50,000の船がサイバー攻撃に弱い理由

Shutterstock.com / donvictorio

著:Keith Martinロイヤル・ホロウェイ、Professor)、Rory Hopcraftロイヤル・ホロウェイ、PhD Researcher)

 ある時点に海上を進行する50,000の船全てが、拡大し続けるハッキング可能対象リストに加えられた。サイバーセキュリティの専門家は最近、船の操縦機器に侵入することがいかに容易であるかを示した。これは、研究者がスーパーヨットのGPSを欺き、航路を変更させることができることを示してからほんの数年後の話である。昔は車やトースター、タグボートなどはもともと設計された動作しかしなかった。今日問題となっているのは、それらすべてがインターネットとも繋がっているという点だ。

◆これまでの経緯
 海事のサイバーセキュリティに関する話は増加していく一方である。海事産業は、他のすべてのものと同様に、船もサーバー空間の一部となったことに気が付くのが遅かった。海事空間の規制を担当するUN団体、国際海事機関(IMO)は、サイバーセキュリティのことになると適切な規制の考慮が遅く、やや時間を要している。

 2014年、IMOはその構成員に対して海事サイバーセキュリティ・ガイドラインがどのようなものであるべきかについて意見を求めた。2年後、彼らは暫定版サイバーセキュリティリスク管理ガイドラインを発行した。その内容は一般的で、海事に特化しているものではなかった。そして今、案の定、船はハッキングされている。

◆海事産業の複雑性
 海事産業におけるサイバーセキュリティ―への対応を困難にしているコアな問題は複数存在する。

 1つ目に、多くの異なる船級が存在し、それらすべてが非常に異なる環境で運用されている点だ。これらの船には異なるコンピュータシステムが搭載されている場合が多い。さらに重要なのは、これらのシステムの多くが30年以上使用できるように設計されていることだ。つまりこれは、多くの船が時代遅れでサポートのないOSを使用して走行していることを意味しており、それらの船はサイバー攻撃を最も受けやすい傾向にあるのだ。

 2つ目に、海事コンピュータシステムの利用者は常に流動的であるという点だ。船の乗組員は極めて動的で、突然異動が通達されることも多い。その結果、乗組員らは慣れていないシステムを使用することが多く、ヒューマンエラーに関連したサイバーセキュリティ事件の可能性を高めている。さらに、航行関連も含めた搭載システムのメンテナンスはさまざまな第三機関に委託されることが多い。各搭載システムがどのように相互関連しているのかを、船の乗組員がほとんど理解していない可能性は十分に考えられる。

 3つ目の問題は、搭載システムと地上システムの連携である。多くの海事企業は自身の船と常に通信している。ゆえに、船のサイバーセキュリティもこの通信を実現する地上のインフラ設備のサイバーセキュリティに依存しているのだ。そのような依存性は2017年、A.P.モラー・マースクのシステムへのサイバー攻撃が艦隊全体の貨物の遅延を引き起こしたことで明確になった。港則などは管理することができるが、より広範に渡るシステムや海事オペレーターのプロセスに対しては影響力をほとんど持っていないIMOにとって、これは特に難しい課題である。

◆正しい方向への歩み
 2017年、IMOは一般安全管理コードの2つに明確にサイバーセキュリティの内容を盛り込んで改正した。国際船舶及び港湾施設保安コード(ISPS)と 国際安全管理コード(ISM)には港および船のオペレーターが実行すべきリスク管理プロセスが詳細に記述されている。サイバーセキュリティがこれらのプロセスの必須要素であることを強調することで、少なくともオペレーターがサイバーリスクを認識することが保証される。

 これが海事サイバーセキュリティ規制に対する全体的な働きかけのきっかけになることを願う。これらの新しいサイバーリスク調査から得られた知識により、IMOはより広範なサイバーセキュリティ規制を策定することができるようになるかもしれない。すぐに着手できる問題はたくさんある。例えば、他の業界で採用されている既存のサイバーセキュリティ基準と設備基準を合わせることなどである。

◆船の方向転換
 海事産業はサイバーセキュリティの観点において、航空宇宙など、他の輸送業界に比べ間違いなく後れを取っている。秩序を保つうえでの規制の必要性に対する危機感も欠如しているようだ。結局のところ、サイバー関連の項目盛り込みのために行われたISMとISPSの改正も2021年1月1日まで効力を持たず、旅の始まりを示しているに過ぎない。海事産業は、完全自律式船のサイバーセキュリティなど、将来的な課題に対して特に対応する準備ができていないようだ。

 サイバーセキュリティ規制の策定に対するゆっくりとした安定したアプローチには、少なくとも他の業界から学ぶ機会を提供し、情報不足の状態で早まった決断をすることなく海事サイバーセキュリティリスクを充分に理解することができるというプラスの面もある。

 しっかりとしたサイバーセキュリティ規制の策定は非常にゆっくりとした、そしてときに苦難を伴う可能性があるプロセスだ。それでも、船は行き先を変え始めている。

This article was originally published on The Conversation. Read the original article.
Translated by Conyac

The Conversation

Text by The Conversation