海事業界のセキュリティ最前線~サイバー脅威、新たな規制、求められる取り組み~
本稿では、Trend Micro(US)が2025年4月に開催したウェビナーの主な内容を紹介します。米国やイスラエルの専門家のディスカッションからは、国や地域を問わず海事業界が抱える共通の課題が見えてきます。
2023年7月に発生したランサムウェア攻撃による名古屋港のシステム障害について、記憶にある方も多いと思います。総取扱貨物量において20年以上日本一を誇る同港で1日以上貨物の搬出入が停止したことは、自動車の輸出をはじめとする物流に多大な影響を及ぼし、世界的にもニュースになりました。
他の国や地域でも、港湾関連施設はサイバー攻撃にさらされています。
同年11月には、オーストラリアの大手港湾運営会社DPワールド・オーストラリアがサイバー攻撃を受け、メルボルン、シドニー、ブリスベン、フリーマントルの4港において3日間操業を停止したと報じられています。同社はオーストラリアの輸出入品の約40%を取り扱っているとされています。
また、同年6月には欧州最大の港であるロッテルダム港やアムステルダム港などがDDoS攻撃の被害を受けたと報じられました。
港湾などの水上輸送関連施設は、様々な国や地域のサイバーセキュリティ関連法案において、重要インフラとして位置づけられています(例:米国CIRCIA、欧州NIS2指令、日本のサイバーセキュリティ基本法など)。しかし、依然としてセキュリティ上の課題も抱えているようです。
本記事では、Trend Micro(US)が2025年4月に開催したウェビナーの内容から、海事業界が抱える課題、2025年7月に施行される規制の概要、今後必要とされる取り組みやソリューションについて紹介します。
<関連記事>
・名古屋港の活動停止につながったランサムウェア攻撃~今一度考えるその影響と対策
・経済安全保障推進法をサイバーセキュリティ視点でとらえる~企業が備えるべきポイントを解説~
・アメリカ「CIRCIA(サイバーインシデント報告に関する重要インフラ法)」の概要を理解する
・NIS2指令:EUで事業を展開する日本企業が知っておくべきこと
海事業界のサイバー課題:他分野に学べ
海事業界は、船会社や港湾運営者などで構成された巨大で複雑なエコシステムです。そこでは、情報技術(IT)と運用技術(OT)のさまざまな要素が関わっています。こうしたシステムのセキュリティを確保することは困難ではありますが極めて重要です。というのも、港湾は国のサプライチェーンの中枢に位置しているからです。
2025年4月9日に行われたウェビナー「Maritime Cybersecurity: Risks and Best Practices(海事業界のサイバーセキュリティ:リスクとベストプラクティス)」では、現在の課題や、サプライチェーンおよび海事セキュリティインフラの保護において関係者が注力すべき点について、専門家たちが議論しました。
イスラエル国家サイバー総局(Israel National Cyber Directorate:INCD)の元局長、イガル・ウンナ(Yigal Unna)氏は、法律事務所Venable社のサイバーセキュリティサービス部門のシニアディレクター、ケイトリン・クラーク(Caitlin Clarke)氏と対談し、自身の港湾セキュリティに関する経験を共有しました。ほかの分野と異なり、海事業界ではサイバーセキュリティに関するガイドラインや規制がこれまであまり整備されてきませんでした。しかし、システムの相互接続が進み、アタックサーフェス(攻撃対象領域)が拡大する中で、船会社や運営者にとって港湾での問題発生のリスクが高まっています。
システムのセキュリティを強化し、脅威を特定し、効果的にリスクを軽減するためには、官民連携のさらなる強化が急務です。すでに小規模な地域的海事団体では連携が進んでいますが、より大きく包括的な連携体制の構築が不可欠です。「私たちは皆、似たような技術を使っていて、似たようなリスクに直面しています」とウンナ氏は語ります。「他分野のベストプラクティスを海事業界にも適用する必要があります。官民連携が必要であり、政府や学術機関との協力によって認識を高めなければなりません。こうした脅威が認識されなければ、医薬品などの重要物資が届かなくなる恐れもあります。」
海事業界のサイバー課題:GAO報告
米国政府説明責任局(GAO: Government Accountability Office)は2025年2月に『Coast Guard: Additional Efforts Needed to Address Cybersecurity Risks to the Maritime Transportation System(沿岸警備隊:海上輸送システムに対するサイバーセキュリティリスクへの対応にはさらなる取り組みが必要)』という報告書を発表しました。GAOの国土安全保障・司法チームのディレクターであるティナ・ウォン・シャーマン(Tina Won Sherman)氏は、この報告書の概要を紹介しました。
海上輸送システム(MTS:Maritime Transportation System)とは、旅客や物資を水域とその周辺で輸送するための水路、船舶、港湾、関連施設などを含む広範なシステム全体を指します。MTSは重大かつ増大するサイバーセキュリティリスクに直面しており、これには次の要素が含まれます。
●攻撃を行う主体(Threat actors):特定の国家を背景とした主体や国際的な主体が、MTSにとって最大のサイバー脅威である
●脆弱性(Vulnerabilities):MTSの施設および船舶は、サイバー攻撃に対して脆弱なテクノロジーにますます依存するようになっている
●影響(Impacts):サイバーインシデントは港湾運営に影響を及ぼしている。今後のインシデントの影響も深刻なものになりうる
これらのリスクに対処するため、沿岸警備隊はMTS所有者・運営者に対し、技術支援、情報提供などを行っています。しかし沿岸警備隊は、船舶情報などのデータベースシステム上で、サイバーセキュリティに関する完全な検査結果に容易にアクセスできないという課題を抱えています。システムを更新し、こうした情報に容易にアクセスできるようにして、MTS所有者・運営者への監督を強化し、MTSに影響を与える可能性のあるサイバー攻撃を阻止する態勢を整えることが必要です。
また、沿岸警備隊はMTSのサイバーセキュリティリスクに対処するためにサイバーセキュリティ戦略を策定しましたが、その内容は国家戦略上の重要ポイントのすべてを満たしているわけではないとGAOは考えています。たとえば、「目的、範囲、方法論」については十分対応しているものの、「問題定義、リスク評価」や「リソース、投資」などについては一部の対応にとどまると見ています。
さらにGAOは、MTSのサイバーセキュリティリスクに対処するために必要な能力を、サイバー人材が確実に備えられるような取り組みを、沿岸警備隊は十分に実施していないとも指摘しています。その取り組みには、能力要件の策定、能力ギャップの評価とその対処などが含まれます。これが完了するまでは、MTSのサイバーセキュリティリスクを効果的に軽減できているという確信を沿岸警備隊は持つことができないとしています。
2025年7月の規制施行とその影響
この状況は、2025年7月16日に施行される新たなサイバーセキュリティ規制「Cybersecurity in the Marine Transportation System - A Rule by the Coast Guard on 01/17/2025 -(海上輸送システムのサイバーセキュリティ-2025年1月17日の沿岸警備隊による規則-)」で大きく変わろうとしています。
この規則の要約には、「沿岸警備隊は、米国籍船舶、領海外大陸棚施設、および「Maritime Transportation Security Act of 2002(MTSA、2002年海上輸送安全法)」の規制対象施設に対する最低限のサイバーセキュリティ要件を定めることにより、海上の安全保障規則を改正します。この新たな規則では、リスク検知と、サイバーセキュリティインシデントへの対応・復旧を支援するために最低限のサイバーセキュリティ要件を追加することで、海上輸送システムにおける既存および新たなサイバーセキュリティの脅威に対処します。これらの要件には、サイバーセキュリティ計画の策定と維持、サイバーセキュリティ責任者の任命、そして海上輸送システムにおけるサイバーセキュリティを維持するための様々な対策の実施が含まれます。」と述べられています。
この規制は、港湾やその他の施設に影響を与えるでしょう。沿岸警備隊は、港湾などがこの新しい要件に対応できるよう支援する意向を持っていますが、一方で人員不足という課題も抱えています。ウォン・シャーマン氏によれば、沿岸警備隊のサイバーセキュリティ関連職の15%が空席であり、人材の確保において民間部門との競争にも直面しているとのことです。
さらにウォン・シャーマン氏は、上記の新たな規則に対応し、海事業界全体に強固なサイバーセキュリティを実現するためには、業界側もより多くの投資が必要になると指摘しています。
現場が直面する実務上の課題
セッションの最後のパネルでは、港湾協会、港湾オペレーター、自治体の元最高情報セキュリティ責任者(CISO)といった関係者が登壇しました。
この議論から明らかになったのは、海事業界が直面している脅威の状況が、他の一般企業とそれほど変わらないという点です。南ルイジアナ港のITプログラムマネージャーであるミルトン・コーニー(Milton Corney)氏は、フィッシングやソーシャルエンジニアリングによるマルウェアの感染が最大の懸念事項だと述べています。彼が求める優先事項としては、サイバーハイジーン(基本的なセキュリティ習慣)のトレーニング、ガバナンスの枠組み、そして不審なメールリンクをクリックさせないためのポリシー策定が挙げられます。
米国港湾協会の運営・立法担当アソシエートであるホールデン・ヘイリー(Holden Haley)氏は、この団体が観測している傾向として、攻撃者がシステムに侵入した後、すぐに行動を起こすのではなく、しばらく潜伏しながら権限昇格し、別のシステムへのアクセス方法を探っていると説明しています。
トレンドマイクロの海事業界担当の責任者であるニル・ダリオット(Nir Daliot)は、港湾にとってどのような脅威が存在し、それにどう対応すべきかを把握することが極めて重要だとして、「情報共有がなければ、できることはほとんどありません」と強調します。
新しいソリューションと資金支援の重要性
前述のとおり、新たな規制の施行が目前に迫る中で、港湾や関係施設には、最新の技術やリソースに対する資金が必要とされています。ダリオットによれば、イスラエルとアメリカによる研究開発支援機関であるBIRD財団が、海事業界のシステムを保護するためのツールを開発しています。トレンドマイクロとイスラエルのサイバーセキュリティ企業Rescanaは、このBIRD財団の支援を活用して、「Maritime One」というソリューションを共同開発しました。このソリューションでは、次の機能やサービスを通じて、港湾や海事インフラの所有者・運営者に対するリスク低減を目指します。
●動的なリスクスコアリング:リアルタイムで海事の脅威特定と対応の優先順位付けを行う、高度な脅威インテリジェンス
●コンプライアンス・アシュアランス:国際的な海事規制や規格への準拠を簡素化
●ターゲットを絞ったセキュリティトレーニング:従業員向けのセキュリティ意識向上のトレーニングを提供
●継続的な保護:常時監視と更新によって、進化するサイバー脅威に対する最新の防御を確保
ヘイリー氏は、こうした規制への対応を進めるためには資金が不可欠だと強調します。米国国土安全保障省(U.S. Department of Homeland Security)からの補助金の今後については不透明であり、パネリストたちはその継続を望んでいます。
不十分なサイバーハイジーンは港湾にも影響を及ぼします。コーニー氏は、基本的な対策を講じていない港は、サイバー保険の保険料が高くなるか、最悪の場合には保険契約を打ち切られる可能性もあると指摘しています。
さらにヘイリー氏は、港湾がサイバー攻撃を受ければ、ビジネスそのものを失う恐れもあると述べています。船会社は、どの港と取引をするか選ぶことができるため、一度攻撃を受けた港とは取引を避ける可能性があり、サイバーセキュリティは今やビジネス上の差別化要因にもなり得ると語っています。
新たな規制が目前に迫っていることを受け、ダリオットは、港湾運営者がまず基本から取り組むべきだと述べています。一般的なサイバーハイジーンを見直し、システムにパッチを適用し、テストし、評価し、継続的に改善していくことが重要です。最後にコーニー氏は、脆弱性アセスメントやペネトレーションテスト、机上訓練(テーブルトップ演習)といった取り組みも効果的であると締めくくっています。
本記事は2025年5月9日にUSで公開された記事「Maritime Cybersecurity: Threats & Regulations Loom」の抄訳です。
<関連記事>
・名古屋港の活動停止につながったランサムウェア攻撃~今一度考えるその影響と対策
・経済安全保障推進法をサイバーセキュリティ視点でとらえる~企業が備えるべきポイントを解説~
・アメリカ「CIRCIA(サイバーインシデント報告に関する重要インフラ法)」の概要を理解する
・NIS2指令:EUで事業を展開する日本企業が知っておくべきこと
Security GO新着記事
DMARC認証をすり抜けるフィッシング攻撃メールの手口を分析
(2025年7月29日)
中小企業のセキュリティ~その現状と対策を日本事務器が語る~
(2025年7月28日)
事例にみる国内に被害をもたらす2大ランサムウェア攻撃者グループ
(2025年7月23日)