港湾分野向けセキュリティガイドラインが公開！その内容と必要な対策とは？

LANSCOPE プロフェッショナルサービス

ガイドラインの概要
 ガイドライン対応におすすめのLANSCOPEプロダクト・サービス
 最後に

2024年4月18日に、国道交通省は港湾運送事業をサイバーセキュリティ基本法が定める「重要インフラ」とし、「港湾分野における情報セキュリティ確保に係る安全ガイドライン」の第1版を公表しました。

この記事では、ガイドラインの概要をご説明するとともに、ガイドライン対応をご支援するおすすめのLANSCOPEプロダクト・サービスをご紹介します。

ガイドラインの概要

2023年7月、名古屋港で国内初となる港湾施設に対する大規模サイバー攻撃が発生しました。
本事案では、コンテナターミナル及び集中管理ゲートで運用されている名古屋港統一ターミナルシステムがランサムウェアに感染し、大規模なサイバー攻撃を受けて停止。約3日間にわたり名古屋港のコンテナの搬入・搬出が止まるなど物流に大きな影響を及ぼしました。
サーバー内のデータがすべて暗号化されたことにより、原因旧究明のためのログ解析も困難となってしまいましたが、VPN機器及び物理サーバーへの脆弱性が数カ月にわたり未対応となっており、これが原因となったものと考えられています。

▼被害内容

引用：「港湾分野における情報セキュリティ確保に係る安全ガイドライン　第1版」（2024年4月18日、国土交通省）

この事件を受けて作成されたガイドラインでは、主に荷役の遅延やコンテナの搬入・搬出の停止等物流に大きな影響を及ぼすTOS（ターミナルオペレーションシステム）及びその中で利活用される情報資産を保護する観点で、事業特性に応じた対策項目が推奨基準としてまとめられています。

ガイドラインの対象範囲

港湾分野において、国民生活や社会経済活動への影響が大きく事業継続に対する取り組みの対象となる情報システム及び情報資産が対象となります。
対象例は以下のとおりです。

主要システム	主要な機能
ターミナルオペレーションシステム（TOS）	・貨物取扱システム・コンテナドキュメント管理システム・オペレーションシステム・ゲートシステム

ガイドラインの内容（一部抜粋）

	概要	具体的な内容例
組織統治におけるサイバーセキュリティ	コンテナ荷役の安全かつ持続的な提供にあたり、組織統治の取組において望まれる、経営層が実践すべきサイバーセキュリティ確保のための事項を示す。	・「組織方針」「サイバーセキュリティ方針」の策定・サイバーセキュリティリスク及びそれが事業運営に及ぼす影響について経営層が理解し評価できる体制の整備・サイバーセキュリティ責任者の任命、役割の明確化・セキュリティ対策の監査（脆弱性診断等）の実施・継続的な改善活動の実施
リスクマネジメントの活用と危機管理	「組織方針」及び「サイバーセキュリティ方針」で規定されるサイバーセキュリティ方針に従い、サイバーセキュリティに関するリスクマネジメントにおいて実施することが望まれる事項を示す。	・現段階におけるサイバーセキュリティ対処態勢の実態把握・リスクアセスメントの実施、リスク対応計画の策定・サプライチェーン・リスクマネジメントの実施・「事業継続計画（BCP）」及び「事業復旧計画」の策定・人材育成・意識啓発、演習・訓練の実施
対策項目	組織的対策、人的対策、物理的対策、技術的対策、クラウドサービス、委託先管理について、具体的に実施することが望まれる事項を示す。	・ IT資産管理、シャドーITの検知・サプライチェーン・リスクマネジメント・脆弱性対応（パッチマネジメント）・マルウェア対策製品の導入、感染時の被害拡大防止のためのネットワークセグメント分割（重要インフラの分離）、IPS/プロキシサーバ（不審な外部通信の遮断）、EDR（影響範囲の特定と被害端末の隔離）等の導入・情報システムの正常性の確認及び不正アクセス等の検知のためのログの取得、SIEM製品の活用・テレワーク実施のセキュリティリスクへの対応・多層防御の実施・クラウドサービスの設定不備や脆弱性に係る診断の実施

ガイドライン対応におすすめのLANSCOPEプロダクト・サービス

ガイドラインで求められる内容は多岐にわたりますが、LANSCOPEプロダクト・サービスでご支援できる内容をピックアップしてご紹介します。

おすすめ１：サプライチェーンリスク評価「Panorays」

＜ガイドラインでの要求事項＞ 5.1 組織的対策 / 5.1.2 供給者管理 / サプライチェーンマネジメント
各供給者がその先の供給者を対象にサプライチェーン・リスクマネジメントの実施状況を把握することで、サプライチェーン全体のリスクマネジメントを実施することが望ましい。【具体例】・自組織の重要システムや機能とサプライチェーンの依存関係の把握、供給者のセキュリティ対策の状況の把握を行うこと。・信用できるサービスの選定・第三者による評価検証結果の活用

＜ガイドラインでの要求事項＞
5.1 組織的対策 / 5.1.2 供給者管理 / サプライチェーンマネジメント

各供給者がその先の供給者を対象にサプライチェーン・リスクマネジメントの実施状況を把握することで、サプライチェーン全体のリスクマネジメントを実施することが望ましい。
【具体例】
・自組織の重要システムや機能とサプライチェーンの依存関係の把握、供給者のセキュリティ対策の状況の把握を行うこと。
・信用できるサービスの選定
・第三者による評価検証結果の活用

「Panorays（パノレイズ）」は、自社はもちろん、取引先や子会社などの供給者のセキュリティ対策の課題を可視化・管理するクラウドサービスです。
調査したい企業のホームページのURLを登録するだけで、インターネットからアクセスが可能なIT情報資産（Webサーバーやメールサーバー、VPN機器等）を特定。ネットワークに負荷や影響を与えずに、攻撃者目線でのサイバーリスクを可視化できます。

＜可視化できる内容の例＞
供給者のサイバー攻撃に悪用される以下のサイバーリスクを可視化

・サイバー攻撃で悪用されるＶＰＮやソフトウェアの脆弱性
・ランサムウェア攻撃に利用されるポート（RDPなど）の公開
・ダークウェブへの認証情報（ID/Pass）の漏洩・流出

3分でわかる！Panorays（パノレイズ）

自社に関連するサプライヤーの資産情報を自動収集し、サプライチェーン全体のセキュリティ対策状況を可視化することで攻撃の潜在的リスクを把握できます。

資料をダウンロードする

おすすめ２：NDR製品「Darktrace」

＜ガイドラインでの要求事項＞ 5.1 組織的対策 / 5.1.1 資産の管理 / 5.1.1.1 資産に対する責任 / 資産の管理
【具体例】通信の監視や許可した機器のみを利用可能とする仕組み等を設け、シャドー IT を検出する。
5.1 組織的対策 / 5.1.3 運用の管理 / 5.1.3.6 脆弱性の管理
制御システムにおいては、システムの可用性等の観点からソフトウェアの更新や脆弱性スキャンが難しい側面がある。可用性が担保できないと判断される場合には、制御システムに関する通信を監視する等の代替策を検討し、脆弱性対策を実施する。
5.4技術的対策 / 5.4.6 多層防御
システム管理者は、サーバ装置及び端末について、内部に侵入した攻撃を早期検知して対処する、侵入範囲の拡大の困難度を上げる、及び外部との不正通信を検知して対処する対策（内部対策）を講ずることが望ましい。

「Darktrace」は、企業・組織のネットワークやクラウドのパケットを収集し、ネットワーク全体の通信状況の可視化と異常な挙動を検知するNDRソリューションです。アプライアンス型のため導入はカンタン。トラフィックをポートミラーリングで流すだけ。ルール定義、詳細設定不要で他システムへの影響もありません。

＜活用例＞

・ネットワーク内の不審な挙動の察知（外部脅威・内部不正）
・ゼロデイ・標的型攻撃対策
・シャドーITの発見

3分でわかる！Darktrace（ダークトレース）

「LANSCOPE プロフェッショナルサービス」は、最新の攻撃手法と最適な対応策を探求するセキュリティプロフェッショナルチームがサービスを提供しています。

資料をダウンロードする

おすすめ３：セキュリティ診断

＜ガイドラインでの要求事項＞ 4.11 モニタリング及びレビュー / 4.11.1 モニタリング実施計画の策定と実施
サイバーセキュリティ確保の取組の効果測定をし、改善を行うため、リスク対応計画や、人材育成の進捗状況等をモニタリングする。継続的に実施するため、モニタリング及びレビューのプロセスを計画に組み込む。サイバーセキュリティ確保の取組により、リスクをどの程度回避、軽減が出来たかを測定・評価する。現状のシステムやセキュリティ対策の問題点を検出するために、脆弱性診断、ペネトレーションテスト等の手段がある。
5.5 クラウドサービス / クラウドを利用したシステム運用
クラウドサービス活用にあたり、以下の注意点に留意することが望ましい。【具体例】設定不備や脆弱性に係る診断