日本郵船、船舶へのサイバー攻撃想定し初テスト

ロジスティクス日本郵船、NTTデータ、MTI、ジャパンマリンユナイテッド、日本海事協会の5社・団体は20日、船舶へのサイバー攻撃を想定した侵入テストを国内で初めて行い、成果の一部を公開した。

既存船舶の船上機器システムを模擬した環境で、船舶へのサイバー攻撃を想定した「ペネトレーションテスト」と呼ばれる侵入テストを実施、船上機器システムのサイバーリスク対策の検証手法確立を目指した。日本郵船は、テストの実施シナリオ考案に参加した。

今回のペネトレーションテストでは、船社、造船・舶用事業者といった業界関係者とIT業界が手を組み、新造船を想定した模擬環境で実施。その結果、船上機器が攻撃を受けた後の本船上での対応や、テスト結果に基づく事前対策のルール形成が必要と評価された。

また、適切なサイバーリスク対策の検証手法の確立、日本の海事クラスターのサイバーセキュリティに関わる技術水準向上の一助となるよう、一部を「船上機器システムでのサイバーリスク対策検討のためのペネトレーションテスト成果報告書」として公開。テストの体制や手順、実施上の留意点など、テストのユーザーが今後テストを実施・運営していくための参考情報、テスト結果から得られた船上機器システムでのサイバー攻撃対策として有用な事例を紹介している。

船内機器の電子化や船陸間の衛星通信の普及が進む一方、第三者による船舶システムへの不正アクセスなど、サイバーセキュリティ上のリスクが世界的にも高まっているが、これらの不正アクセスでエンジンの異常運転や停止を引き起こしたり、航海計器の表示や位置情報を改ざんすることで、意図的に操船を乗っ取ったりといった脅威が指摘されている。

こうした動向を受け、国際海事機関（IMO）は船舶運航でのサイバーリスク管理として、2021年以降に安全管理システムの中で対応することを推奨する国際ガイドラインを採択。船舶・船上機器システムのセキュリティ対策でも、国際船級協会連合（IACS）の統一規則や、各船級のガイドラインで要求されているが、船上機器システムへの機能要件の検討が進む一方で、実装されたサイバーリスク対策がこれらの要件を満たすことを検証する手法は、確立の途上にあるという。