米国の船舶および港湾のサイバーセキュリティ法規制最新動向

1. はじめに

船舶や港湾は、各国の物流を支える重要インフラストラクチャーであり、業務が停止すると、さまざまな産業に悪影響が生じるだけでなく、輸入の停滞など国民生活も影響を受けます。グローバルでは近年、船舶サイバーセキュリティに関する統一規則（IACS UR E26/E27）の発行を筆頭に、海事分野におけるサイバーセキュリティの機運が高まっています。

米国では、船舶や港湾施設にサイバーセキュリティ対策を求める大統領令14116^※1を根拠に、米国沿岸警備隊（USCG）の権限強化と、デジタルインフラの安全性確保などサイバーセキュリティに関する要件の追加が行われることになりました。それに伴い、これまでの船舶・港湾の安全性に関する連邦規則（Title 33 CFR^※2）にサイバーセキュリティ要件を追加する規則案（以下、NPRM）が2024年2月に公表されました^※3。今後、このNPRMがパブリックコメントを受けた修正を経て、連邦規則の中に追加されることになります。多国間の枠組みとしては、国際貿易に従事する船舶の安全性を高めることを目的した組織である国際海事機関（International Maritime Organization：IMO）がサイバーリスク管理ガイドラインを策定していますが、米国でのサイバーセキュリティ要件の追加は、今後米国も加盟しているIMOのガイドラインにも間接的に影響し、日本の船舶・港湾事業にも広く影響が及ぶ可能性があります（図表1）。

図表1：NPRMと他の法規の関係図

^{*1 https://www.federalregister.gov/documents/2024/02/26/2024-04012/amending-regulations-relating-to-the-safeguarding-of-vessels-harbors-ports-and-waterfront-facilities

*2 https://www.nist.gov/cyberframework

*3 https://wwwcdn.imo.org/localresources/en/OurWork/Security/Documents/MSC-FAL.1-Circ.3-Rev.2%20-%20Guidelines%20On%20Maritime%20Cyber%20Risk%20Management%20(Secretariat)%20(1).pdf

*4 https://www.federalregister.gov/documents/2024/02/22/2024-03075/cybersecurity-in-the-marine-transportation-system#footnote-54-p13414

*5 https://www.ecfr.gov/current/title-33}

本稿は、船舶・港湾事業に携わる日本企業のセキュリティ責任者を対象としています。船舶・港湾分野におけるサイバーセキュリティの動向を理解し、向こう数年で発生しうる規制対応リスクを理解する一助になれば幸いです。

2. NPRMの概要

連邦規則集33巻（Title 33 CFR）は「ナビゲーションと航行可能水域」に関する規則集ですが、その第1章が「沿岸警備隊、国土安全保障省」に関する規則であり、船舶や港湾の安全性に関する規則が定められています（図表2 サブチャプターHおよびP）。

図表2：Title 33 CFRの関連箇所の全体像

NPRMによってサイバーセキュリティ要件が追記される想定の箇所はPart 101「海事のセキュリティ：一般」であり、船舶や港湾設備に関する文書管理や安全性要件の詳細は、Part 104「海事のセキュリティ：船舶」、Part 105「海事のセキュリティ：設備」、Part 106「海事のセキュリティ：OCS（領海外大陸棚）設備」を参照する形式になっています。またPart 160「港湾と水路の安全：一般」に定義されている「危険な状態」の定義にサイバー要件を追記することも検討されています。

追加される想定の要件としては、以下のような内容を含みます（図表3）。

サイバーセキュリティに関する責任者・担当者の定義
サイバーセキュリティ計画
訓練と演習
記録と文書
コミュニケーション
その他技術要件

図表3：NPRMのサイバーセキュリティに関する主な要件

項番	タイトル	主な要件	解釈
101.620	所有者、運営者	所有者、運営者の役割定義	サイバーセキュリティ計画、インシデント対応計画の承認や当局報告に責任を持つ役割を定義する
101.625	サイバーセキュリティ担当者	CySO（Cybersecurity Officer）ポジションの設定と職能定義	サイバーセキュリティ計画策定、演習・訓練・監査、インシデント対応など各種の運用に責任を持つ人を定義する
101.630	サイバーセキュリティ計画	船舶、施設、OCS施設で策定・運用すべきサイバーセキュリティ計画に含まれる内容や運用要件	当局報告資料にもなるサイバーセキュリティ計画のフォーマットが定義されている
101.635	訓練と演習	サイバーセキュリティ訓練と演習の要件	「訓練」（特定目的に特化した技術的実地トレーニング）と「演習」（幅広い組織でセキュリティ耐性を高めるための演習）を区別して、それぞれを実施する
101.640	記録と文書	文書化するべき対象業務	文書化すべき対象業務（トレーニング、サイバーセキュリティ計画、インシデントなど）と保存期間、保存形式などを定義する。記録は少なくとも紙か電子媒体で2年間保存し、要求に応じて沿岸警備隊が利用できるようにする
101.645	コミュニケーション	インシデント時のコミュニケーション要件	インシデント時にCySOが情報共有する方法と手順を定義するもの
101.650(a)	アカウントセキュリティ	多要素認証や最小権限などアカウント関連の基本要件	CySOは、アカウント関連のセキュリティ対策を実施し、内容をサイバーセキュリティ計画に文書化する
101.650(b)	デバイスセキュリティ	承認済みデバイス管理などデバイス関連の基本要件	CySOは、デバイス関連のセキュリティ対策を実施し、内容をサイバーセキュリティ計画に文書化する
101.650(c)	データセキュリティ	暗号化等、データセキュリティ関連の基本要件	CySOは、データ関連のセキュリティ対策を実施し、内容をサイバーセキュリティ計画に文書化する
101.650(d)	職員向けトレーニング	サイバーセキュリティに関するトレーニングの内容に関する要件	トレーニングの種類は、担当者の役割と責任によって異なる。内容をサイバーセキュリティ計画に文書化する
101.650(e)	リスク管理	セキュリティ評価、ペンテスト、保守などリスク管理要件	情報と記録（データ）が組織のリスク戦略と一貫して管理されていることを確認する。サイバーセキュリティ評価とリスク管理の3つのレベル（年次評価、ペンテスト実施、定期メンテナンス）を確立する。CySOは、このセクションのリスク管理対策を確実に実施し、サイバーセキュリティ計画に文書化する
101.650(f)	サプライチェーン	調達、インシデント通知などサプライチェーンリスク管理に関連した要件	サプライチェーンにおけるサイバーセキュリティリスクを管理するための措置を指定する
101.650(g)	回復力	当局報告やバックアップなど障害からの回復に関する要件	米国籍船舶、施設業務への影響を最小限に抑えてインシデントから復旧できるようにするための要件。沿岸警備隊への報告要件含む
101.650(h)	ネットワークセグメンテーション	ネットワーク分離やネットワーク監視などの要件	ネットワークが確実にセグメント化されていることを確認し、それらの活動をサイバーセキュリティ計画に文書化する要件
101.650(i)	物理セキュリティ	物理アクセスの記録、未知の物理アクセスの許可手順など物理セキュリティ要件	ハードウェア保護、無許可ハードウェアの使用制限など、ITおよびOTシステムへの物理的アクセスを管理することを明記する要件

^{出所：Title 33 CFR}

役割定義や計画といったガバナンスやマネジメントに関連する項目から、「アカウントセキュリティ」や「サプライチェーン」のような技術要件の中で最低限必要と考えられる項目で構成されていることに注意する必要があります。またNPRMでは、NISTサイバーセキュリティフレームワーク（NIST CSF）を多くの技術要件で参照しているため、詳細は最低限に留めています。

3. 他の船舶・港湾ガイドライン（IMO、国土交通省）との比較

NPRMが参照しているガイドラインとして、IMOが策定しているサイバーリスク管理ガイドライン^※4があります。このガイドラインはNPRMと同様に、サイバーセキュリティに関する最低限の要件を定めているものですが、NPRMとは異なる要件も存在します。NPRMの中で、IMOガイドラインの推奨事項とNPRMの要件を一致させていくことが言及されているため、両者の独自の要件を以下で比較します（図表4）。

図表4：IMOサイバーリスク管理ガイドラインとNPRMの差分ポイント

IMOガイドラインは復旧手順やシステム間依存性の考慮などに言及されている一方、NPRMはガバナンスに関連する役職定義や文書化、サプライチェーンなどがIMOガイドラインより詳細に記載されているのがポイントです。次に、このようなグローバルでの動向と並行して、日本では船舶・港湾のサイバーセキュリティに関してどのような整理が行われているかを確認します。

国土交通省では船舶・港湾に関するサイバーセキュリティガイドラインとして「物流分野（船舶運航）における情報セキュリティ確保に係る安全ガイドライン」^※5および「港湾分野における情報セキュリティ確保に係る安全ガイドライン」^※6を提供しています。両ガイドラインは、サイバーセキュリティ戦略本部が策定した「重要インフラのサイバーセキュリティに係る行動計画」（2022年）や「重要インフラにおけるサイバーセキュリティ確保に係る安全基準等策定指針」（2023年）を受けて、ガバナンスやサプライチェーンのリスク管理を整理する方向で、2024年に改定されました。両ガイドラインの要件は、最低限のサイバーセキュリティ要件を定義しているNPRMと比べると、概ね詳細な内容となっていますが、一部NPRMにのみ記載されている要件もあります。特にサイバーセキュリティ計画やコミュニケーションなど、内容として参考にすべき要件が含まれています。

図表5：国土交通省「物流分野（船舶運航）における情報セキュリティ確保に係る安全ガイドライン」とNPRMの差分ポイント

4. 日本企業への示唆

近年、国内外の港湾ターミナルシステムにおいて、ランサムウェア感染などのサイバー攻撃によるシステム障害が発生しています。こうしたインシデントが発生すると、多くの船舶やコンテナ搬出・搬入のスケジュールが影響を受ける他、港湾周辺の経済活動にも波及します。インシデントの原因としては「VPN設定」などの技術的な不備だけではなく、「CISOの設置」や「セキュリティ専門家や関係者との連絡体制」などのガバナンスに関する対策不備も「インシデント対応への遅れ」という形で影響するケースがあります。NPRMでもセキュリティ担当者（CySO）設置や、CySOによるコミュニケーション手順の整備が求められており、これらのガバナンスやコミュニケーション要件が実インシデント事例でも重要な要素となっていることがうかがえます。

船舶や港湾運営は多くの国で複雑なステークホルダー構造になっており、これまでのセキュリティベストプラクティスを基にした海外の法規制やガイドラインは、日本でも参考になる要素が含まれています。上記のようなグローバルの法規則やガイドラインなどの動向は、今後も注視していく必要があります。

^※1 Executive Order 14116, “Amending Regulations Relating to the Safeguarding of Vessels, Harbors, Ports, and Waterfront Facilities of the United States”

^※2 Title 33 Code of Federal Regulations

^※3 A Proposed Rule by the Coast Guard on Cybersecurity in the Marine Transportation System

^※4 IMO, “GUIDELINES ON MARITIME CYBER RISK MANAGEMENT”

^※5 国土交通省、『物流分野（船舶運航）における情報セキュリティ確保に係る安全ガイドライン』

^※6 国土交通省、『港湾分野における情報セキュリティ確保に係る安全ガイドライン』