技術情報
産業用ネットワークソリューション / OTセキュリティ / 海洋・船舶
2024年 海洋ネットワークへのサイバー攻撃を守るサイバーセキュリティの大変革 - 4つの重要なポイント NEW
公海でのデジタル船舶に対するサイバー攻撃の脅威が高まっています
船舶のデジタル化は、多くの利点を提供する一方、この新しいテクノロジーの導入により海洋ネットワークへのサイバー攻撃のリスクが高まっています。2023年1月16日、DNV船級協会は、船舶および船隊の技術的、運用的、コンプライアンスのすべての側面をサポートするマリンフリート管理ソフトウェアソリューションである“ShipManager”に対し、サイバー攻撃がされたことを報告しました。実際に、この攻撃により、約1,000隻の船舶が影響を受け、ITサーバが一時的にシャットダウンしました。この海運業界に対する標的型ランサムウェア攻撃は、オンボードシステムのサイバーセキュリティを強化する緊急の必要性を浮き彫りにする警鐘となりました。
2024年:UR E26およびUR E27によるサイバーセキュリティの転換期
2024年1月から船舶やオンボード機器に対するサイバーレジリエンスに重点を置いたUR E26およびUR E27の要件への対応が義務付けられました。こうした変化に対応するためには、4つの重要なポイントを明確に理解することが重要です。
1.UR E26 および UR E27 が適用されるのは誰ですか?
ここでの焦点は、新しいサイバーセキュリティ基準の影響を受ける海事関係者を特定することです。 UR E26 "Cyber Resilience of Ships"(船舶のサイバーレジリエンス)は、船舶設計会社、造船所、システム設計者をサイバーセキュリティの最前線に立たせます。
項目 | アプリケーション | IACS URE26/27 |
|
---|
(出典:IACS E26 1.3から抜粋したテキスト)
UR E27“Cyber Resilience of On-Board Systems and Equipment”( オンボードシステムおよび機器のサイバーレジリエンス)の発表により、これらの規定が船上のすべてのオペレーショナルテクノロジー(OT)システムに拡大され、関連するすべての人員に適用されることになりました。船主は、船級協会とセキュリティ階層を定義する必要があります。サプライヤーは、現在、IEC 62443-4-1およびIEC 62443-4-2のようなハイセキュリティ基準を満たす堅牢な製品を製造する責任を負っています。一方、船級協会は、これらの基準に基づいて審査を行います。
2.UR E27 を早期に採用する利点はありますか?
UR E27に準拠したギャップ分析と検証を実施する早期導入企業は、2024年に競争に対して優位性を確保することができます。
3.どの船級協会が検証ガイドラインを発表するのですか?
各船級協会は、UR E26とUR E27の要求事項に基づき、それぞれのガイダンス文書と関連資料を今年中に発表する予定をしています。
- < 例 >
-
- DNVは、すでに“DNV-RU-SHIP-Pt6Ch.5 Section 21 Cyber Security”規格を実施しており、UR E26およびUR E27への準拠を同等レベルに引き上げています。
- “船上におけるサイバーセキュリティに関するガイドライン”は、船舶の運航における安全確保を最重点としてCybersecurity Management System(CSMS)の構築とオペレーションに関する要件と管理策を定めたものを2023年5月1日に正式に発効しました。
各協会間の差異は、最小限にとどめるべきであり、計画と検証の両面で協会を選択することは有益です。
4.UR E26とUR E27の心臓部
UR E26は、サイバーレジリエントな船舶を建造するための原則を提供し、CBS(Computer Base Systems)を構築する海事プロフェッショナルのための指針を定めています。これは、情報セキュリティの 5つの重要な側面 (識別、保護、検出、レスポンス、リカバリー) を強調しています。UR E27 は、特に IEC 62443-3-3 規格を参照して、これらの原則を運用しています。IEC 62443を理解することは、UR E27のセキュリティ要件を満たす上で重要です。IACS UR E27 4.1 “必要なセキュリティ機能”は、さまざまな目的に対応する 31 の要件を指定し、それらを IEC-62443-3-3 SR システム要件にマッピングしています。
SI番号 | 目的 | 要件 |
---|---|---|
1 | 人間(ユーザ)の識別と認証 | CBS(Computer Base Systems) は、インターフェースを通じてシステムに直接アクセスできるすべての人間(ユーザ)を識別および認証するものとする(IEC 62443-3/SR 1.1) |
2 | アカウント管理 | CBS は、アカウントの追加、有効化、変更、無効化、および削除を含む、許可されたユーザによるすべてのアカウントの管理をサポートする機能を提供するものとする(IEC 62443-3/SR 1.3 ) |
3 | 識別子の管理 | CBSは、ユーザ、グループ、および役割による識別子の管理をサポートする機能を提供するものとする。(IEC 62443-3/SR 1.4) |
4 | 認証管理 | CBS は、以下の機能を提供するものとする
|
5 | ワイヤレスアクセス管理 | CBS は、ワイヤレス通信 に関与するすべてのユーザ (人間、ソフトウェアプロセス、またはデバイス) を識別および認証する機能を提供するものとする(IEC 62443-3/SR 1.6) |
6 | パスワードベースの認証の強度 | CBS は、最小の長さとさまざまな文字タイプに基づいて、構成可能なパスワード強度を強制する機能を提供するものとする (IEC 62443-3/SR 1.7) |
7 | Authenticator(オーセンティケータ)のフィードバック | CBS は、認証プロセス中の認識情報のフィードバックを隠蔽する必要がある(IEC 62443-3/SR 1.10) |
8 | 認証の実施 | すべてのインターフェース上で、人間(ユーザ)には職務分掌と最小限の特権の原則に従って権限が割り当てられるものとする(IEC 62443-3/SR 2.1) |
9 | ワイヤレス使用の管理 | CBS は、一般に受け入れられているセキュリティ業界の慣行に従って、システムへのワイヤレスコネクティビティの使用制限を承認、監視、強制する機能を提供するものとする。(IEC 62443-3/SR 2.2) |
10 | ポータブルおよびモバイルデバイスの使用管理 | CBS がポータブルおよびモバイル デバイスの使用をサポートする場合、システムに一貫した機能を提供する |
(出典: IACS UR E27 4.1)
迅速な実装を加速:IEC 62443の役割
IEC 62443は、システムとコンポーネントのセキュリティ基準と要件を定めており、船舶搭載システムがUR E27に準拠しているかどうかを評価する上で重要な役割を果たします。一定のセキュリティレベルを達成するためには、システムの脆弱性を補う対策とともに、強固なセキュリティ機能が必要です。著名なマニファクチュアラ―やさまざまな業界は、IACS (Industrial Automation and Control Systems /産業用オートメーションおよび制御システム)に必要なこのサイバーセキュリティ規格を採用しています。
UR E27への準拠を迅速化するには、IEC 62443-4-1およびIEC 62443-4-2の認証を受けた業界のパイオニアであるMoxaのようなIEC 62443準拠のコンポーネントを提供するサービスプロバイダにご相談ください。Moxaは、海洋セキュリティのコンプライアンスに準拠するソリューションを提供することにより、海洋ネットワークのセキュリティを保護します。
Moxaのスマート船舶に関する最新情報は、スマート船舶、サイバーリスクから船舶を保護する海事ソリューション(カタログ・資料)をご覧ください。