IEC 62443-2-1第2版の改訂内容と推奨される対応
2024年8月、IEC 62443-2-1の改訂第2版「IACSアセットオーナーのためのセキュリティプログラム要求事項」が発行されました。第1版からの要件構成の変更、62443シリーズの他文書との連携、成熟度モデルの導入など多岐にわたり変更された第2版の概要や、改訂に伴って推奨される対応について解説します。
1. はじめに
船舶や港湾は、各国の物流を支える重要インフラストラクチャーであり、業務が停止すると、さまざまな産業に悪影響が生じるだけでなく、輸入の停滞など国民生活も影響を受けます。グローバルでは近年、船舶サイバーセキュリティに関する統一規則(IACS UR E26/E27)の発行を筆頭に、海事分野におけるサイバーセキュリティの機運が高まっています。
米国では、船舶や港湾施設にサイバーセキュリティ対策を求める大統領令14116※1を根拠に、米国沿岸警備隊(USCG)の権限強化と、デジタルインフラの安全性確保などサイバーセキュリティに関する要件の追加が行われることになりました。それに伴い、これまでの船舶・港湾の安全性に関する連邦規則(Title 33 CFR※2)にサイバーセキュリティ要件を追加する規則案(以下、NPRM)が2024年2月に公表されました※3。今後、このNPRMがパブリックコメントを受けた修正を経て、連邦規則の中に追加されることになります。多国間の枠組みとしては、国際貿易に従事する船舶の安全性を高めることを目的した組織である国際海事機関(International Maritime Organization:IMO)がサイバーリスク管理ガイドラインを策定していますが、米国でのサイバーセキュリティ要件の追加は、今後米国も加盟しているIMOのガイドラインにも間接的に影響し、日本の船舶・港湾事業にも広く影響が及ぶ可能性があります(図表1)。
図表1:NPRMと他の法規の関係図
*1 https://www.federalregister.gov/documents/2024/02/26/2024-04012/amending-regulations-relating-to-the-safeguarding-of-vessels-harbors-ports-and-waterfront-facilities
*2 https://www.nist.gov/cyberframework
*3 https://wwwcdn.imo.org/localresources/en/OurWork/Security/Documents/MSC-FAL.1-Circ.3-Rev.2%20-%20Guidelines%20On%20Maritime%20Cyber%20Risk%20Management%20(Secretariat)%20(1).pdf
*4 https://www.federalregister.gov/documents/2024/02/22/2024-03075/cybersecurity-in-the-marine-transportation-system#footnote-54-p13414
*5 https://www.ecfr.gov/current/title-33
本稿は、船舶・港湾事業に携わる日本企業のセキュリティ責任者を対象としています。船舶・港湾分野におけるサイバーセキュリティの動向を理解し、向こう数年で発生しうる規制対応リスクを理解する一助になれば幸いです。
2. NPRMの概要
連邦規則集33巻(Title 33 CFR)は「ナビゲーションと航行可能水域」に関する規則集ですが、その第1章が「沿岸警備隊、国土安全保障省」に関する規則であり、船舶や港湾の安全性に関する規則が定められています(図表2 サブチャプターHおよびP)。
図表2:Title 33 CFRの関連箇所の全体像
NPRMによってサイバーセキュリティ要件が追記される想定の箇所はPart 101「海事のセキュリティ:一般」であり、船舶や港湾設備に関する文書管理や安全性要件の詳細は、Part 104「海事のセキュリティ:船舶」、Part 105「海事のセキュリティ:設備」、Part 106「海事のセキュリティ:OCS(領海外大陸棚)設備」を参照する形式になっています。またPart 160「港湾と水路の安全:一般」に定義されている「危険な状態」の定義にサイバー要件を追記することも検討されています。
追加される想定の要件としては、以下のような内容を含みます(図表3)。
- サイバーセキュリティに関する責任者・担当者の定義
- サイバーセキュリティ計画
- 訓練と演習
- 記録と文書
- コミュニケーション
- その他技術要件
図表3:NPRMのサイバーセキュリティに関する主な要件
| 項番 | タイトル | 主な要件 | 解釈 |
| 101.620 | 所有者、運営者 | 所有者、運営者の役割定義 | サイバーセキュリティ計画、インシデント対応計画の承認や当局報告に責任を持つ役割を定義する |
| 101.625 | サイバーセキュリティ担当者 | CySO(Cybersecurity Officer)ポジションの設定と職能定義 | サイバーセキュリティ計画策定、演習・訓練・監査、インシデント対応など各種の運用に責任を持つ人を定義する |
| 101.630 | サイバーセキュリティ計画 | 船舶、施設、OCS施設で策定・運用すべきサイバーセキュリティ計画に含まれる内容や運用要件 | 当局報告資料にもなるサイバーセキュリティ計画のフォーマットが定義されている |
| 101.635 | 訓練と演習 | サイバーセキュリティ訓練と演習の要件 | 「訓練」(特定目的に特化した技術的実地トレーニング)と「演習」(幅広い組織でセキュリティ耐性を高めるための演習)を区別して、それぞれを実施する |
| 101.640 | 記録と文書 | 文書化するべき対象業務 | 文書化すべき対象業務(トレーニング、サイバーセキュリティ計画、インシデントなど)と保存期間、保存形式などを定義する。記録は少なくとも紙か電子媒体で2年間保存し、要求に応じて沿岸警備隊が利用できるようにする |
| 101.645 | コミュニケーション | インシデント時のコミュニケーション要件 | インシデント時にCySOが情報共有する方法と手順を定義するもの |
| 101.650(a) | アカウントセキュリティ | 多要素認証や最小権限などアカウント関連の基本要件 | CySOは、アカウント関連のセキュリティ対策を実施し、内容をサイバーセキュリティ計画に文書化する |
| 101.650(b) | デバイスセキュリティ | 承認済みデバイス管理などデバイス関連の基本要件 | CySOは、デバイス関連のセキュリティ対策を実施し、内容をサイバーセキュリティ計画に文書化する |
| 101.650(c) | データセキュリティ | 暗号化等、データセキュリティ関連の基本要件 | CySOは、データ関連のセキュリティ対策を実施し、内容をサイバーセキュリティ計画に文書化する |
| 101.650(d) | 職員向けトレーニング | サイバーセキュリティに関するトレーニングの内容に関する要件 | トレーニングの種類は、担当者の役割と責任によって異なる。内容をサイバーセキュリティ計画に文書化する |
| 101.650(e) | リスク管理 | セキュリティ評価、ペンテスト、保守などリスク管理要件 | 情報と記録(データ)が組織のリスク戦略と一貫して管理されていることを確認する。サイバーセキュリティ評価とリスク管理の3つのレベル(年次評価、ペンテスト実施、定期メンテナンス)を確立する。CySOは、このセクションのリスク管理対策を確実に実施し、サイバーセキュリティ計画に文書化する |
| 101.650(f) | サプライチェーン | 調達、インシデント通知などサプライチェーンリスク管理に関連した要件 | サプライチェーンにおけるサイバーセキュリティリスクを管理するための措置を指定する |
| 101.650(g) | 回復力 | 当局報告やバックアップなど障害からの回復に関する要件 | 米国籍船舶、施設業務への影響を最小限に抑えてインシデントから復旧できるようにするための要件。沿岸警備隊への報告要件含む |
| 101.650(h) | ネットワークセグメンテーション | ネットワーク分離やネットワーク監視などの要件 | ネットワークが確実にセグメント化されていることを確認し、それらの活動をサイバーセキュリティ計画に文書化する要件 |
| 101.650(i) | 物理セキュリティ | 物理アクセスの記録、未知の物理アクセスの許可手順など物理セキュリティ要件 | ハードウェア保護、無許可ハードウェアの使用制限など、ITおよびOTシステムへの物理的アクセスを管理することを明記する要件 |
出所:Title 33 CFR
役割定義や計画といったガバナンスやマネジメントに関連する項目から、「アカウントセキュリティ」や「サプライチェーン」のような技術要件の中で最低限必要と考えられる項目で構成されていることに注意する必要があります。またNPRMでは、NISTサイバーセキュリティフレームワーク(NIST CSF)を多くの技術要件で参照しているため、詳細は最低限に留めています。
3. 他の船舶・港湾ガイドライン(IMO、国土交通省)との比較
NPRMが参照しているガイドラインとして、IMOが策定しているサイバーリスク管理ガイドライン※4があります。このガイドラインはNPRMと同様に、サイバーセキュリティに関する最低限の要件を定めているものですが、NPRMとは異なる要件も存在します。NPRMの中で、IMOガイドラインの推奨事項とNPRMの要件を一致させていくことが言及されているため、両者の独自の要件を以下で比較します(図表4)。
図表4:IMOサイバーリスク管理ガイドラインとNPRMの差分ポイント
IMOガイドラインは復旧手順やシステム間依存性の考慮などに言及されている一方、NPRMはガバナンスに関連する役職定義や文書化、サプライチェーンなどがIMOガイドラインより詳細に記載されているのがポイントです。次に、このようなグローバルでの動向と並行して、日本では船舶・港湾のサイバーセキュリティに関してどのような整理が行われているかを確認します。
国土交通省では船舶・港湾に関するサイバーセキュリティガイドラインとして「物流分野(船舶運航)における情報セキュリティ確保に係る安全ガイドライン」※5および「港湾分野における情報セキュリティ確保に係る安全ガイドライン」※6を提供しています。両ガイドラインは、サイバーセキュリティ戦略本部が策定した「重要インフラのサイバーセキュリティに係る行動計画」(2022年)や「重要インフラにおけるサイバーセキュリティ確保に係る安全基準等策定指針」(2023年)を受けて、ガバナンスやサプライチェーンのリスク管理を整理する方向で、2024年に改定されました。両ガイドラインの要件は、最低限のサイバーセキュリティ要件を定義しているNPRMと比べると、概ね詳細な内容となっていますが、一部NPRMにのみ記載されている要件もあります。特にサイバーセキュリティ計画やコミュニケーションなど、内容として参考にすべき要件が含まれています。
図表5:国土交通省「物流分野(船舶運航)における情報セキュリティ確保に係る安全ガイドライン」とNPRMの差分ポイント
4. 日本企業への示唆
近年、国内外の港湾ターミナルシステムにおいて、ランサムウェア感染などのサイバー攻撃によるシステム障害が発生しています。こうしたインシデントが発生すると、多くの船舶やコンテナ搬出・搬入のスケジュールが影響を受ける他、港湾周辺の経済活動にも波及します。インシデントの原因としては「VPN設定」などの技術的な不備だけではなく、「CISOの設置」や「セキュリティ専門家や関係者との連絡体制」などのガバナンスに関する対策不備も「インシデント対応への遅れ」という形で影響するケースがあります。NPRMでもセキュリティ担当者(CySO)設置や、CySOによるコミュニケーション手順の整備が求められており、これらのガバナンスやコミュニケーション要件が実インシデント事例でも重要な要素となっていることがうかがえます。
船舶や港湾運営は多くの国で複雑なステークホルダー構造になっており、これまでのセキュリティベストプラクティスを基にした海外の法規制やガイドラインは、日本でも参考になる要素が含まれています。上記のようなグローバルの法規則やガイドラインなどの動向は、今後も注視していく必要があります。
※1 Executive Order 14116, “Amending Regulations Relating to the Safeguarding of Vessels, Harbors, Ports, and Waterfront Facilities of the United States”
※2 Title 33 Code of Federal Regulations
※3 A Proposed Rule by the Coast Guard on Cybersecurity in the Marine Transportation System
※4 IMO, “GUIDELINES ON MARITIME CYBER RISK MANAGEMENT”
※5 国土交通省、『物流分野(船舶運航)における情報セキュリティ確保に係る安全ガイドライン』
※6 国土交通省、『港湾分野における情報セキュリティ確保に係る安全ガイドライン』
サイバーセキュリティ・プライバシー法規制のトレンドと企業に求められる対応
20 results
Loading...
「営業秘密」の保護と利活用 第1回:競争優位性の維持向上に不可欠な営業秘密保護対応
営業秘密は企業の競争優位性を支える重要な資産であり、経営層はこれをリスク管理の一環として重視し、戦略的に対応することが求められます。シリーズ第1回となる本稿では、営業秘密の定義とその重要性について解説します。
事業のグローバル化からみるサイバー・物理セキュリティ強化の必要性
本海外規格や国内外のガイドラインを踏まえて、日本企業が国際水準の物理セキュリティを整備する必要性を解説し、実際にどのように「物理セキュリティペネトレーションテスト」を導入・活用できるかをご紹介します。
望ましいサイバーセキュリティの未来(銀行業界編)
スイス連邦財務省国際金融問題局の独立調査ユニットであるSwiss Financial Innovation Deskが発行した「Pathway 2035 for Financial Innovation」レポートを基に、銀行業界のサイバーセキュリティ戦略におけるAI、耐量子、デジタルトラスト、デジタル通貨のテーマ別に、それぞれの未来予測とサイバーリスク、望ましい対応策を整理します。
Loading...
インサイト/ニュース
20 results
Loading...
グローバルで本格化するAI関連法規制整備を受け、AI活用を推進するために日本企業はどうするべきか
慶應義塾大学大学院特任准教授の吉永京子氏、アレシア国際法律事務所代表弁護士の有本真由氏をお迎えし、AI活用におけるガイドラインや規制に関する世界の最新動向を踏まえつつ、日本企業に求められる戦略と実務対応について考察します。
国内で進む経済安全保障関連法整備の狙いと企業の対応
世界に先駆けて経済安全保障の包括的対策を法制化した日本。法制度の趣旨や既存法制との違いについて法律の専門家に解説いただくとともに、日本電気の実例を基に、リスクと機会を正しく捉える企業対応のあり方を探ります。
日本企業は新世界秩序と大国間の対立をどう乗り越えられるか
コロンビア大学ロースクール教授でPwC Japanグループ顧問のアニュ・ブラッドフォードが、米国の新政権誕生によって米国・欧州・中国関係が転換点を迎える今、国際貿易とデジタル規制の最新動向を分析し、日本企業がとるべき具体的な対応策を解説します。
デジタル規制、いま企業に求められること ビジネスパーソンとメディアの新たな関係
NIKKEI Digital Governance 編集長の中西豊紀氏とTMI総合法律事務所パートナー弁護士の大井哲也氏とともに、企業に求められるデジタル法規制対応のあり方を示し、実務担当者の意思決定を支えるメディアの役割について議論しました。
Loading...
