サイバーセキュリティと、UR E26規制への準拠における5つの重要な要素

サイバーリスクは、船舶運航会社や用船者から港湾、さらには広範なサプライチェーンに至るまで、海運業界全体で懸念が高まっている。技術ソリューションの数は増え続けているが、規制の重みが増すにつれ、コンプライアンスのプロセスについて新たな課題が浮上することになるだろう。

これらの規則は、単にソフトウェアを導入する段階から、造船所、船主、船級協会、OEM、ITおよびネットワーク事業者間の連携を必要とする、定期的かつ詳細な検査プロセスへと、ますますその範囲を広げていくでしょう。船主にとって同様に重要なのは、コンプライアンスを達成し維持するために伴う潜在的なコストであり、これは一時的な費用ではなく、継続的に発生する費用となるでしょう。

IMOや欧州連合、米国沿岸警備隊、その他の船籍国を含む規制当局は、増大するサイバー脅威に対応するため、すでにガイダンスを導入しているか、規制の更新を計画しています。BIMCO、SIRE、TMSAが公表した業界基準は、現在、国際船級協会（IACS）が策定した規制によって補完されつつあります。

IACS統一要件E26は、船舶の設計、建造、就航、および運航期間を通じて適用される、船舶のサイバーレジリエンスに関する最低限の要件を定めることを目的としています。

これに関連する要件であるUR E27は、サイバーレジリエンスを有するとみなされるためのシステムおよび機器の最低限のセキュリティ機能を規定しており、第三者機器サプライヤーを対象としています。

UR E26は新造船にのみ適用が義務付けられているものの、Marlinkは、船主が既存の船舶に対してもその原則や基準を適用し、高価値な資産や貨物のリスク軽減を図ろうとする動きが今後ますます強まると考えています。

船主との対話からは、彼らが自社の船隊に対してこの規制を段階的に適用し、浮体資産のサイバーセキュリティにおける基準としてUR26を活用していく意向が伺えます。

IACS URは、監査機関として機能するすべての加盟船級協会によって適用されますが、各協会が文書内でその方法論や定義を適用する方法にはわずかな違いがあるのみです。今後施行されるIACS UR26規制への準拠に向けた出発点として、Marlinkは、船主が今後の進め方についてすでに検討しておくべき5つの重要な側面をまとめました。

• 文書化

UR 26では、船内ネットワークの構築、設定、およびデータフローに関する詳細な計画を含め、従来よりもはるかに高いレベルの文書化が求められます。検査官は、実施された管理措置を検証するためのテスト計画を含む、ネットワーク保護措置に関する文書を期待します。  

• 船内資産の目録

船主は、船内資産の目録を作成・維持し、要求に応じて提示する必要があります。この目録には、コンピュータベースシステム（CBS）の該当するハードウェアおよびソフトウェア、ならびにそれらのシステム同士、あるいは船内または陸上の他のCBSと接続するネットワークが含まれます。

• 手順

本規則では、サイバー攻撃への防御およびリスク軽減を強化するための新たな手順の策定が求められている。例えば、船主は、船舶の機器に対する遠隔監視、制御、保守といった事項について、手順を作成し、役割と責任を定義する方法を理解する必要がある。これらの手順の策定は、研修プログラムや意識向上活動と密接に関連して行われるべきプロセスである。

• 訓練と意識啓発

船主は、乗組員に対するサイバーセキュリティ研修を実施し、さらに乗組員、請負業者、保守業務を行う第三者を含む全関係者に対して定期的な意識啓発研修を行うことが極めて重要となる。研修のテーマには、リスクの特定方法、システム障害時の復旧手順、陸上からの外部支援・サポートの要請方法、および船内ネットワークのテスト・監視方法などが含まれる。

• 事後対応から事前対策へ

一般的なサイバーセキュリティソリューションは、攻撃に対する事後的な防御ラインを提供することはできますが、より高次元の脆弱性についてはほとんど、あるいは全く情報を提供しません。将来的には、サイバーセキュリティには、資産やネットワークの保護だけでなく、脆弱性評価、侵入テスト、および起こりうる脅威やその経時的な変化に関する洞察を提供できるその他の予防的ツールが必要となるでしょう。

結論

UR26は、新造船すべてに等しく適用される初の要件であるという点だけでなく、海運業界にとって重要な変革です。これによって生じる追加的な管理負担は相当なものとなるでしょうが、それでも、同様の基準が近いうちに既存の船隊にも拡大される可能性が高いと考えられます。

しかし、UR26はあくまで合意された性能基準の最低ラインに過ぎません。将来の規制はさらに厳格化される可能性が高く、Marlinkは船主がサイバー脅威から身を守るために追加の対策を講じる必要があると考えています。用船者、保険会社、船級協会、その他の利害関係者の要求は、今後ますます高まるでしょう。

コストは、コンプライアンスに必要な記録管理の運営費、毎月のサービス費用、そして手順や体制を構築するための数百時間に及ぶ可能性のあるコンサルティング業務に発生する。デジタル技術がもたらす可能性を活用し、サイバー防衛を強化するためには、船主がITに投じる予算を増やす必要があるだろう。

コンプライアンス水準を向上させるためには、海上で安全を維持するために必要な措置について、基本的な防御策を超えた、新たな高次元の視点が業界に求められています。

世界最大の商船隊を擁する当社の経験から、UR E26やその他の規制への準拠だけでは不十分であることが分かっています。船主は、自社の船隊が安全に運航し続けられるよう、どのようなさらなる改善が必要かを検討する必要があります。

この記事は2025年3月18日にSplash 247で公開されました。