海上の港湾、港湾施設、船舶運航は、サイバーセキュリティの標的としてますます重要視されている。資金力のある国家行為者は近い将来の脅威であり、これらの業務へのリスクは莫大な損失をもたらすだけでなく、大規模なサプライチェーンを脅かしたり、国家経済を混乱させたりする可能性がある。
港湾業務から物流・輸送、船舶の運航に至るまで、非常に多くの業務主体やプロセスが集約された複雑なインフラについて、完全なリスク評価を実施することは困難な場合がある。幸いなことに、より新しい海事規制や業界の勧告が、懸念に対処するための指針を提示している。
以下では、現行の海事規制ガイドラインの概要と、海上業務をリスクから守り、コンプライアンス要件を満たすためのベストプラクティスを紹介する。
サイバーセキュリティ準備のための重要な業界ガイドライン
サイバーセキュリティ攻撃は、企業のデータを管理する情報技術(IT)ネットワークから、施設の運用を物理的に制御する運用技術(OT )ネットワークに移行しつつある。増大するサイバー脅威に対応するためには、海上輸送安全法(MTSA)規制施設に適用される脆弱性とリスク評価を実施することが重要である。MTSA規制施設は通常、バルク貨物、石油、LNGの出荷や保管など多様な貨物を扱っており、サイバーリスクに対処する際には考慮すべきことが多くあります。
海運施設はサプライチェーンの中間で直接操業していることを考えると、持続的なサイバー攻撃は施設自身だけでなく、その上流および下流の顧客にも多大な金銭的損失をもたらす可能性がある。しっかりとしたサイバーセキュリティプログラムを導入することは、適切なデューデリジェンスを実証する上で極めて重要である。米国沿岸警備隊(USCG)は、NVIC(Navigation and Vessel Inspection Circular)01-20の中で、連邦規則33CFR105および106の下で規制される海事施設全体で、サイバーセキュリティとサイバーリスク管理の管理を強化するよう求めている。
海運業者が知っておくべき詳細な規制ガイドラインには、以下のようなものがある:
港湾・ターミナル施設
サイバーセキュリティ導入のための米国の規制とガイダンス
- 海上輸送安全法(MTSA)施設および大陸棚外(OCS)施設
- 33 CFR 105 - 海上のセキュリティ:施設
- 33 CFR 106 - 海上の安全保障:大陸棚外(OCS)施設
- USCG NVIC 03-03 - 施設セキュリティポリシー
- USCG NVIC 01-20 - 施設サイバーポリシー
- サイバーセキュリティに関するUSCG MSIB
- MSIB 10-19:サイバー攻撃がMTSA施設運営に影響
- MSIB 18-20:運用技術と制御システムの保護が急務
- MSIB 25-20:緊急のお知らせ一般的なネットワーク管理ソフトウェア SolarWinds のアクティブな悪用
- MSIB 03-21:注意喚起の継続SolarWinds ソフトウェアの積極的な悪用
船舶
IMO 2021 安全管理システムにおける海事サイバーリスク管理
- IMOが2017年にサイバー勧告を発表
- 428(98)、安全管理システムにおける海上サイバーリスク管理
- IMO MSC-FAL.1/Circ.3、海上のサイバーリスク管理に関するガイドライン
船上のサイバーセキュリティに関するBIMCOのガイドラインv4
- ISMコードとの明確なサイバー・マッピングとNIST CSFとの整合を提供する。
- セキュリティ対策の文書化と実施を含む
- ISM監査では、SMSの更新以上のことが要求される。
サイバー規制は今後も拡大し続け、規制環境は、OT 、ITネットワーク、システム、デバイスの可視性と制御を含むセキュリティ問題に焦点を当て始めている。事業者はまた、コンプライアンスとセキュリティ要件の両方を考慮する必要がある。
ベストプラクティスから始めようセキュリティ評価、資産目録、監査リスク
- サイバーセキュリティ評価の実施- 米国標準技術研究所(NIST)のサイバーセキュリティフレームワーク(CSF)を使用して、各施設のサイバースタンスの評定スコアを決定することが可能である。業界のベストプラクティスとの整合性を図り、施設セキュリティ計画(FSP)に概説されている既存の物理的セキュリティ計画にサイバーセキュリティを統合する施設を支援するために、NIST CSFのサブカテゴリーは、米国沿岸警備隊(USCG)のNavigation and Vessel Inspection Circular NVIC 01-20および33 CFR 105に概説されている要件から15のサイバーセキュリティ勧告に合わせられた。
. - サイバーセキュリティ成熟度レベルの決定- サイバーセキュリティ成熟度レベルは、NIST CSF のサブカテゴリごとにサイバーセキュリティ実装の堅牢性を区別するのに役立ちます。サイバーセキュリティ成熟度モデルを使用することで、現在の態勢を分析し、望ましい成熟度レベルを達成するための道筋を示すことができます。また、施設はその道筋のどこにいるのかを定期的に評価することができる。
↪Cf_200D - テクノロジーとリスク監査、資産インベントリ、脆弱性評価- 資産管理、脆弱性、資産のハードニング、監視ソリューションに関する継続的な情報を提供できるテクノロジープラットフォームは、完全なソリューションの必要な構成要素であるべきです。OT 、ITリソース、サイト、組織の全領域にわたって、可視性、レポート、分析を結びつけることができるもの。
