Resilience)

Rec.8 船舶サイバーシステムデザイン

Rec.6 物理

セキュリティ

Rec.9 インベントリー

リスト

Rec.1 ソフトウェア保

守

Rec.10 インテグレー

ション

Rec.12 通信及びインターフェース

Rec.11 リモートアップデート/アクセス

Rec.4 ネットワーク

構造

Rec.7 ネットワーク セキュリティ

Rec.5 データ保証

Rec.3 緊急時の対応策

Rec.2 システムの手動/現場制御能力

２. IACSにおける取組み

S-19

2018/11/6 01

サイバーシステムパネル

12のRecommendationsの今後の作業 1. 2018年6月に12本すべてのドラフトがジョイントワーキンググル

ープ（JWG)へ意見照会され、ICS、CIRM、ASEFから意見が提出さ

れた。

2. 9月28日に9本をIACSのウェブサイト上で公表 http://www.iacs.org.uk/news/12-iacs-recommendations-on-cyber-safety-mark-step-change-in-delivery-of-cyber-resilient-ships/

3. 残りの3本も2018年に公表予定

4. その後12本を1本に統合する

２. IACSにおける取組み

S-20

2018/11/6 01

4.船舶におけるサイバーセキュリティの考え方

S-21

2018/11/6 01

船舶におけるサイバーセキュリティへの現在のアプローチ 1. マネジメント的なアプローチ

サイバーリスクマネジメント

教育及び訓練

ISO27001 (情報セキュリティマネジメントシステム)

2. IT・OT システムへの技術的なアプローチ

ソフトウェアアップデート

ネットワークセキュリティ

通信及びインターフェース

４. 船舶におけるサイバーセキュリティの考え方

S-22

2018/11/6 01

1. 一般的には「組織」に対する認証 代表的な規格：

ISO27001（情報セキュリティマネジメントシステム）

IEC62443 （制御システムセキュリティマネジメントシステム）

2. 「製品」に対する認証 ISO/IEC15408 (IT 製品や情報システムに対して、情報セキュリティを

評価し認証)

約30製品に対して実施

一番大きなものは日本においては「デジタル複合機」

サイバーセキュリティの認証

４. 船舶におけるサイバーセキュリティの考え方

船舶へサイバーセキュリティ：マネジメントからのアプローチが主流

S-23

2018/11/6 01

目的: 研究データに基づき、サイバーリスクを目に

見ないリスクではなく、目に見えるリスクとして捉え、

サイバーセキュリティのベストプラクティスを構築

船内の実態に基づく調査: 検証可能な事実を船内

の現場調査により収集し、それにより海事分野のサ

イバーアシュアランスの枠組みを構築

海事サイバーアシュアランスチーム: 船員経験者、

ターミナルオペレーター、海事分野のサイバーオペ

レーター、セキュリティ技術者等で構成

S-24

NK海事サイバーアシュアランス

４.船舶におけるサイバーセキュリティの考え方

2018/11/6 01

S-25

日本海事協会とUSMRC とのパートナーシップ

2014年にサイバーセキュリ

ティに関する共同研究開発活動のための枠組みを構築

船員向けe-ラーニング”Cyber Awareness for Mariners”を開設（2017年2月）

https://www.usmrc.org/cyber-awareness-for-mariners

左：日本海事協会：冨士原康一会長 右：USMRC: ブライアン ホールデン会長

(2014年12月8日、米国ニューポート)

４.船舶におけるサイバーセキュリティの考え方

2018/11/6 01

1. 現在、世界各国の船舶保険マーケットにおいて適用されている約款では、サイ

バー攻撃による損害は免責から除外されている。

2. サイバーリスクの高まりを受け、近年のロンドンマーケットではこの約款に加え

て、“Institute Cyber Attack Exclusion Clause（01/11/2003）” を付帯するケース

が増えている。

3. “Institute Cyber Attack Exclusion Clause（01/11/2003）”では、サイバー攻撃によ

る損害を全面的に免責とするもので、海運業界のデジタライゼーションに伴っ

て普及しつつあると言える。

保険業界におけるサイバーリスク対応

出典：2017年11月「海運」 海上保険特集 「海運業界におけるサイバーリスクと保険」（東京海上日動））

４. 船舶におけるサイバーセキュリティの考え方

S-26

2018/11/6 01

S-27

ABSとAmerican Institute of Marine Underwriters(AIMU)の連携 (2017年11月）

（左） Rear Admiral Mark Buzby, U.S. Maritime Administration

（中央）Mr. Drew Feldman, AIMU Chairman

（右）Mr. Christopher J. Wiernicki, ABS Chairman

４.船舶におけるサイバーセキュリティの考え方

保険業界と船級の連携構築（米国）

2018/11/6 01

IMO MSC(98) 2017年 Res. MSC.428(98) サイバーリスクをSMSの中で扱うことを推奨（非強制） (2021年1月以降) 「船級協会を含めたすべての関係者が現在のサイバーの脅威及び脆弱性から海運を守る活動を促進すべき」と明記されている。

船級協会 サイバーセキュリティマネジメント（CSMS)認証 （ガイドラインの公表）

• ABS • BV • DNV-GL • LR • KR • （準備中）

IACS Recommendations on Cyber Systems の策定 (内容は船上のネットワーク及びソフトウェアの構築・運用面で技術的にサイバーリスク管理を実践するもの）

Joint Working Group

<<IMOの動き>>

陸上におけるIT/OT及びサイバー関係の主な国際規格 • ISO27001/2 • NIST Framework • NIST 800-53 • IEC 62443-2-1 • IEC 62443-3-3

<<海事業界の動き>>

IMO MSC(98) 2017年 MSC-FAL.1/Circ.3 サイバーリスクの脅威を周知しサイバーリスク管理導入を推奨（非強制） “BIMCO Guidelines”

(船舶におけるサイバーセキュリティガイドライン) 陸上の国際規格を参酌し本船へのサイバーリスク管理導入の一助となるべく作成された文書。BIMCOはこのガイドラインを認証基準に用いることを許可していない。

IT: Information Technology (情報技術）

OT: Operational Technology (運用技術）

各船級はサイバーの専門機関との連携を構築

S-28

NK

４.船舶におけるサイバーセキュリティの考え方

2018/11/6 01

S-29

日本海事協会とテュフラインランド とのパートナーシップ

2018年10月30日にサイバーセ

キュリティに関する認証事業におけるパートナーシップを締結

左：テュフラインランド：ミヒャエル フビCEO 右：日本海事協会：冨士原康一会長

(2018年10月30日、東京)

４.船舶におけるサイバーセキュリティの考え方

2018/11/6 01

船舶におけるサイバーセキュリティリスクの一例 「サイバー攻撃対策が不十分（脆弱性）なブリッジシステム（資産）にサービス妨害

攻撃（脅威）がなされることにより、船舶の運航に支障が生じ、荷主への遅延・損害

が生じる（結果）」

アプローチ：船内の主要システムを「資産」として考える （例）ブリッジシステム、通信システム、船内事務室、荷役制御システム、機関制御

及び推進システム、アクセスコントロールシステム、バラスト水管理システム、安全

システム、警報制御システム

S-30

4.船舶におけるサイバーセキュリティの考え方

2018/11/6 01

基本原則 1. リスクの特定

① 守るべき資産と脅威、脆弱性の洗い出し

② 起こりうる結果の特定

2. リスク分析 ① 結果の影響度、起こりやすさ等からリスクレベルを分析

② 受容可能な基準を設定し、分析結果と比較

3. リスク対応策の決定 ① 「リスク低減」リスク対策をとる

② 「リスク回避」リスクのある活動を行わない

③ 「リスク共有」リスクを他社と共有する（保険を掛けるなど）

④ 「リスク保有」何も対策を取らない

S-31

4.船舶におけるサイバーセキュリティの考え方

2018/11/6 01

アプローチ：船内の主要システムを「資産」として考える （例）ブリッジシステム、通信システム、船内事務室、荷役制御システム、機関制御

及び推進システム、アクセスコントロールシステム、バラスト水管理システム、安全

システム、警報制御システム

S-32

4.船舶におけるサイバーセキュリティの考え方

通信システム、船内事務室のサイバ

ーセキュリティリスクの低減 船舶IT統合セキュリティ監視サービス

“MN (MarineNet)-Station”

2018/11/6 01

S-33

① サイバーセキュリティマネジメントシステム（CSMS）の認証

② 船上に搭載される各種ソフトウェアシステムの認証

（NAPA社の”NAPA GREEN Solutions”の認証を早期に実施

予定）

NKサイバーセキュリティサービスの構築へ向けて

４.船舶におけるサイバーセキュリティの考え方

関係機関との連携を早期に構築 IT・OT専門機関

セキュリティ専門機関

研究機関

2018/11/6 01

S-34

2021年からのISMコードにおけるサイバーリスク対応

IACSにおけるRecommendationsの策定

各船級協会におけるNotationを含めたサイバーセキ

ュリティサービス

保険業界の対応

まとめ

2018/11/6 01

for your kind attention

2 Nov. 2018

ClassNK A World Leader in Ship Classification

S-35

船舶におけるサイバーセキュリティ対策の構築へ向けた現況

1．はじめに

IT（情報技術）及び OT（運用技術）の進展に伴いサイバー攻撃が公共機関や企業の活動を麻

痺させるリスクが高まっており、海運界においても航行安全侵害や経済的被害等の様々なリスク

が懸念されている。

そこで本セミナーでは、船舶におけるサイバーセキュリティ対策について、これまでの国内外の

動き、今後の方向性等について解説を行う。

2．概要

① 「サイバーセキュリティ」とは？

（サイバー関係用語の定義を紹介し、船舶における具体例を考える。）

② IMO（国際海事機関）における議論

（これまで IMOに提出されたサイバーセキュリティ関連文書を紹介し、今後の対策を考え

る。）

③ IACS（国際船級協会連合）における取組み

（サイバーシステムパネルで検討されている推奨事項について、その方向性を解説す

る。）

④ 船舶におけるサイバーセキュリティの考え方

（これまでの動きを総括し、今後の船舶のサイバーリスクを考える方向性を示す。）

3. おわりに

IMO及び IACSにおける今後国際的に強制力を持つと考えられる動きに関しては、遅滞なく対

応すべく情報収集が必要となる一方、サイバーセキュリティの一般的な関心の高まりを受けた業

界団体としての自主的な取組み、EUや米国等の地域的な規制、船級協会や船舶保険のサービ

ス展開といった様々な情報が錯綜することが予想される。NK としては専門機関との連携の上で

こうした様々なサイバーセキュリティ情報を収集し、最新のサイバーセキュリティサービスを提供

していけるように努めて参る所存である。

許可なく複製禁止