【事例】海事産業がサイバーセキュリティの強化に向けてどのような対応をしたか
バグバウンティとはなにか、脆弱性診断の種別などについて詳しく知りたい方は脆弱性診断とは(⾮エンジニア向け)もしくは脆弱性診断とは(エンジニア向け)もぜひご参照ください。
海運業は世界経済の原動力です。世界銀行と国際港湾協会(IAPH)によると、このセクターは世界の商品貿易の90%以上、年間合計で約110億トンの貨物を輸送しているそうです。ブレグジットやCOVID-19のような政治的事件やパンデミックは、海運とそれに関連する物流チェーンが、組織や家庭に必要な物資を届ける上でいかに重要な役割を果たしているかを示しましたが、同時にこの業界は混乱に対して脆弱であることも露呈してしまいました。
海運業にとって、その堅牢性と信頼性を高めることがよりより重要になります。継続性を確保するために、海運業界ではレジリエンスが最優先事項であり、そのためにデジタル・トランスフォーメーションがますます重要なテーマになっています。しかし、これに伴い、新たなサイバー脅威が発生しており、すべての舵取りにおいてサイバーセキュリティを考慮する必要が生じています。
PortXchangeは、革新的なデジタルソリューションを提供し、世界中の海運と港湾の効率性と持続可能性の向上を支援する組織です。現在、セキュリティテストを通じて、サイバーセキュリティをさらに向上させることに重点を置いています。
この記事では、PortXchangeの情報セキュリティ担当者であるVlad Gust氏が、海運業界が一貫した継続的なサイバーセキュリティのテストに乗り出さなければならない理由を説明しています。
目次
Intigriti:Vladさんに質問です。海運業界が今直面しているサイバーセキュリティの課題について教えてください。
Vlad:お招きいただきありがとうございます。BlueVoyantによると、海運・物流企業は2020年に2019年の3倍ものランサムウェア攻撃を経験したそうです。実際、マルウェア、ランサムウェア、フィッシングメールの急増により、今年の初めの数カ月間にサイバー攻撃が400%も増加したのです。
2020年、ランサムウェアは海運業界にとって特に痛手となりました。地中海海運会社(MSC)はマルウェア攻撃によるネットワーク停止に見舞われましたが、それだけではありませんでした。世界の4大海運組織すべてが攻撃に遭ったのです。国際海事機関(IMO)は、サイバー攻撃によりオフラインに追い込まれ、CMA CGM SAは2020年9月にランサムウェアの攻撃を受けました。
これらの事件が起こる前から、海運界はすでにサイバーリスクへの警戒を強めていましたが、まだ課題は残っています。そのいくつかを紹介します。
- 船舶に対する脅威は増大しており、ナビゲーションやパフォーマンス管理のために陸上システムと連動する船舶も増えてます。
- スマートな船舶が登場し、攻撃対象も増えています。
- 風評リスクを恐れて、事故が報告されません。
- 船舶へのなりすまし攻撃に見られるように、地政学的な対立がサイバー空間で繰り広げられることが多くなっています。例えば、GPSのなりすまし事件が増加しており、これは、船舶が実際とは異なる位置にいると思い込ませてしまう可能性があります。
Intigriti:なぜ海運企業がサイバーセキュリティをテストすることが重要なのでしょうか?
Vlad:海運における自動化、革新的な技術、デジタル化の進展により、サイバーセキュリティの事件も増加しています。海事組織は、自社のビジネス、船舶、人員をサイバー犯罪者から守るために必要な動きをしなければなりません。
積極的に、所有者、オペレーター、管理者にサイバーリスクを考慮するよう求める規制や法律が導入されつつあります。例えば、2021年1月、IMOの決議MSC.428(98)が発効しました。これにより、海事組織におけるサイバーリスクは、安全管理システムで対処することが求められるようになりました。また、EUのネットワーク・情報システム指令は、港湾や海運にも及んでいます。
Intigriti:PortXchangeや業界における継続的なテストの重要性について、詳しく教えてください。
Vlad:継続的なテストにより、私たちの製品群を詮索するサイバー犯罪者に対して、私たちのセキュリティ防御システムがどれだけ強固なものであるかを定期的に示すことができます。また、悪意あるハッカーが当社の製品を発見した場合に、脆弱性を残す可能性のあるセキュリティ上の脆弱性や欠陥を特定することも目的としています。
海事産業の観点から見ると、船舶や移動体において、IT(標準情報システム)とOT(運用・制御システム)に分類されるサイバーセキュリティシステムが増加していることがわかります。
一般に、IT(標準情報システム)は、定義されたプロセスや手順、技術、トレーニングが利用可能で、セキュリティがより成熟しています。ITシステムの侵害は風評被害や経済的な影響を与えますが、通常、船舶や部隊の安全運航に影響を与えることはありません。ITとは対照的に、OTはサイバーセキュリティに関してあまり成熟していないのが一般的です。船内のOTシステムに対する攻撃は、船舶と乗組員の安全を危険にさらす可能性があります。
海運業にとってのテストは以下を含みます(これらに限定されるものではありません)。
- 船内・船外のシステムにおいて、ソフトウェアやハードウェアに既知の脆弱性がないか監査する
- 現在のセキュリティシステムの適合性を監査し、測定する
- システムへアクセスするためのすべての可能なベクトルを突き止める
- どのデータまたはシステムがアクセスに対して脆弱であるかを特定する
セキュリティのテストには、ペネトレーションテストやバグバウンティプログラムなど、いくつかの方法があります。
Intigriti:バグバウンティプログラムは、PortXchangeのセキュリティモデルにどのようなメリットをもたらすのでしょうか。
Vlad:バグバウンティプログラムとペネトレーションテストは、どちらも悪意のあるハッカーが見ているように自らを見ることができるようにすることを目的としています。しかし、いくつか大きな違いがあります。
ペネトレーション・テストの一般的な実施期間は1~3週間で、全体像というよりも、セキュリティ・ポスチャーの一部を垣間見ることになります。認証の証明と特定された脆弱性の概要を受け取ることができますが、新しいアップデートをリリースしたり、システムに変更を加えたりすると、セキュリティ状況はすぐに変化してしまうのです。そこで、バグバウンティプログラムがフォローアップとして有効に機能するのです。
バグバウンティプログラムでは、数千人(または一部のグループ)の独立したバグハンターが企業のシステムや資産をテストし、バグを法に準拠した方法で報告します。海事組織は、人員を増やすことなく、何千人ものセキュリティ専門家のスキル、経験、専門知識、創造性を活用することができます。企業のチームがバグ報告を受理した場合、バグハンターは「バウンティ」として知られる報奨金を受け取ります。これは、バグハンターがプログラムに参加するための大きなインセンティブとして機能します。
要約すると、PortXchangeでは、両方の世界から利益を得る強固な製品セキュリティモデルを持つことを目指しています。Intigritiのプラットフォームを通じて継続的にセキュリティテストを適用することで、サイバー犯罪者の一歩先を行くことができるようになります。
Vlad Gust氏について
Vlad Gust氏はPortXchangeの情報セキュリティ責任者です。製品のセキュリティ目標および組織の情報セキュリティマイルストーンを達成するための強固なセキュリティプログラムを提供する責任を担っています。
出典:Intigriti
https://blog.intigriti.com/2021/12/03/maritime-industry-stronger-cybersecurity/
———————————————
バグバウンティプログラムを活用してみる
スリーシェイクは欧州を代表するバグバウンティプラットフォームを提供するIntigritiと世界で初めて提携。高い技術力を持ったスリーシェイクのセキュリティエンジニアが、専門的なトリアージ・英語でのコミュニケーションなどの運用を代行。セキュリティ領域の専門家がいない、社内のリソースをかけられない企業もバグバウンティプログラムを活用できます。
