Atlantic Council 海事サイバーセキュリティに関する協力
こんにちは、丸山満彦です。
Atlantic Councilが海事 (maritime) サイバーセキュリティに関する協力について公表していますね。。。
欧米では海事関係のセキュリティは重要インフラとして扱われています(MARITIME ISACやMARITIME TRANSPORTATION SYSTEM ISACがあるし...)が、日本ではあまり聞かないような気がするんですよね。。。
● Atlantic Council
・2021.10.04 Raising the colors: Signaling for cooperation on maritime cybersecurity
2. Introduction
3. A system of systems
5. Appendices
・[PDF]
1. Executive Summary | 1. エグゼクティブサマリー |
2. Introduction | 2. はじめに |
2.1. Complexity Begets Insecurity | 2.1. 複雑さが不安を生む |
2.2. Threats | 2.2. 脅威 |
2.3. Attackers as Diverse as the MTS: Pirates to Pwners | 2.3. MTSのように多様な攻撃者:パイレーツからプナーまで |
2.4. Framing the Challenge | 2.4. 課題の設定 |
3. A “System of Systems”: Understanding the MTS | 3. システム・オブ・システム:MTSの理解 |
3.1 Human Cyber Risk | 3.1 人間のサイバーリスク |
3.2 Systems Cyber Risk | 3.2 システムのサイバーリスク |
3.3 Maritime Life Cycles | 3.3 海事のライフサイクル |
4. A Collaborative Path Forward for Cybersecurity in the MTS | 4. MTSにおけるサイバーセキュリティのための協力的な道筋 |
4.1 Recommendations | 4.1 提言 |
5. Conclusion | 5. 結論 |
Appendix 1: Players | 附属書1:プレイヤー |
Appendix 2: Acronyms | 附属書2:頭字語 |
Acknowledgments & Author Bios | 謝辞と著者略歴 |
Author Biographies | 著者略歴 |
Executive Summary | エグゼクティブサマリー |
Few industries are as critical to the global economy as the maritime transportation system (MTS), which is responsible for facilitatating the safe transport of seafaring passengers and, critically, the vast majority of international trade. The efficient operation of the MTS is at risk, though, as the industry is increasingly vulnerable to cyber threats. In 2020, cyberattacks targeting the MTS increased by 400 percent over the span of a few months.[1] Perhaps no incident better illustrated the sector’s cyber vulnerability than when the MTS’s principal international governance body, the International Maritime Organization (IMO), suffered a “sophisticated cyberattack” that took down its web-based services on September 30, 2020.[2] | 世界経済にとって、海上輸送システム(MTS)ほど重要な産業はありません。MTSは、船客の安全な輸送を促進し、重要なことに、国際貿易の大部分を担っています。しかし、MTSの効率的な運用は、業界がサイバー脅威に対してますます脆弱になっていることから、危険にさらされています。2020年には、MTSを標的としたサイバー攻撃が数ヶ月の間に400%増加しました[1]。MTSの主要な国際統治機関である国際海事機関(IMO)が2020年9月30日に「巧妙なサイバー攻撃」を受け、ウェブベースのサービスが停止したことほど、このセクターのサイバー脆弱性を物語る事件はないでしょう[2]。 |
The US government began to address the shortfalls in the sector’s cybersecurity by releasing the National Maritime Cybersecurity Plan (NMCP) in December 2020. Like many first steps, the plan was more like a road map than an implementation plan, despite initiating several useful lines of effort.[3] This report builds and expands on these efforts across the complex MTS to present three overarching recommendations for industry stakeholders, as well as policy makers in the United States and allied states, to improve their collective cybersecurity posture within the MTS. | 米国政府は、2020年12月に「National Maritime Cybersecurity Plan(NMCP)」を発表して、このセクターのサイバーセキュリティの不足分に対処し始めました。多くの第一歩がそうであるように、この計画も、いくつかの有益な取り組みを開始したものの、実施計画というよりはロードマップに近いものでした[3]。本報告書は、複雑なMTS全体におけるこれらの取り組みを基にして拡張し、MTS内の集団的なサイバーセキュリティ態勢を改善するために、業界の利害関係者、および米国と同盟国の政策立案者に向けた3つの包括的な提言を提示します。 |
No global supply chain is independent of the maritime transportation sector, and most, in fact, are existentially dependent. The MTS feeds a quarter of US gross domestic product (GDP). Prior to the COVID-19 pandemic, commercial shipping moved close to 80 percent of global trade by volume and over 70 percent of global trade by value[4]—and postpandemic analyses suggestthe sector will recover strongly, even growing by 4.1 percent.[5] Beyond this substantial economic value, ports and shipping play a considerable role in projecting US and allied power across the globe. | 海上輸送部門から独立しているグローバルなサプライチェーンはなく、ほとんどのサプライチェーンは存在的に依存しています。MTSは、米国の国内総生産(GDP)の4分の1を供給しています。COVID-19のパンデミック前、商業海運は世界貿易の80%近くを量的に、70%以上を金額的に動かしていました[4]。パンデミック後の分析によると、この部門は4.1%の成長を遂げ、力強く回復するとされています[5]。 |
More than containers and bulk cargo, the MTS is responsible for ships and offshore sites, and land-based terminals that are integral to the security of global energy systems. In 2016, more than 61 percent of the world’s total petroleum and other liquid energy supply moved through sea-based trade.[6] No other form of transportation can move the sheer volume of goods at the competitive price point available in the MTS.[7] With ambitious renewable-energy targets being set by states like the United States,[8] the actors in the MTS will play a key role in maintaining and expanding renewable facilities. The MTS literally fuels the global economy. | MTSは、コンテナやバルク貨物だけでなく、世界のエネルギーシステムの安全性に欠かせない船舶やオフショア施設、陸上のターミナルを担当しています。2016年には、世界の石油などの液体エネルギー供給総量の61%以上が海上貿易によって移動しました[6]。MTSで利用できる競争力のある価格帯で膨大な量の商品を移動できる輸送手段は他にありません[7]。米国のように野心的な再生可能エネルギー目標が設定されている中[8]、MTSの関係者は再生可能施設の維持・拡大において重要な役割を果たします。MTSは文字通り世界経済の原動力となっています。 |
Yet, maritime cybersecurity risks remain underappreciated. The uptick in cyberattacks targeting the MTS includes varieties of attacks familiar to other industries, including ransomware, phishing, and malware such as data wipers, to name a few. In combination with traditional cyber threats targeting information technology (IT) systems, reports of attacks on operational technology (OT), on ships and in ports, increased a whopping 900 percent in a three-year period ending in 2020.[9] | しかし、海上のサイバーセキュリティのリスクは、まだ十分に評価されていません。MTSを標的としたサイバー攻撃の増加には、ランサムウェア、フィッシング、データワイパーなどのマルウェアを含む、他の産業でよく見られる様々な攻撃が含まれています。情報技術(IT)システムを標的とした従来のサイバー脅威に加えて、船舶や港湾における運用技術(OT)への攻撃の報告は、2020年までの3年間でなんと900%も増加しています[9]。 |
Part of the challenge of MTS cybersecurity is the complex structure of the sector. A “system of systems,” the MTS is composed of individual ships, ports and terminals, shipping lines, shipbuilders, intermodal transport operators, cargo and passenger handlers, vessel traffic control, maritime administrators, and more. Each system has its own organizational peculiarities and dependencies. | MTSのサイバーセキュリティの課題の一つは、このセクターの複雑な構造にあります。MTS のサイバーセキュリティの課題のひとつは、このセクターの複雑な構造にあります。「システムのシステム」である MTS は、個々の船舶、港湾・ターミナル、船会社、造船会社、複合輸送事業者、貨物・旅客取扱業者、船舶交通管制、海事管理者などで構成されています。それぞれのシステムには、組織上の特殊性や依存関係があります。 |
Moreover, regulation of the MTS is often indirect because of the interwoven nature of ship management, where many different states and entities might own, lease, sail, register, and crew one ship. | さらに、船舶管理には様々な国や団体が1隻の船舶を所有、リース、航海、登録、乗組員として従事するという性質があるため、MTSの規制は間接的なものになりがちです。 |
To address this complexity and help stakeholders address the cyber risks impacting the MTS, this report examines three key life cycles—the life of a ship, of a piece of cargo, and of the daily operations of a port—to reveal patterns of threats and vulnerabilities. These life cycles help shed light on a globe-spanning cast of characters. Each life cycle highlights areas of concentrated risk and points of leverage against which policy makers and practitioners can collaborate to take action. | この複雑さに対処し、利害関係者がMTSに影響を与えるサイバーリスクに対処できるようにするため、本報告書では、脅威と脆弱性のパターンを明らかにするため、船舶の寿命、貨物の寿命、港の日常業務の3つの主要なライフサイクルを調査しています。これらのライフサイクルは、世界各地に散らばるキャラクターに光を当てるのに役立ちます。各ライフサイクルでは、リスクが集中している地域や、政策立案者と実務者が協力して行動を起こすためのポイントが明らかになります。 |
Building on this analysis, the report offers twelve recommendations sequenced as first, next, and later. The first set of recommendations includes six matters to be addressed promptly to secure the MTS. These recommendations need to be prioritized for action because they build directly upon mature preexisting relationships, partnerships, and functions to address key drivers of systemic cyber risk in the MTS. Cybersecurity guidelines and standards fall into this category. Work by the National Institute of Standards and Technology (NIST) to develop a framework profile for liquefied natural gas (LNG) operators in the maritime domain demonstrates this maturity and presents a jumping-off point to address the problem of lacking cybersecurity guidelines and standards for the MTS more holistically. The need and willingness across the MTS to improve existing cybersecurity postures are evident, with many differentiated bodies releasing their own guidelines over the last decade and the NMCP outlining it as a key priority going forward. | これらの分析に基づき、本報告書では12の提言を、最初、次、後の順に提示しています。最初の提言には、MTSを確保するために早急に取り組むべき6つの事項が含まれています。これらの提言は、成熟した既存の関係、パートナーシップ、機能に直接基づいて、MTSにおけるシステミック・サイバー・リスクの主要な要因に対処するため、優先的に行動する必要があります。サイバーセキュリティのガイドラインと標準がこのカテゴリーに入ります。米国標準技術研究所(NIST)による、海事分野における液化天然ガス(LNG)事業者のためのフレームワーク・プロファイルの開発は、このような成熟度を示しており、MTSのサイバーセキュリティ・ガイドラインや標準の欠如という問題に、より総合的に取り組むための出発点となります。過去10年間に多くの組織が独自のガイドラインを発表し、NMCPが今後の重要な優先事項として取り上げていることからも、既存のサイバーセキュリティの姿勢を改善する必要性と意欲は、MTS全体で明らかです。 |
The next category of recommendations looks to address several areas of concentrated risk in the MTS. However, these actions are built upon points of leverage that are of varying or inconstant levels of maturity. One of the key recommendations in this section seeks to address the issue of insecure system design: how can vendors design systems to be robust in the face of attacks and fail more gracefully? In recent years, and even more so after the Sunburst campaign, there has been a marked increase in initiatives pushing for secure-by-design policies across many sectors, and acquisition bodies are often responsible for enforcing these initiatives. However, the prospect of applying comparable programs to the MTS is wickedly challenging—and although the end result would be extremely beneficial to the ecosystem, it may ruffle some feathers. Many maritime vendors have been producing the same types of systems for decades and may oppose new, mandatory security controls and design requirements. The commercial MTS vendor community, like the MTS itself, is inherently international, requiring standards or design requirements that are aggressively globalized. | 次のカテゴリーの提言は、MTSのリスクが集中しているいくつかの分野に対処するものです。しかし、これらの行動は、成熟度にばらつきのある、あるいは一定しないレバレッジのポイントに基づいています。このセクションの重要な提言の1つは、安全でないシステム設計の問題に対処することです。近年、サンバーストキャンペーン以降、多くの分野でセキュア・バイ・デザイン・ポリシーを推進する取り組みが顕著に増加しており、買収機関はしばしばこれらの取り組みを実施する責任を負っています。しかし、同等のプログラムをMTSに適用することは非常に困難であり、最終的にはエコシステムにとって非常に有益なものとなりますが、羽目を外すことになるかもしれません。多くの海事ベンダーは何十年にもわたって同種のシステムを製造してきたため、新たに義務化されるセキュリティ制御や設計要件に反対する可能性があります。商用のMTSベンダーのコミュニティは、MTS自体と同様、本質的に国際的であり、積極的にグローバル化された標準や設計要件を必要とします。 |
Finally, the report makes two later recommendations regarding vulnerability disclosure programs and cyber insurance. Both present differentiated but equally problematic paths toward influencing better cybersecurity in the MTS— chiefly because of misaligned incentives. Vulnerability disclosure programs and mandatory disclosure windows are currently utilized to help better secure ecosystems and specific systems in other industries. A ninety-day mandatory disclosure policy is commonplace in the technology space. However, the quick timelines that often come with these programs can be challenging for maritime actors. Often, a single operator can have hundreds of ships around the globe, and some or many of them may need to address an identified vulnerability: yet no two of the operator’s ships may contain the exact same systems, and consistent access to high-speed Internet zones may be hard to come by. Compared with some other critical infrastructure sectors that can push for a so-called rapid-patch approach, these windows can be unrealistic in the MTS. Implementing an industry-wide mandatory disclosure policy would be a way to draw attention to the problem; however, there would be significant pushback and legitimate questions about whether this policy is realistic. | 最後に、本報告書は、脆弱性開示プログラムとサイバー保険に関する2つの提言を行っています。両者ともに、MTSのサイバーセキュリティの向上に影響を与えるために、それぞれ異なる方法を提示していますが、同じような問題を抱えているのは、主にインセンティブのズレが原因です。脆弱性開示プログラムと義務的な開示窓口は、現在、他の産業の生態系や特定のシステムの安全性を高めるために利用されています。技術分野では、90日間の強制開示ポリシーが一般的です。しかし、海事関係者にとっては、このようなプログラムに伴う迅速なタイムラインは困難です。一人のオペレーターが世界中に何百隻もの船を持ち、そのうちの何隻か、あるいは何隻かが特定された脆弱性に対処する必要がある場合があります。いわゆるrapid-patchアプローチを推進できる他の重要インフラ分野と比較すると、MTSではこのようなウィンドウは現実的ではありません。業界全体で情報開示を義務付ける政策を実施することは、この問題に注目を集めるための方法ですが、この政策が現実的かどうかについては、大きな反発と正当な疑問があるでしょう。 |
All twelve of the recommendations put forward by this report are important steps to improve the overall cybersecurity posture of the MTS. By prioritizing actions that are built upon more mature players, protocols, and relationships, this report aims to tackle low-hanging fruit before transitioning to challenging but no less important problems. By following this road map, hopefully, the MTS can work to raise the baseline for cybersecurity and better protect its actors from systemic cyber threats. | 本報告書で提示された12の推奨事項はすべて、MTSの全体的なサイバーセキュリティの態勢を改善するための重要なステップです。本報告書は、より成熟したプレイヤー、プロトコル、関係に基づいて構築されたアクションを優先することで、困難ではあるがそれに劣らず重要な問題に移行する前に、手の届きにくい果実に取り組むことを目的としています。このロードマップに従うことで、うまくいけば、MTSはサイバーセキュリティのベースラインを引き上げ、システミックなサイバー脅威からそのアクターをよりよく保護することができます。 |
[1]. “Maritime Industry Sees 400% Increase in Attempted Cyberattacks Since February 2020,” Security magazine, October 20, 2020, https://www.securitymagazine.com/articles/92541-maritime-industry-sees-400-increase-in-attempted-cyberattacks-since-february-2020.
[2]. Catalin Cimpanu, “UN Maritime Agency Says It Was Hacked,” ZDNet, October 06, 2020, https://www.zdnet.com/article/un-maritime-agency-says-it-washacked/.
[3]. Nina A. Kollars, Sam J. Tangredi, and Chris C. Demchak, “The Cyber Maritime Environment: A Shared Critical Infrastructure and Trump’s Maritime Cybersecurity Plan,” War on the Rocks, February 04, 2021, https://warontherocks.com/2021/02/the-cyber-maritime-environment-a-shared-criticalinfrastructure-and-trumps-maritime-cyber-security-plan/.
[4]. “Review of Maritime Transport 2018,” United Nations Conference on Trade and Development (UNCTAD) website, https://unctad.org/webflyer/reviewmaritime-transport-2018.
[5]. UNCTAD, UNCTAD Review of Maritime Transport 2020 (New York: United Nations Publications, 2020), https://unctad.org/system/files/official-document/ rmt2020_en.pdf.
[6]. “World Oil Transit Chokepoints,” US Energy Information Administration (EIA) website, July 25, 2017, https://www.eia.gov/international/analysis/specialtopics/World_Oil_Transit_Chokepoints.
[7.] Business Wire press release, “Global Marine Fuel Market (2020 to 2025)–Featuring Shell, Neste, and BP among Others–ResearchandMarkets.com,” Associated Press, November 30, 2020, https://apnews.com/press-release/business-wire/business-government-business-and-finance-coronaviruspandemic-oil-and-gas-transportation-energy-industry-0810aa8611ca415a92fe3df728bdff72.
[8]. Brady Dennis and Juliet Eilperin, “Biden Plans to Cut Emissions at Least in Half by 2030,” Washington Post, April 20, 2021, https://www.washingtonpost. com/climate-environment/2021/04/20/biden-climate-change/.
[9]. “Maritime Cyber Attacks Increase by 900% in Three Years,” Hellenic Shipping News, July 21, 2020, https://www.hellenicshippingnews.com/maritimecyber-attacks-increase-by-900-in-three-years/.
提言
First | Next | Later | ||
Raise the baseline | ベースラインの引き上げ | |||
1. Drive a sector-specific cybersecurity framework with low barriers to implementation | 1. 実施への障壁が低い、セクター固有のサイバーセキュリティフレームワークの推進 | X | ||
2. Define a threat matrix of maritime cyber incidents | 2. 海上のサイバーインシデントの脅威マトリックスの定義 | X | ||
3. Create a global clearinghouse for MTS intelligence | 3. MTSインテリジェンスのグローバルなクリアリングハウスの構築 | X | ||
4. Push an industry-wide, transparent vulnerability disclosure policy | 4. 業界全体の透明性のある脆弱性開示ポリシーの推進 | X | ||
Deepen stakeholder awareness | 利害関係者の認識の深化 | |||
5. Expand cross-sector collaboration through academia, industry, and government | 5. 産学官によるクロスセクターコラボレーションの拡大 | X | ||
6. Supply maritime cyber education and certifications | 6. 海事関連のサイバー教育と認証の提供 | X | ||
7. Keep the MTS stocked: Addressing the resource question | 7. MTSの在庫を維持する。資源問題への対応 | X | ||
Collaborate on cyber risk | サイバー・リスクに関する協力 | |||
8. Prioritize better OT security for global maritime energy networks | 8. グローバルな海洋エネルギーネットワークのOTセキュリティ向上の優先 | X | ||
9. Move past “guns, gates, and guards” toward cyber risk assessment and management | 9. サイバーリスクの評価と管理に向けた「銃、ゲート、警備員」からの脱却 | X | ||
10. Make cybersecurity a core component of conventional maritime insurance | 10. サイバーセキュリティを従来の海事保険の中核的要素化 | X | ||
11. Plan and simulate for future cyber challenges | 11. 将来のサイバー・チャレンジのための計画とシミュレーション | X | ||
12. Push the MTS toward secure development | 12. MTSの安全な開発の推進 | X |
海事関係がでてくる投稿
● まるちゃんの情報セキュリティ気まぐれ日記
・2021.07.20 米国、英国、欧州連合は中国が悪意あるサイバー活動を行なっていると発表していますね。。。
・2021.06.20 NATO ブリュッセル・サミット・コミュニケ
・2021.01.08 米国 海事サイバーセキュリティ計画の公表
・2020.10.08 米国のISACとISAO (根拠指令、取りまとめ団体、ISAO標準文書など)
・2020.09.09 ドイツBSIが、船舶に関連するサイバーセキュリティの強制力のあるガイドを出していますね。。。
« 米国 DHS CISA 量子コンピューティングの進展に伴うセキュリティリスクを軽減するためのガイダンス | Main | 厚生労働省 意見募集 医療機器のサイバーセキュリティ導入に関する手引書 »
Comments