「船舶サイバーセキュリティ演習、やってきました」

船舶サイバーセキュリティ演習、やってきました サイバーセキュリティ勉強会 2023夏 in 塩尻 2023年8月26日(土) © 2023 LAC Co., Ltd. ３.

プロフィール︓⻑⾕川 ⻑⼀ 株式会社ラック 新規事業開発部 産学官連携事業室 室⻑/主席研究員 ■ソフトバンク、日本ユニシスを経て、現職。情報セキュリティコンサルティング、情報 セキュリティ監査業務等を経て、現在は主にセキュリティ教育、産学官連携活動業務を 担当。⻑野県警サイバー犯罪対策アドバイザー。 ■主な担当講師業務 □ISC2 CISSPレビュートレーニングセミナー認定主任講師 □東京電機大学 国際化サイバーセキュリティ学特別コース(CySec) 講師 □九州工業大学 情報学部 非常勤講師 □国⽴⾼知⾼専 非常勤講師、北九州⾼専非常勤講師 ■最近の主な活動 □ 総務省 サイバーセキュリティタスクフォース人材育成分科会構成員(2018年度〜) □ IPA 情報処理安全確保⽀援⼠講習統括委員会委員（2017年度〜） □ 情報危機管理コンテスト 運営スタッフ（2017年度〜） ほか ■主な著書等 「IT現場のセキュリティ対策完全ガイド」（日経BP社）、「情報セキュリティ監査公式ガイドブッ ク」（日科技連出版、共著）、「情報セキュリティプロフェッショナル教科書」 (アスキーメディア ワークス、共著）、「ネットワークセキュリティ」（オーム社、共著）等。 URL︓http://www.lac.co.jp/ E-mail︓choichi.hasegawa@lac.co.jp http://www.facebook.com/choichi.hasegawa 2

はじめに︓なぜ今回の演習が︖

国⽴⾼専機構 情報セキュリティ人材育成事業(K-SEC) https://csinfo2018.kochi-ct.ac.jp/ 4

• https://csinfo2018.kochi-ct.ac.jp/

K-SECの体制と育成する人材 5

K-SEC(⾼専セキュリティ人材育成事業)との連携 ※ ラック、JNSAの両⽅の⽴場で、国⽴⾼専機構様との連携を⾏ってきた。 6

国⽴⾼専 人材育成事業「COMPASS 5.0」 ※ COMPASS 5.0 (次世代基盤技術教育のカリキュラム化)の「IoT」×「サイバーセキュリティ」企画 7

このMessengerのやりとりから、すべて始まった。 8

演習の概要

船舶のサイバーセキュリティ演習 商船系と情報系の⾼専生が参加して の合同演習を、弊社および日本舶用 工業会様の⽀援での実施。 ・広島商船⾼専様記事︓ https://www.hiroshima-cmt.ac.jp/topics/001681.html ・ラック記事︓https://devblog.lac.co.jp/entry/20230719 10

• https://www.hiroshima-cmt.ac.jp/topics/001681.html

余談︓2023/7/1(土)現地に着くまで…① 瀬⼾内地区の大⾬で、２:30頃か ら避難勧告。警報鳴り続ける… 電⾞(予讃線)ストップ、遠回りの バスで今治港へ向かう。 6/29(木)〜30(⾦)で、「サイバー セキュリティインポジウム道後」に 参加。7/1(土)朝に移動の予定。 11

余談︓2023/7/1(土)現地に着くまで…② 予定より1本後のフェリーで、今治 港から木江港へ移動。 12

余談︓2023/7/1(土)現地に着くまで…③ 大崎上島・木江港に到着。

現地（大崎上島、竹原）と2日間の移動 14

船で大崎上島と竹原を往復しました 白水港 竹原港 船内では「瀬⼾の花嫁」が流れる 15

こんな感じで始まりました。 16

1日目(7/1)の講座 内 容 会場・備考 ＜基調講演①＞ @広島商船⾼専 「海事の世界にIoTとセキュリティを」 視聴覚室 ~日本舶用工業会 スマートナビゲーションシステム研究会４座⻑ 安藤英幸氏 （㈱MTI 取締役） ＜基調講演②＞ 「海事のネットワーク・セキュリティ」 ~ 竹内正典氏（㈱ラック） ~ ワークショップ A.「サイバー脅威を知る、対策する、BCP（事業継続計画）とは」 ※商船系学生 B.「海事サイバーセキュリティワークショップ①」 ~ 今井志有人氏（㈱ラック） ~ ※情報系学生 17

ECDIS(電子海図表示装置) 「ECDIS」とは、レーダーによる障害物や、GPSによる自船情報、そしてAIS （自動船舶識別装置）で得られた他船情報を画面上に重畳表示するなどの装置。 船員はECDISの画面と目視情報を組み合わせて航⾏を⾏う。 18

船舶への攻撃①GPSスプーフィング 19

船舶への攻撃②AISスプーフィング 20

船舶への攻撃シナリオ ※ GPS/AISのデータは、NMEAデータとしてECDISに送られる 21

1日目︓座学＋教室での演習 22

2日目(7/2)の講座 内 容 会場・備考 ワークショップ 「BCP（事業継続計画）対応のためのワークショップ」・出港準備 @広島丸船橋 @広島丸教室 「海事サイバーセキュリティワークショップ②」 23

2日間の演習会場へ 24

演習の模様 25

地元テレビのニュースでも 弊社自慢の若⼿変態率いるレッド チーム(笑)が「テロリスト」と呼ば れる事案が発生︕ 26

3日目(7/5)︓学生さんたちの発表 インシデント対応、船舶システムのセキュアな運用、攻撃⽅法など、様々な内容 の発表が⾏われた。 27

これからの展望

国⽴⾼専 人材育成事業「COMPASS 5.0」のこれから(私⾒含む) ・今後も国⽴⾼専機構様の「IoT×サイバーセキュリティ」の人材育成は、さらに 分野や内容を発展させながら、継続して実施・推進される予定。 ・育成される人材も少ないが、育成する側の人材も少ない。 ・産学の連携だけではなく、官も含めた幅広い連携が必要。 ・今後の海外の制度や規格(ISO/IECなど)や、日本国内の政策などにも対応でき るよう、中⻑期での計画が必要。 今後もご注目ください︕ 帰路の⼣⾷「たこめし」 29

※本資料は作成時点の情報に基づいており、記載内容は予告なく変更される場合があります。 ※ この講演における発⾔及び資料の内 容は、個人の⾒解を含んでいます。それ らは、所属する企業や団体を代表するも のではありません。 ※本資料に掲載の図は、資料作成⽤のイメージカットであり、実際とは異なる場合があります。 ※本資料は、弊社が提供するサービスや製品などの導⼊検討のためにご利⽤いただき、他の目的のためには利⽤しないようご注意ください。 ※ LAC、ラック、JSOC、サイバー救急センターは株式会社ラックの登録商標です。その他記載されている会社名、製品名は一般に各社の商標または登録商標です。 © 2023 LAC Co., Ltd.