船舶のサイバーリスク?自律運航にもIT人材不足 セキュリティ機能は要搭載､乗船員教育も課題

なお、GPSへの攻撃は、必ずしも船舶に対する攻撃とは限らない。攻撃者本来の目的は、紛争地域を飛び交うドローンの制御を乱すことにあるケースが大半だ。船舶にとっては”巻き添え事故”が多いと竹内氏は指摘する。

「現状では、船舶では陸上のような甚大なサイバー事故は起こっていません。なぜなら、船舶は人が操船しているからです。自動航行機能もありますが、港湾周辺などの入り組んだ場所では必ず人が操舵を担っています。エンジン回りも完全なシステム任せにはなっておらず、仮にGPSへの攻撃で位置情報が乱れても、乗船員によって正しい航路を進むことができます。現在の船舶の仕組み上、サイバー攻撃に対する被害はほとんどないのが現状です」

研究開発中の自律運航型船舶にサイバーリスクの懸念

船舶のサイバーリスクが懸念されるのは、むしろこれからだという。船舶は世界の物流の要であり、乗務員不足に陥っても動かし続けなければならない。そのため、現在各社で自動・自律運航型船舶が研究開発されており、国内外の大手海運・造船会社も自動運転に取り組み始めた。人ではなくシステムに頼る比重が大きくなる分、当然サイバーリスクは高まる。

竹内 正典（たけうち まさのり） 株式会社ラック 新規事業開発部 長らくセキュリティコンサルティング業務に従事し、企業の情報セキュリティ向上を支援。KDDIとラックの合弁会社の「KDDIデジタルセキュリティ」出向時、船舶サイバーセキュリティに携わる。ラック帰任後も、船舶サイバーセキュリティを中心とした業務に従事。交通ISACやJ-Auto-ISAC等のISAC活動にも積極的に参画している（写真は本人提供）

「通常、船舶のシステムネットワークは、運航するためのネットワーク（OTネットワーク）と、会社とやり取りするネットワーク（ITネットワーク）の2つに分かれています。ITネットワークはインターネットやメールを利用するため、地上と同じくマルウェア感染も起きていると聞きます。

一方で、OTネットワークはほぼリスクがないと考えられています。OTネットワークはインターネット接続がほぼないうえ、メールや会社のシステムを利用したり、船員の娯楽用とはネットワークセグメントが分かれているので、運行が直ちに影響を受けることもありません。また航海は1分1秒を争うタイトなものではないため、仮にシステムに不具合が起きたら、出航日を遅らせて復旧に当たるでしょう。総じて、船舶におけるサイバーリスクへの意識は現状低いと言われています」

とはいえ、昨年2024年7月からは、船舶のサイバーレジリエンスを確保する目的で、「国際船級協会連合（IACS）」が、船舶と船上システムおよび機器のセキュリティ対策の統一規則を本格適用した。今後建造される外航船舶には、サイバーリスクを考慮したセキュリティ機能の搭載や、必要書類の提出が求められる。さらに経済安全保障の観点からも、基幹インフラとしての船舶のセキュリティ対策は強化される方向だ。

「船舶の建造には数年かかり、完成後は30年ほど使い続けます。そのため、セキュリティ機能を維持していくことが難しいのです。また、一度航海が始まると、限られたスペースでほぼ使い続けることもあり、後からセキュリティ機能を導入するのも難しい。また、船舶業界はIT技術者が圧倒的に不足しているのも事実です。現実的には、この先建造される船舶から、セキュリティ対策が具備されることになるでしょう」