NTTデータ、MTI、ジャパン マリンユナイテッド、日本海事協会、日本郵船は7月20日、既存船舶の船上機器システムを模擬した環境において、船舶へのサイバー攻撃を想定した「ペネトレーションテスト(侵入テスト)」を国内で初めて実施し、船上機器システムに関わるサイバーリスク対策の検証手法の確立を目指す取り組みとして、その成果を一部公開した。
昨今、船内機器の電子化や船陸間の衛星通信の普及が進んでいる一方で、第三者による船舶システムへの不正アクセスなど、サイバーセキュリティ上のリスクが世界的にも高まっている。これらの不正アクセスにより、エンジンの異常運転や停止を引き起こしたり、航海計器の表示や位置情報を改ざんする事で、意図的に操船を乗っ取るといった脅威が指摘されている。
上記のような背景から、船舶運航におけるサイバーリスク管理については、国際海事機関(IMO)において、2021年以降に安全管理システムの中で対応することを推奨する国際ガイドラインが採択された。また船舶・船上機器システムのセキュリティ対策においても、国際船級協会連合(IACS)の統一規則や、各船級のガイドラインで要求されている。しかし、船上機器システムへの機能要件の検討が進む一方で、実装されたサイバーリスク対策がこれらの要件を満たすことを検証する手法は、確立の途上にあるという。
-
第三者による船舶システムへの不正アクセス イメージ図
こうした背景のもと上記5社は、サイバーリスク対策の検証手法として、既に他産業で活用されているペネトレーションテストの有効性の確認および知見を獲得するべく、船社、造船・舶用事業者といった業界関係者とIT業界が手を組み、新造船を想定した模擬環境において、同テストを実施した。その結果、船上機器が攻撃を受けた後の本船上での対応や、テスト結果に基づく事前対策のルール形成が必要と評価されたという。
また、ペネトレーションテストの成果は、適切なサイバーリスク対策の検証手法の確立、および日本の海事クラスターのサイバーセキュリティに関わる技術水準向上につなげるため、一部が「船上機器システムにおけるサイバーリスク対策検討のためのペネトレーションテスト成果報告書」として公開された。
同報告書では、ペネトレーションテストの体制や手順、実施上の留意点など、本テストのユーザが今後テストを実施・運営していくにあたり参考となる情報のほか、テスト結果から得られた船上機器システムにおけるサイバー攻撃対策として有用な事例についても紹介されており、船社、造船・舶用事業者のサイバー攻撃への備えに貢献することを目指している。
