業界対応（2）: 船舶・海事業界におけるIACS UR E26/E27の実務と米国規制への適合戦略

第7回2026年5月13日掲載

第7回CIRCIA解説の狙い

船舶・海事業界では、IACSのUR E26（船舶全体のサイバーレジリエンス）とUR E27（個別装置の技術要件）が2024年7月以降の建造契約船に強制適用されています。本稿ではUR E26/E27の要件をIEC 62443・NIST CSFと紐付け、米国CIRCIAの72時間報告を支えるSBOM管理やログ設計を含む適合戦略を解説します。

はじめに海事インフラのデジタル化と規制の交差

前回は、半導体製造装置業界におけるSEMI規格の実装について、その重要性を見ました。続く第7回で扱うのは「船舶・海事業界」です。

現代の船舶は、航行、荷役、通信のすべてで高度なネットワーク化が急速に広がっています。一方で、20年を超える長い耐用年数や、洋上という通信制約、寄港地ごとの異なる法規制など、独自の運用環境があります。

こうした中、国際船級協会連合（IACS）が策定した統一規則「UR E26」および「UR E27」は、海事セキュリティのデファクトスタンダードとなりました。日本の船舶装置メーカーが今後注視すべきは、これら業界規格を満たすだけでなく、米国のCIRCIA（重要インフラサイバーインシデント報告法）へどう適合するかという点です。船舶はCIRCIAが定める「輸送システム」セクターの基幹インフラだからです。

また、米国はかつて国内にあって繁栄していた造船業を取り戻そうと日米同盟をベースに日本への協力を求めている産業でもあります。

本稿では、UR E26/E27の要件を整理し、それがIEC 62443や米国CIRCIAとどのように連動するのか、実務的な適合戦略を解説します。

1. UR E26/E27の対象となる船舶は？

IACS（国際船級協会連合）が策定したUR E26およびUR E27の対象となる船舶の条件は、以下の通り明確に定義されています。
ポイントは、「いつ」「どのような船が」対象になるかという点です。

1.1 適用時期（いつから？）

建造契約日: 2024年7月1日以降
この日以降に造船所と船主の間で建造契約（Construction Contract）が締結された新造船が対象です。

※当初は2024年1月予定でしたが、業界の準備状況を鑑み半年延期されました。

1.2 対象となる船舶（どのような船？）

IACSに加盟している船級協会（NK、DNV、LR、ABSなど）の船級を登録する、以下の船舶が対象となります。

国際航海に従事するすべての新造船:
旅客船、貨物船（コンテナ船、タンカー、バルクキャリアなど）、作業船など、用途を問わずほぼ全ての商船が含まれます。
総トン数（G/T）による制限:
原則として、SOLAS条約（海上人命安全条約）の対象となる500総トン以上の船舶が主なターゲットですが、船級協会の規則により、それ以下のサイズでも「船級登録」を行う場合は適用が求められます。

1.3 対象外（または適用が限定的なケース）

既存船:
2024年6月30日以前に建造契約された船舶には、遡及適用（レトロフィット義務）はありません。ただし、大規模な改装を行う場合は適用を求められる可能性があります。
非国際航海船（国内船）:
日本国内のみを航行する船舶など、船級登録を維持しない場合は直接的な義務はありません。ただし、安全性向上のため自主的に準拠するケースが増えています。
軍艦・公船:
政府が運用する特殊な船舶は、多くの場合、独自のセキュリティ基準を持つため除外されます。

UR E26とUR E27の役割の違い（再確認）

条件に該当する船舶に対し、以下の2段階で適用されます。

規則名	焦点（フォーカス）	対象者
UR E26	船体全体の統合	造船所・船主（システム間の連携やネットワーク全体）
UR E27	個別の機器・システム	メーカー（ベンダー）（エンジン制御、レーダーなど単体機器）

実務上の注意点

たとえ小さな部品であっても、その機器が「船の安全性、環境保護、人命」に関わるネットワークに接続されている場合、UR E27の適合証明がなければ、2024年7月以降の契約船には搭載できない（＝入札から落とされる）可能性が極めて高いということです。

2. そもそも船舶業界って

船舶業界は、船を「所有する」「造る」「動かす」「審査する」という役割ごとに、強力な業界団体が連携して構成されています。
これらを整理すると、以下のような「四権分立」に近い構造になっています。

2.1 船主（オーナー）: 一般社団法人日本船主協会（JSA）

船の「持ち主」の団体です（日本郵船、商船三井、川崎汽船など）。

役割:
投資家として船を発注し、海運ビジネスを運営します。
影響力:
ユーザー（施主）として、造船所に対して「最新のサイバーセキュリティ（UR E26/E27）に対応した船を造れ」と要求する立場です。

2.2 造船所（ヤード）: 一般社団法人日本造船工業会（SAJ）

船を「設計・建造」する企業の団体です（今治造船、ジャパンマリンユナイテッド、三菱重工など）。

役割:
船主の要望に合わせ、膨大な数の計装機器（メーカー製品）を取りまとめて一隻の船を完成させます。
影響力:
UR E26の適用責任者であり、メーカーに対して「船級認証（UR E27）が取れない機器は採用しない」と選別する立場です。

2.3 メーカー（計装・エンジン）: 一般社団法人日本船舶用工業会（JSMEA）

船に載せる「機器」を作る企業の団体です（古野電気、ヤンマー、三井E&S、ダイハツディーゼルなど）。

役割:
推進、航海、荷役、通信などの各計装システムを開発・提供します。
影響力:
現在、UR E27への適合を最も急いでいる層です。

2.4 船級協会: 一般財団法人日本海事協会（ClassNK）

「ルール作りと検査」を行う中立機関です。

役割:
国際ルール（IACS）に基づき、船や機器が基準を満たしているか審査し、お墨付き（証書）を発行します。
影響力:
造船所とメーカーが提出した設計図や製品を「合格・不合格」と判定する、いわば「審判」です。

業界の力学: まとめ

この構図を計装設計の視点で見ると、以下のようになります。

船主が「安全でサイバー攻撃に強い船が欲しい」と言い、
船級協会が「そのためにはこのルール（UR E26/E27）を守れ」と基準を出し、
造船所が「ルールを守るために、認証済みの機器を揃えろ」と指示し、
メーカーが「認証（IEC 62443等）を取得して納入する」

という流れです。
この中で、「日本海事協会（ClassNK）」と「日本造船工業会（SAJ）」は、特に実務上のガイドライン策定で密接に連携しています。

3. 船級協会のお仕事

船級協会（Class Society）とは、一言でいえば「船舶の安全性や品質が国際基準を満たしているかを検査・認定する、第三者の専門家機関」のことです。
車でいうところの「車検」や「JIS規格」に近い役割を持っていますが、船舶は国境を越えて移動するため、世界共通の厳しいルール（国際条約や協会独自の規則）に基づいて運用されています。
主要な役割は以下の3点です。

3.1 「船の格付け」と「検査」

船が設計図通りに造られ、海に漂う強度や安全性を備えているかを審査します。

設計審査:
設計段階で、図面が規則（UR E26/E27など）に適合しているかチェックします。
現場検査:
建造中や就航後（1年ごとなど）に、実際に船に乗り込んで機器が正常に動くか確認します。
格付け:
検査に合格すると「船級（クラス）」が与えられ、その船の品質が世界的に証明されます。

3.2 「保険」や「入札」の必須条件

船級を持っていない船は、事実上、ビジネスができません。

保険:
船級がないと、万が一の事故の際に保険金が支払われない、あるいは保険への加入自体を拒否されます。
入札:
船主が造船所に発注する際や、荷主が船を選ぶ際、「NK（日本海事協会）の船級であること」などが必須条件になります。

3.3 世界を代表する「主要な協会」

船級協会は、世界トップクラスの信頼性を持つ「IACS（国際船級協会連合）」の主要メンバーです。

NK（日本海事協会）:
本部は日本。日本の商船の多くが登録されており、世界一の登録総トン数を誇ることも多い、世界最大級の協会です。
DNV（デット・ノルスケ・ベリタス）:
本部はノルウェー。環境技術やデジタル、サイバーセキュリティ分野の基準作りに非常に強いリーダー的存在です。
LR（ロイド船級協会）:
本部はイギリス。1760年設立の世界最古の船級協会であり、伝統と高い信頼性を持っています。
ABS（アメリカ船級協会）:
本部はアメリカ。オフショア（海洋開発）や軍事関連、エネルギー分野に強い特徴があります。

4. 船舶のエンジニアリング区分と最新技術動向について

大型船舶について

大型船舶の計装設計は、その巨大な船体を安全かつ効率的に運用するため、高度なネットワークと制御システムが統合された「動くプラント」のような構造をしています。
ご提示いただいた専門区分に基づき、操舵室（ブリッジ）を司令塔とした計装システムの全体像を整理しました。

4.1 船舶推進制御システム（機関部計装）

主機（メインエンジン）や推進器の状態を監視・制御するシステムの核となる部分です。

制御対象:
メインエンジン、発電機、ボイラー、燃料供給装置、可変ピッチプロペラ（CPP）など。
操舵室での役割:
スロットルレバーによる出力調整、機関室（エンジンルーム）に行かずとも主要機器の状態を確認できる「遠隔監視制御」機能。
重要性:
異常発生時のアラーム管理や、燃料消費の最適化による省エネ運航を担います。

4.2 船舶航行制御システム（航海計装）

船の位置を把握し、進路を制御するためのシステムです。航行環境により求められる精度が異なります。

洋上航行:
オートパイロットによる自動操舵、GPS/レーダー、ECDIS（電子海図情報表示装置）による安全ルートの確保。
港湾内・離着桟:
狭い水域での繊細な操作が求められるため、スラスター（横推進器）の制御や、ドップラーソナーによる対地速度の精密計測が重要になります。
操舵室での役割:
統合船橋システム（IBS）により、複数のモニターで海図、レーダー情報、自船位置を一括管理します。

4.3 荷積み降し計装システム（荷役計装）

船の種類（タンカー、コンテナ船、バルク船など）によって専門性が最も分かれる分野です。

制御対象:
貨物ポンプ、バルブの遠隔操作、タンクの液位・圧力・温度センサー。
安定性管理:
荷物の移動に伴う船体の傾きや歪みを計算する「ロードコンピュータ」と連動し、船体の強度と復元性を維持します。
操舵室での役割:
荷役コントロールルーム（またはブリッジの一角）で、積載プランに基づいたバルブ開閉や流量管理を集中監視します。

4.4 船内ネットワーク・通信計装（インフラ部）

これらすべての情報を繋ぎ、外部とやり取りするための「神経系」です。

船内ネットワーク:
制御用（Ethernet/CANバス等）と事務・娯楽用を分離し、サイバーセキュリティを確保したLAN構築。
通信設備:
衛星通信（VSAT）、GMDSS（海上遭難安全システム）、AIS（船舶自動識別装置）、VHF無線。
操舵室での役割:
外部（陸上管理センターや他船）とのリアルタイムなデータ共有、気象情報の取得、緊急時の通信拠点となります。

参考: 操舵室（ブリッジ）への集中化

現代の設計では、これら独立した専門設計（エンジン、航海、荷役、通信）が統合制御システム（IAS: Integrated Automation System）を介してブリッジに集約されています。
これにより、航海士は移動することなく一箇所で「船の健康状態」「周辺の交通状況」「荷物の安定性」をすべて把握できるようになっており、設計エンジニアはこれら異なる通信プロトコルを一つのヒューマン・マシン・インターフェース（HMI）にまとめる高度なインテグレーション作業を担っています。

5. 船舶における通信設備とそのリスクについて

大型船舶は、用途に合わせて複数の通信手段を使い分けています。これらは便利である反面、それぞれに固有のサイバーリスクが存在します。
主な通信設備、扱うデータ、およびリスクを整理しました。

5.1 外部接続（船外通信）

外部と繋がる「窓口」であり、サイバー攻撃の最大の侵入経路となります。

衛星通信（VSAT、Inmarsat、Starlink等）
- 扱う内容:
  陸上拠点との業務メール、気象・海図データの更新、エンジン遠隔監視データ、乗組員のSNS・インターネット利用。
- リスク:
  通信の傍受やなりすまし、マルウェアのダウンロード。特にStarlinkなどの高速定額通信の普及により、攻撃の入口が広がっています。
AIS（船舶自動識別装置）
- 扱う内容:
  自船の名称、位置、コース、速力などの放送。
- リスク:
  スプーフィング（偽装）。偽のAIS信号を発信して存在しない船をレーダー上に表示させたり、自船の位置を誤認させたりする攻撃が可能です。
GMDSS（海上遭難安全システム）
- 扱う内容:
  緊急時の遭難信号、安全情報。
- リスク:
  偽の遭難信号による救助活動の妨害。旧来のデジタル選択呼出（DSC）などは暗号化が不十分な場合があり、妨害のリスクがあります。

5.2 船内ネットワーク（船内通信）

船内の各機器を繋ぐ「神経系」です。

制御ネットワーク（OT系: Ethernet、CANバス等）
- 扱う内容:
  推進制御（主機）、操舵、荷役、電力管理の信号。
- リスク:
  外部通信から侵入したマルウェアがOTネットワークに波及すると、操船不能や爆発事故に繋がる致命的なリスクがあります。
事務・福利厚生ネットワーク（IT系）
- 扱う内容:
  船員用Wi-Fi、給与・在庫管理PC。
- リスク:
  乗組員の個人デバイス経由のウイルス感染。ここがOT系と物理的に分離されていない場合、攻撃の踏み台になります。

通信設備ごとのリスクまとめ

通信設備	主な用途	サイバーリスクの例
VSAT / Starlink	陸上連携・ネット接続	マルウェア侵入、情報の盗聴
AIS	衝突予防	偽信号による進路妨害・誘導
VHF / 無線	他船との交信	音声割り込み、なりすまし指示
船内LAN	機器間連携	ランサムウェアによるシステムロック

5.3 通信におけるリスク対策のポイント

最新の計装設計（UR E26/E27準拠）では、これら複数の通信の間に「セキュリティゲートウェイ」を設置し、データの流れを厳格に制限・監視することが義務付けられています。
特に、「Starlinkを導入したいが、制御系ネットワークとの分離をどう担保するか」といった相談が現在現場で急増しています。

6. 最新の自動運航船の技術について

最新の自動運航船（MASS: Maritime Autonomous Surface Ships）は、従来の計装設計をベースにしながらも、「認知・判断・操作」を人間からAIや自動化システムへと置き換える、より高度な技術要素で構成されています。
2026年現在、日本でも日本財団の「MEGURI2040」プロジェクトなどを通じて、自動運転レベル4相当（無人運航）の商用運航が実際に開始されています。

主な技術要素は以下の4つの柱に整理できます。

6.1 周辺環境の「認知」技術（マシンビジョン・センサーフュージョン）

人間の「見張り」を代替・補完する技術です。

センサーフュージョン:
レーダー、AIS、GPS、LiDAR、高感度カメラ、赤外線カメラなどのデータを統合し、他船や障害物、岸壁との距離を24時間死角なく把握します。
物体検知AI:
日本企業などの技術により、画像解析を用いて小型船や漂流物など、レーダーで捉えにくい対象も自動で識別します。

6.2 知能的な「判断」技術（自動避航・離着桟）

状況に応じて最適なルートを計算する「船長の頭脳」のデジタル化です。

自動避航（ひこう）:
海上衝突予防法（COLREG）に基づき、他船との衝突リスクを計算して安全な回避航路をリアルタイムで策定します。
自動離着桟（りちゃくさん）:
潮の流れや風の影響を計算しつつ、数センチ単位の精度で巨大な船体を岸壁に寄せる極めて難易度の高い操作を自動化します。

6.3 遠隔からの「監視・操作」技術（陸上支援）

船内に人が少ない、あるいは無人の状態を支えるインフラです。

陸上支援センター:
衛星通信や5G/LTEネットワークを介し、陸上から複数の船を24時間監視します。必要に応じて陸上のオペレーターが遠隔操船を行うことも可能です。
AR（拡張現実）ナビゲーション:
現場のカメラ映像に海図や他船情報を重ねて表示し、遠隔地や操舵室の人間が直感的に状況を把握できるようにします。

6.4 機器の「自己診断」技術（機関遠隔監視）

機関室が無人になっても安全を担保する仕組みです。

機関健全性マトリックス:
エンジンの振動や温度をセンサーで常時監視し、故障の予兆をAIが検知。重大な故障に至る前に最適な運転モードへ切り替えたり、陸上へ通知したりします。

参考: 自動運航のレベル分類（IMOによる定義）

国際海事機関（IMO）では、自動化の度合いを以下の4段階に分類し、国際ルールの整備を進めています。

レベル1:
意思決定支援（人間が操作し、システムが情報提供）
レベル2:
船員乗船の遠隔操作（人がいるが、操作は別場所から可能）
レベル3:
船員未乗船の遠隔操作（人はいないが、常に監視・介入可能）
レベル4:
完全自律（システムがすべての判断を行い、自己完結する）

これらの技術は、船員不足の解消や、人為的ミス（ヒューマンエラー）による海難事故の削減を目的として開発されています。

7. 船舶業界における主要なサイバー攻撃事例

船舶業界におけるサイバー攻撃は、物理的な「船」への攻撃だけでなく、世界規模の「物流網」を麻痺させるという特徴があります。代表的な3つの事例を、原因と損害額とともに紹介します。

7.1 マースク（A.P. Moller-Maersk）へのランサムウェア攻撃（2017年）

海運業界で最も有名な、史上最大級のサイバー被害事例です。

原因:
ウクライナの税務会計ソフトのアップデート機能を悪用したマルウェア「NotPetya」が、マースクのネットワークに侵入。世界中の全システム（600以上のドメイン、数千のサーバー）が数分で暗号化されました。
被害:
- 世界各地の港湾ターミナルが稼働停止。
- 荷役操作ができず、コンテナ数万個が滞留。
- 全ての通信が遮断され、社員は個人のWhatsAppなどで連絡を取り合う事態に。
損害額:
約3億ドル（当時約330億円）。ITインフラの再構築費用に加え、操業停止に伴う売上損失が膨大となりました。

7.2 コスコ（COSCO）へのサイバー攻撃（2018年）

中国の海運大手COSCOの米国拠点を狙った攻撃です。

原因:
ランサムウェアによる攻撃。米国の地域ネットワークが感染し、同社の米国および中南米の一部地域での通信・基幹システムがダウンしました。
被害:
- メールシステムやウェブサイトが停止し、顧客との予約業務が困難に。
- マースクの教訓を活かし、同社は直ちにネットワークを「隔離」して拡散を防いだため、全世界への波及は免れました。
損害額:
具体的な額は非公表ですが、数千万ドル規模の機会損失と対策費用が発生したと推測されています。

7.3 ジェームス・フィッシャー（James Fisher & Sons）への攻撃（2019年）

英国の海運サービス会社に対する標的型攻撃です。

原因:
ネットワークへの不正侵入（サイバー攻撃の詳細な手法は非開示）。
被害:
- 会社のITシステムが侵害され、安全のために全システムを一時的にシャットダウン。
- 復旧までに数週間を要し、その間の海事サービス業務に重大な支障が出ました。
損害額:
約200万ポンド（約3億円）。専門家による調査費用と、システムの復元にかかった直接的なコストです。

サイバー攻撃事例のまとめと共通の原因

これらの事例に共通する背景は以下の通りです。

ネットワークの脆弱性:
陸上のOAネットワークと、運航に関わる基幹システムが適切に分離されていなかった。
脆弱なOS・ソフト:
セキュリティパッチが未適用のまま運用されていたシステムが踏み台になった。
サプライチェーンのリスク:
取引先やソフトウェアベンダー経由で感染が広まった。

こうした甚大な経済的損失と、物流の停止という社会的混乱を防ぐために、現在のIACS UR E26/E27のような強制的なセキュリティ規格が誕生しました。
これらの事例を受けて、日本のメーカーや船主の間でも「保険の適用条件」や「セキュリティ対策への投資」に対する意識が劇的に変わったと言われています。

参考: なぜ今、計装設計で「船級でのセキュリティ認証」が重要なのか？

UR E26/E27は、これら「船級協会（IACS）」が決めた世界共通ルールです。
機器メーカーが「自社製品はセキュリティ万全です」と自称しても、これらの船級協会のスタンプ（認証）がなければ、造船所は怖くてその製品を採用できません。船級協会は、いわば「技術的なお墨付きを与える裁判官」のような存在なのです。

8. 船舶におけるサイバーセキュリティ対策について

8.1 IACS UR E26/E27 の構造: 船舶セキュリティの全体像

UR E26は船舶全体のレジリエンスを、UR E27は個別装置の技術要件をそれぞれ規定しています。 この二つの規則は、役割が明確に分かれています。

1）UR E26: 船舶全体のサイバーレジリエンス

UR E26は、船舶の設計から就役、運航までのライフサイクル全体を対象としています。この規則は、米国の「NIST CSF（サイバーセキュリティフレームワーク）」をベースに構築されています。2024年に公開されたNIST CSF 2.0では、新たに「ガバナンス（Govern）」の機能が追加されました。組織的な管理体制を重視するこの動向は、今後のUR E26の運用指針にも影響を与えると考えられます。

2）UR E27: 個別システムの技術的要件

装置メーカーに直接関わるのがUR E27です。これは、国際規格 IEC 62443-3-3（システムセキュリティ要件） の要件を一部抽出・参照して構成されています。メーカーは、自社製品が備えるセキュリティ機能を、客観的なエビデンス（証跡）をもって証明する役割を担います。

9. ライフサイクルに沿った適合性の実証プロセス

UR E26/E27では、適合性の証明を単発の検査ではなく、プロセスとして行う必要があります。

9.1 実証が求められる3つのフェーズ

UR E26では、適合性の実証タイミングを以下の3段階で整理しています。

設計および実装時:
システム構成やセキュリティ仕様が要件を満たしているかの確認。
就工事（建造中・試運転時）:
実船に搭載された状態で、意図した防御機能が働くかの検証。
運航期間中:
脆弱性対応やメンテナンス、インシデント対応体制の維持。

このように整理されているため、メーカー側は「どの段階でどの資料を提供すべきか」を予測しやすくなっています。

表1: 船舶のライフサイクル別セキュリティ活動（UR E26に基づく）

フェーズ	実施事項	メーカーの役割
設計・実装	ゾーニング、リスク分析	UR E27に基づく製品仕様の確定
就工事（建造）	統合試験、脆弱性スキャン	船級協会への提出ドキュメント作成
運航・保守	パッチ適用、ログ監視	PSIRTによる脆弱性情報の提供

9.2 リスクベースの適用除外ルール

UR E26では「適用除外（Exemptions）」のルールが明記されている点も重要です。安全航行や人命に直結しないシステム、あるいは物理的な隔離（エアギャップ）が担保されているケースなど、リスクに応じた柔軟な判断が許容されています。開発マネージャーは、自社装置がどのカテゴリーに属するかを早期に特定することで、余計な開発コストを抑えることができます。

IACS（国際船級協会連合）が制定したサイバーレジリエンスに関する統一規則 UR E26（2024年7月1日以降建造契約の船舶に強制適用）に照らして、以下の3点を整理しました。

9.2.1 「適用除外（Exemptions）」の考え方

厳密には、UR E26そのものから完全に「免れる」というよりは、システムがCBS（Computer Based System）のカテゴリー分けによって、要求される対策レベル（セキュリティ能力）が異なるという構造です。

人命・安全に直結しないシステム:
これらは「Category I」に分類されるか、あるいはUR E26の対象外となる「資産（Assets）」とみなされます。この場合、上位カテゴリー（Category II, III）のような厳格な認証やテストは要求されません。
物理的隔離（エアギャップ）:
外部ネットワークや航行・機関系ネットワークから完全に隔離されている装置は、サイバーリスクが極めて低いと判断され、適合証明の簡略化が認められるケースがあります。

9.2.2 カテゴリー特定の重要性（コスト管理）

開発マネージャーがカテゴリーを早期に正しく特定することでコストを抑えることができます。

Category III:
推進・操舵など、失うと即座に危険に陥るシステム（最も厳しい要求）。
Category II:
船の安全性に関わるが、冗長性があるシステム。
Category I:
安全に直接影響しない、または影響が限定的なシステム。

もし自社の装置が「Category I」で済むものを、誤って「Category III」の要件で設計・ドキュメント作成してしまうと、認証費用やセキュリティ実装の工数が膨大になり、大きな損失となります。

9.2.3 注意すべき「ルール明記」のニュアンス

「適用除外のルールが明記されている」という表現について、UR E26の本文では「何が除外されるか」をリストアップしているというよりは、「何が対象か（Scope）」と「カテゴリー定義（Categorization）」を定義することで、結果的に対象外を明確にしているという書き方です。
また、最終的な「適用除外」の判断は、船旗国や各船級協会（NK、DNV、LR等）の個別の判断に委ねられる部分があるため、「ルールがあるから自動的に除外される」と楽観視せず、早期に船級協会と協議することが実務上の定石です。

10. UR E27に基づく提出ドキュメントの実務

UR E27では、船級協会へ提出すべき資料が具体的に列挙されています。これはメーカーにとっての「適合証明のチェックリスト」です。

10.1 主な提出資料の例

システム構成図（ネットワークトポロジー含む）
資産インベントリ（ハードウェア・ソフトウェアの一覧）
リスクアセスメント報告書
セキュリティ機能記述書（認証、アクセス制御、ログ管理等）
脆弱性管理計画書

10.2 IEC 62443-4-1 プロセスの重要性

UR E27の適合性実証では、IEC 62443-4-1（セキュアな製品開発ライフサイクル） の考え方が重視されます。製品の機能だけでなく、「どのような工程を経て安全に開発・検証されたか」というプロセスの正当性が、審査の質を左右します。

11. 米国市場におけるCIRCIA報告とUR規格のギャップ

船舶装置メーカーが米国市場を狙う際、UR規格の遵守だけでは不十分なケースがあります。それが、CIRCIAによる「72時間以内の報告義務」への対応です。

11.1 輸送システムとしての法規制

米国に入港する船舶や、米国のサプライチェーンに関わる船舶で重大なサイバーインシデントが発生した場合、船主（カバー対象エンティティ）はCISAへ報告しなければなりません。これは米国の法的義務であり、業界規格であるUR規格よりも優先されます。

11.2 報告を支えるための製品要件

UR E26/E27は主に「防御」に主眼を置いていますが、CIRCIAが求める短時間での報告を実現するには、現実的に以下の要素が不可欠になります。これらが製品に実装されていない場合、顧客である船主からの緊急の要請に、時間内の対応が間に合わないリスクが生じます。

SBOM（ソフトウェア部品表）の提供:
インシデント発生時、自社製品に該当の脆弱性が含まれるかを数時間単位で特定するため。
詳細なイベントログ:
攻撃の起点や影響範囲を技術的に証明し、CISAへの報告内容を補完するため。

表2: CIRCIA報告を可能にする製品機能チェックリスト

報告に要する情報	UR E27での対応範囲	CIRCIA対応のための付加機能
影響範囲の特定	資産インベントリ	SBOM（ソフトウェア部品表）の動的管理
攻撃手法の分析	基本的なイベントログ	耐改ざん性を備えた SIEM連携ログ出力
脆弱性の特定	脆弱性管理計画	VEX（Vulnerability Exploitability eXchange）による回答

12. 海事特有のサイバーセキュリティ対策設計の重要性

船舶のセキュリティ設計では、一般産業システムとは異なる特有の状況を想定する必要があります。

12.1 洋上航行中の孤立とフォールバック設計

洋上では陸上からの物理的・デジタル的なサポートが制限されます。サイバー攻撃で航行制御がダウンした場合、高度な防御機能よりも「安全な状態へのフォールバック」と、最小限の通信路を確保する設計が優先されます。

12.2 港湾・運河における経済的影響の最小化

主要運河での航行不能は、世界の物流を停滞させる重大な事態を招きます。これらはCIRCIAが定義する「重大なインシデント」に合致する可能性が高く、迅速な検知と復旧、そして当局への透明性のある報告が強く求められます。

12.3 造船所・ドック滞在時のサプライチェーン・リスク

船舶は定期的なドック入りで外部業者のアクセスを受けます。この際、マルウェアの混入や不正な設定変更が起きるリスクがあるため、UR E26では「就工事」フェーズでの検証を重視しています。

13. ビジネス上の実利サイバー保険と入札要件の現実

セキュリティ対応は、今や受注を左右する営業上の重要因子です。

13.1 サイバー保険の加入条件

現在、船舶のサイバー保険では、公的機関（船級協会等）によるセキュリティ適合証明が加入や更新の条件となるケースが一般的です。認証がない場合、保険料が数倍に跳ね上がる、あるいは加入を拒否されることで、実質的に「航行不能（営業停止）」に追い込まれるリスクがあります。

13.2 海外船主による入札要件の具体化

2026年現在、北米や欧州の船主による新造船の入札では、セキュリティ要件として「IEC 62443認証の取得」や「UR E26/E27への適合証明」が必須項目として並びます。日本のメーカーにとって、これらを備えていることは、入札の土俵に乗るための最低限のパスポートです。

以下、具体的事例を参考にどのような理由で採用されているかについて見ていきます。

船舶業界では、2024年7月以降の建造契約船からIACS UR E26/E27が義務化されたことで、これに適合する「根拠」としてIEC 62443-4-2（製品セキュリティ認証）が直接的な評価指標となっています。

実例: 大手通信・制御機器メーカーの採用

IEC 62443-4-2製品認証取得の製品が、海外および国内の次世代スマートシップや自動運航船の入札・プロジェクトにおいて採用されています。

採用事例:
新造の大型コンテナ船やLNG燃料船における船内ネットワーク・ゲートウェイおよび航海通信機器の選定。
採用製品:
IEC 62443-4-2認証取得済みの産業用イーサネットスイッチ、セキュリティゲート、および航海・無線設備。

1）採用理由: UR E27への「適合性の証明」

UR E27（船上システムおよび機器の要件）の技術的基盤は、IEC 62443-3-3（システム）およびIEC 62443-4-2（コンポーネント）に基づいています。

根拠:
入札時、船主や造船所は「UR E27適合」を必須要件とします。第三者機関によるIEC 62443-4-2認証を持つ製品は、UR E27の個別審査を大幅に簡略化、あるいはそのまま適合とみなされる「型式承認（Type Approval）」の有力な証跡となります。

2）採用理由: セキュリティレベル（SL）の可視化

IEC 62443-4-2では、想定される攻撃の洗練度に応じたセキュリティレベル（SL1〜SL4）が定義されています。

根拠:
自律運航船や遠隔監視システムなど、外部接続が多い高度な船舶の入札では、船主から「SL2（意図的な攻撃に対する防御）以上」といった具体的な数値指定がなされることがあります。このレベルを客観的に証明できるのは、第三者認証取得製品のみです。

3）採用理由: サプライチェーンのリスク管理（IEC 62443-4-1との連動）

製品そのものの堅牢性（4-2）だけでなく、開発プロセス（4-1）が適正であることも重視されます。

根拠:
欧州の船主などは、脆弱性が発見された際の修正パッチ提供やサポート体制も評価対象とします。IEC 62443認証は「セキュアな開発ライフサイクル（SDL）」の遵守を意味するため、納入後の長期的な運用安全性を担保する根拠として採用の決め手となります。

入札における実務的な動き

現在、多くの造船所では、新造船の入札図面（Specifications）に「IACS UR E26/E27 Compliance required」と明記し、ベンダー選定の際には「証明書（Certificate）の提出」を求めます。これがない場合、造船所側が船級協会に対して個別にセキュリティ機能の有効性を証明しなければならず、膨大な工数が発生するため、認証済み製品が優先的に選定される現実があります。

この動きに伴い、「既存の旧型機から、認証取得済みの新型機へのリプレース提案」が営業上の大きな武器となっているのが、2026年現在の計装設計・営業の現場です。

IEC 62443-4-2製品認証取得するには、まず、IEC 62443-4-1組織認証を取得する必要があります。IEC 62443-4-1組織認証を取得するのに、一般的には1年間を要します。

ICS研究所は、IEC 62443-4-1組織認証およびIEC 62443-3-3システム認証取得、IEC 62443-4-2製品認証取得の専門コンサルのスペシャリスト集団です。

14. 船舶における「サイバーレジリエンス（Cyber Resilience）」とは？

単に攻撃を防ぐ（セキュリティ）だけでなく、「攻撃を受けても、船の安全航行に必要な機能を維持し、速やかに回復する力」を指します。
なぜ今、従来の「セキュリティ」以上にこの概念が重要視されているのか、その理由は大きく3つあります。

14.1 船の「プラットフォーム化」によるリスク増大

かつての船は、航海計装やエンジン制御が外部から切り離された「孤島」状態でした。しかし現代の船は、以下の理由で常に外部と繋がっています。

24時間衛星接続:
燃費管理や動静監視のため、陸上と常時データ連携を行っています。
遠隔メンテナンス:
メーカーが陸上から船内の機器を診断・アップデートします。
船内ネットワークの統合:
航海系、機関系、事務系（Wi-Fi）のネットワークが物理的または論理的に繋がっています。
これにより、「一度侵入されたら、船全体の制御が乗っ取られる」リスクが劇的に高まりました。

14.2 「安全（Safety）」への直結

船舶におけるサイバー事故は、単なる情報漏洩では済みません。

操船不能:
推進システムや操舵系が攻撃を受けると、衝突や座礁を引き起こします。
海図の書き換え:
電子海図（ECDIS）のデータを改ざんされれば、誤ったルートへ誘導されます。
荷役トラブル:
タンカーなどの荷役制御が狂えば、大規模な環境汚染（油流出）や火災に繋がります。
つまり、サイバーレジリエンスは「人命」と「環境」を守るための必須機能なのです。

14.3 ビジネス継続性の担保（物流の停止を防ぐ）

2017年に世界最大手の海運会社マースクがサイバー攻撃を受けた際、数千億円規模の損失が発生し、世界の物流が停滞しました。

ランサムウェア:
船内の管理システムがロックされれば、寄港しても荷揚げができず、多額の滞船料が発生します。
サイバー保険と入札:
前述の通り、レジリエンス（回復力）が証明できない船は保険に入れず、荷主からも選ばれなくなっています。

参考: 実務的な「レジリエンス」の対策例

計装設計の現場では、具体的に以下のような「回復のための設計」が求められています。

セグメンテーション（分断）:
事務系ネットワークが感染しても、航海系には影響させない。
冗長化とバックアップ:
制御システムがダウンしても、即座に手動操作や予備系に切り替えられる。
検知と初期対応:
異常な通信を即座に検知し、感染した機器を自動で切り離す。

14のまとめ

現代の船舶において、サイバー攻撃を100%防ぐことは不可能です。だからこそ、「攻撃を受けても沈まない、止まらない」ための設計思想であるサイバーレジリエンスが、大型船舶の設計における最優先事項となっているのです。

15. 船舶のサイバーレジリエンスに必要不可欠な技術

船舶のサイバーレジリエンス（回復力）を実現するためには、「リスクアセスメント」で弱点を特定し、「深層多層防御」で万が一の侵入に備えるという、セットの設計思想が不可欠です。
なぜこれらが重要なのか、その論理的な繋がりを説明します。

15.1 リスクアセスメントの重要性: 設計の「優先順位」を決める

船は巨大な「システム集合体」であり、すべての機器に最強のセキュリティを施すのはコスト的にも技術的にも不可能です。そこで、リスクアセスメント（現状分析と評価）が必要になります。

クリティカル・システムの特定:
推進、操舵、電力管理など、停止すると即座に「座礁・衝突」を招くシステムを特定します（UR E26のカテゴリー分類に相当）。
脆弱性の可視化:
「外部と繋がっている点はどこか」「古いOSを使っていないか」「パスワード管理はどうか」といった弱点を洗い出します。
効果的なコスト配分:
リスクの大きい部分（例: 衛星通信との接点、主機制御ネットワーク）に集中的にリソースを投下し、合理的で「穴」のない設計が可能になります。

15.2 深層多層防御（Defense in Depth）の重要性

サイバー攻撃を入り口で100%防ぐことは不可能です。しかし、深層多層防御は、「異なる防御機能や性能を構造的に組んで、一箇所が破られても致命傷を避け、回復力を持たせよう」という考え方です。
船舶計装における具体的な階層例を挙げます。

① 物理的防御（Physical Layer）

サイバー攻撃の起点はネットワークだけでなく、物理的な接触からも始まります。

入退室管理:
船橋、エンジンコントロールルーム、サーバーラックへのアクセス制限。
物理ポートの封鎖:
未使用のLANポートやUSBスロットの物理的なロック（USBブロッカーの設置）。
重要機器の隔離:
ネットワークハブやルーターを鍵付きのキャビネットに収容。

② ネットワーク防御（Network Layer）

船舶ネットワークを機能ごとに分離し、攻撃の影響範囲を限定（セグメンテーション）します。

VLANの活用:
IT（事務用）、OT（航海・機関用）、Crew（乗組員私用）を完全に分離。
一方向ゲートウェイ:
OTデータの収集時には、外部からの侵入を防ぐデータダイオード（Data Diode）の検討。
DMZの設置:
衛星通信経由の外部接続（リモートメンテナンス等）は、必ずDMZを経由させる。

③ ホスト・デバイス防御（Host Layer）

個々のPCや制御用コントローラー（PLC等）を保護します。

エンドポイント保護:
既存のウイルス対策ソフトに加え、振る舞い検知（EDR）の導入（オフライン環境でも動作するもの）。
最小権限の原則:
メンテナンス用PC等に管理者権限を常時与えない。
不要サービスの停止:
脆弱性になり得る不要なプロトコル（SMBv1、Telnet等）の無効化。

④ アプリケーション防御（Application Layer）

使用するソフトウェアの脆弱性を管理します。

パッチ管理運用:
航海スケジュールに合わせた定期的なパッチ適用フローの構築。
ホワイトリスト方式:
許可されたアプリケーションのみ実行を許可し、未知の実行ファイルの起動をブロック。

⑤ データ保護（Data Layer）

最終的に守るべき情報の機密性と完全性を維持します。

暗号化:
通信経路（VPN）および保存データの暗号化。
バックアップ:
3-2-1ルール（3つのコピー、2つの異なるメディア、1つのオフライン/隔離保管）の徹底。特にランサムウェア対策として、ネットワークから切り離されたバックアップが重要です。

アドバイス

リスクアセスメント技術や深層多層防御設計技術は、ICS研究所が得意とする分野です。

15.3 両者の相乗効果による「レジリエンス」の向上

リスクアセスメントと深層多層防御が組み合わさることで、真のレジリエンスが生まれます。

封じ込め:
攻撃を受けても、分離されたネットワーク内に被害を閉じ込め、船の航行に必要な最小限の機能（Limp-home機能）を維持します。
早期復旧:
どの層が破られたかをアセスメントに基づき即座に特定できるため、バックアップからの復旧や手動操作への切り替えが迅速に行えます。

15.4 結論

これまでの船舶設計は「故障しないこと（信頼性）」に主眼が置かれてきました。しかし、サイバーレジリエンスにおいては、「攻撃されることを前提に、いかにしなやかに耐え、素早く立ち直るか」が問われます。
リスクアセスメントで「守るべきもの」を明確にし、深層多層防御で「守り方」を何重にも構築することが、UR E26/E27の時代における設計エンジニアの最も重要なミッションとなります。