概要

  • NotPetya は、ウクライナの税務申告に使用されるソフトウェアを通じて Maersk に侵入し、グローバルに接続された環境全体でアプリケーションとデータを利用不可にしました。同社は予防措置として追加のシステムを停止しましたが、マルウェアの資格情報窃取と複数の伝播手法により、パッチのみでは不完全な防御しか提供できませんでした。
  • Maersk は船舶の制御を維持しましたが、コンテナ事業は大きな中断に見舞われました。予約、ターミナルゲート、貨物情報機能が停止し、APM Terminals は攻撃の 3 日後も複数の港でゲートサービスを拡大中であると報告しました。物理的資産は存在していましたが、それらを調整するデジタル権限が失われました。
  • 同社は大規模な手動の回避策を導入し、インフラを驚異的な速度で再構築しました。Maersk の会長は後に、10 日間で 4,000 台のサーバー、45,000 台のコンピューター、2,500 のアプリケーションを再インストールしたと述べました。詳細なジャーナリズムの再現によると、ガーナで切断されていたドメインコントローラーが、コアサービスを再開するために必要な ID データを提供したとされています。この説明は重要ですが、公式のフォレンジックレポートではありません。
  • Maersk は最終的に、収益性への影響を 2 億 5000 万~3 億ドルと報告しました。これは主に 7 月と 8 月の一時的な事業損失、復旧費用、特別運営コストによるものです。この数字は同社が認識した影響を測定したものであり、トラック運送業者、貨物フォワーダー、荷主、公的機関、あるいは下流の中小企業の完全な損失を表すものではありません。
  • 説明責任には階層があります。後に NotPetya に関連して帰属され起訴されたロシア軍の行為者は、破壊的な攻撃に対する責任を負います。Maersk は、管理下にあるシステムの回復力、顧客に対して行われた継続性の主張、そして是正措置が地域的なソフトウェア依存性がグローバルな運用障害に至る経路に対処したことを示す責任を依然として負っていました。
  • 永続的な教訓は、単にバックアップを保持することだけではありません。重要なオペレーターは、アイデンティティ、構成、運用データ、通信をクリーンな環境に復旧できなければなりません。安全性や貨物の完全性を損なうことなく、制限された手動プロセスを実行し、公的機関や小規模顧客が自身の継続性計画を発動できるよう、十分かつタイムリーでポータブルな情報を提供する必要があります。

グローバルオペレーターが次に何を動かすべきかを指示する能力を失った

2017 年 6 月 27 日火曜日、A.P. Moller - Maersk は、ランサムウェアのように見えたが破壊的な道具として動作したマルウェアに攻撃された多くの組織の一つでした。即座に現れた光景は、オフィスのサイバーインシデントでお馴染みのものでした。画面が暗くなり、アプリケーションが停止し、従業員がアクセスを失いました。その影響はオフィスだけに留まりませんでした。Maersk は、法域やタイムゾーンを超えて海上輸送、港湾ターミナル、貨物フォワーディングを結びつけていました。共有アプリケーションとアイデンティティサービスが利用できなくなると、中断はトラックがターミナルに入庫する地点、予約が貨物の移動となる地点、電子マニフェストがオペレーターに船舶内の内容を伝える地点にまで到達しました。

同社の2017 年第 2 四半期投資家向けプレゼンテーションは、最も確かな簡潔な説明を提供しています。Maersk は、マルウェアがウクライナで税務申告に使用されるソフトウェアを通じて侵入し、アプリケーションとデータを利用不可能にし、主に Maersk Line、APM Terminals、Damco といったコンテナ関連事業に影響を与えたと述べました。予防措置として複数のシステムが停止され、多数の手動回避策が導入され、船舶の完全な制御は維持されたとも述べています。また、従業員と顧客に影響を及ぼす重大な中断があったが、第三者のデータ侵害やデータ損失は報告されていないとしています。

これらの声明は、本質的な境界を確立します。これは航行や推進力の喪失として公表されたわけではなく、分析によって重大な商業・端末の中断を架空の船舶制御緊急事態に変えてはなりません。しかし、船舶制御が生き残ったからといって、海運サービスが無傷で存続したことを意味するわけではありません。船舶は安全に航行可能であっても、周囲のネットワークが次の積荷を受け入れたり、貨物作業に必要なファイルを読み取ったり、コンテナをトラック運転手に解放したり、顧客に信頼できるステータスを提供したりできなければ、サービスは維持されません。運用レジリエンスには複数の層があり、ある層の安全な状態が他の層の継続性を保証するわけではありません。

このインシデントは、ローカルなソフトウェア露出から企業全体の中断へと急速に進展しました。Microsoft の同時期のPetya アウトブレイクに関する技術的説明では、M.E.Doc アップデータを介した初期のサプライチェーン経路が観察され、資格情報の窃取やなりすましを用いた水平移動、および MS17-010 で対処された SMB 脆弱性の悪用が説明されています。後のMicrosoft ネットワーク分析では、伝播は洗練され、十分にテストされたものだったと特徴付けられています。実務上のポイントは、1 つのパッチ漏れが Maersk を説明するわけではないということです。公開された証拠はそのような単純な結論を支持しません。NotPetya は正当な資格情報を含む複数の経路を使用できたため、露出はアイデンティティの特権、ネットワークの到達可能性、セグメンテーション、ソフトウェアの信頼、封じ込めの速度、および脆弱性の状態に依存していました。

6 月 30 日までに、運用状況は改善していましたが、まだ不均衡でした。APM Terminals のアップデートでは、ロサンゼルスを含む複数の港でゲートサービスを拡大中であると発表されました。この種の公的なアップデートは、実際の復旧単位を明らかにするため価値があります。それは「IT が復旧した」ではなく、特定の場所の特定のゲートまたはターミナルサービスです。グローバルな復旧は、ローカルな状態のポートフォリオでした。貨物を処理できるサイトもあれば、限定的なゲートを提供できるサイトもあり、顧客向けシステムは独自のスケジュールで復旧しました。

同社のその後の財務報告は、これが短期的な技術的不便以上のものであったことを確認しています。2017 年第 3 四半期中間報告書では、収益性への影響を 2 億 5000 万~3 億ドルとし、その大部分は第 3 四半期の Maersk Line に関連するものとしています。輸送量は前年同期比で 2.5%減少し、攻撃による悪影響を受けたと述べ、財務上の影響の大部分を 7 月と 8 月の一時的な事業損失と説明しています。運転資本も影響を受け、APM Terminals と Damco も攻撃関連の影響を記録しました。

その会計期間は重要です。最も目に見える停止は数日間にわたりましたが、アプリケーションが復旧し始めた後も商業的な影響は続きました。サーバーが起動しても、コンテナとスケジュールは即座に元の状態に戻るわけではありません。不確実な状況下で断念された予約は、ポータルを再起動しても復旧しません。貨物を迂回させる顧客、順番を失うトラック運転手、別のルートに支払うメーカーは、技術的復旧を超えて存続する結果を生み出します。したがって復旧時間は、インフラ、アプリケーション、サイト、トランザクションバックログ、顧客について別々に測定する必要があります。

攻撃は破壊的であり、通常の身代金交渉ではなかった

この出来事をランサムウェアと呼ぶことは、防御側や経営陣が直面した決断を曖昧にする可能性があります。NotPetya は支払い要求を表示しましたが、その設計とその後の公式な帰属は、これを破壊的マルウェアとして扱うことを支持しています。イギリスの 2018 年の帰属声明は、ロシア政府、具体的にはロシア軍に責任があると判断し、この攻撃は犯罪事業を装っていたが、主な目的は混乱であったと述べました。2020 年、アメリカ合衆国司法省はロシア GRU 将校 6 名を起訴し、そのキャンペーンには NotPetya が含まれていました。これらの起訴は告発であり有罪判決ではありませんが、正式な説明責任の措置であり、司法省はマルウェアを破壊的であると明示的に説明しました。

この区別は復旧戦略を変えます。通常の恐喝シナリオでは、リーダーたちは復号ツールが存在するか、データが盗まれたか、支払いが結果を変えられるかについて議論するかもしれません。破壊的なイベントでは、保存とクリーンな再構築が中心となります。特権資格情報、ソフトウェア配布経路、または信頼できるイメージが侵害されている可能性がある場合、一見機能しているマシンを復元するだけでは不十分です。組織は、再構築し、信頼をリセットし、どのデータを再導入しても安全かを判断できる、クリーンなコントロールプレーンを確立しなければなりません。

それはまた、説明責任分析の公平性も変えます。Maersk は攻撃されることを選んだわけではなく、破壊的なワームを放出した主体は、意図された標的を超えて引き起こす予見可能で無謀な損害に対して責任を負います。被害者の説明責任は攻撃者の説明責任の代替にはなりません。この 2 つは、異なるアクターが因果連鎖の異なる部分を制御していたために共存します。国家アクターは破壊的コードを展開する決定を制御しました。ソフトウェアサプライヤーは自身のアップデート環境を制御しました。Maersk は、ウクライナのビジネス依存関係がグローバルなエステートにどのように接続されるか、特権アイデンティティとネットワーク境界がどのように保護されるか、そして重要なサービスがどの程度復旧可能かを制御していました。

公的記録は、これらのコントロールの完全なフォレンジック評価ではありません。Maersk の提出書類は侵入経路と影響を特定していますが、デバイスごとの伝播経路、パッチ適用状況、特権グラフ、あるいはどの防御策が失敗したかについての独立した調査結果を公開していません。後の報道は重要な詳細を提供しましたが、説明責任の議論は、残されたギャップを確信的な推測で埋めるべきではありません。なぜ 1 つの感染エンドポイントが企業全体の損失に寄与し得たのかを問うことは公平です。内部記録なしに、特定の従業員、1 台のパッチ未適用マシン、または 1 つの製品設定が唯一の原因であると主張することは公平ではありません。

より良いガバナンスの質問は、障害ドメインに関するものです。多国籍企業は、租税や通関ツールなど、グローバルな技術標準として選択されることのない、地域的に必要なソフトウェアを実行しなければならない場合があります。地域的な必要性は、グローバルな信頼を正当化するものではありません。狭い地域目的のシステムは、そのアップデートチャネルが失敗し得ることを前提としたアーキテクチャに配置されるべきです。すなわち、制限された特権、制御された出力、限定的な到達可能性、監視された実行、分離された管理資格情報、迅速な隔離です。事業がエクスポージャーを取り除けないのであれば、そのエクスポージャーが他のすべてに対して持つ権限を減らすことができます。

物理的能力とデジタル権限が分離された

コンテナ物流は、資産と権限の違いを極めて可視化します。船舶、クレーン、コンテナ、シャシー、ゲート、倉庫は物理的です。これらの効率的な運用は、基本的だが結果を伴う質問に答えるデジタル記録に依存します。これはどのボックスか?通関済みか?どこへ向かうべきか?安全に持ち上げられるか?どの顧客が引き取る権限を持っているか?どの船舶・航海がこれを受け取るべきか?どのような危険物、冷蔵、時間的制約が適用されるか?

後のWIRED による NotPetya と Maersk の復旧に関する再現では、APM Terminals の 76 ターミナルのうち 17 が影響を受け、ゲートや一部のクレーン作業が停止し、中央予約サイトが利用不可になったと報じられました。ターミナルが船舶の内容物を特定する電子ファイルにアクセスできなくなり、ニュージャージー州エリザベスでトラックの待ち行列が発生し、顧客が貨物の場所を特定したり経路を変更したりするのに苦労したと説明されています。これはインタビューに基づく綿密に報告された物語的な証拠であり、規制当局のフォレンジックレポートではありません。その具体的な内部主張はそれに応じて帰属されるべきですが、大まかな説明は、Maersk の開示した重大な顧客への中断と失われた取扱量と一致しています。

この障害は、「港が開いていた」ことが不十分な継続性尺度である理由を明らかにしています。港湾管理者、税関、ターミナルオペレーター、海運会社、鉄道事業者、トラック運転手はすべて技術的に利用可能であっても、貨物の移動が不可能であり続けることがあります。取引には、複数の許可と記録の一致が必要です。ある参加者が権威ある貨物状態を管理しており、その状態が利用できない場合、他の場所の予備の物理的能力は役に立たないかもしれません。

逆に、信頼できる状態のないデジタル可用性は危険です。クレーンが届くという理由だけで、ターミナルはコンテナを移動すべきではありません。手動処理は、重量、危険物、税関、冷蔵、所有権、積み付け制約を維持しなければなりません。「貨物を動かし続ける」というプレッシャーは、安全かつ合法的な移動に必要な情報を無視することはできません。したがって、レジリエントな手動モードは、単に紙を使うよう全面的に指示することではありません。それは、定義された取引、独立して利用可能な参照データ、二重チェック、調整用識別子、明確な停止条件を備えた、意図的に制限されたサービスです。

Maersk は、多数の手動回避策を導入したと報告しました。WIRED の記事では、個人用メール、メッセージング、スプレッドシート、コンテナに貼付された紙が使用されたと説明されています。このような即興は、前例のない緊急時には合理的な橋渡しとなり得、従業員の創意工夫を示しています。しかし同時に、完全性、プライバシー、認可、調整のリスクも生み出します。緊急用アカウントで受け取ったメッセージは、真正、誤り、悪意のあるもののいずれかである可能性があります。スプレッドシートは予約を保持できますが、危険物の項目を省略するかもしれません。紙のリリースは移動を可能にしますが、後で重複または未請求の取引を生み出す可能性があります。

説明責任の教訓は、即興を禁止することではありません。最高の緊急時プラクティスを、次のインシデントの前に制御された能力に変えることです。最低限の実行可能なターミナルサービスは、どの貨物クラスが移動できるか、どのような独立したデータが存在しなければならないか、例外を承認できるのは誰か、すべての手動アクションに一意の記録がどのように付与されるか、公的機関にどのように連絡するか、システムが復旧した後に記録がどのように調整されるかを指定すべきです。処理能力は、1 時間あたりのトラックまたはコンテナ数でテストされるべきであり、「手動フォールバック利用可能」とのみ説明されるべきではありません。

復旧は信頼の再構築にかかっていた

Maersk の物語で最も印象的な部分は Active Directory に関するものです。WIRED の再現によると、約 150 台のドメインコントローラーが相互に同期しており、消去されましたが、そのアイデンティティ層の個別に使用可能なバックアップは当初見つかりませんでした。ガーナにある 1 台のドメインコントローラーが停電中に切断されていたため生き残りました。帯域幅が限られていたためリモート転送は現実的ではなく、従業員がナイジェリア経由でドライブをイングランドの復旧センターに運んだと報じられています。

この話はしばしば幸運についての逸話に要約されます。そのより深い意義は、アイデンティティがその上のすべてにとって前提条件だったということです。企業はアプリケーションデータのバックアップを所有していても、信頼できるユーザー、マシン、権限、サービスアカウント、管理権限を再作成できなければ、運用を復元できない可能性があります。アイデンティティシステムは単なる別のアプリケーションではありません。これは、復元されたコンポーネントが通信し行動することを許可されるかを宣言する機構の一部です。

この話はまた、レプリケーションとバックアップの違いも際立たせます。複数の同期されたドメインコントローラーは、通常のハードウェア障害に対する可用性を向上させますが、破壊的な状態がすべてのレプリカに到達できる場合、独立した復旧を生み出しません。冗長性は「別のライブノードがサービスを提供できるか?」に答えます。バックアップは「すべてのライブノードが信頼できなくなった後、組織は既知の良好な以前の状態に戻れるか?」に答えます。同じ管理プレーン、接続性、破壊経路を共有するコピーは冗長であるかもしれませんが、復旧可能ではありません。

現代のガイダンスは、その独立性を明示的にしています。イギリスの国家サイバーセキュリティセンターは、オフラインまたは分離されたバックアップ、複数コピー、テスト済みの復元、クリーンな復旧を推奨しています。NIST のコンティンジェンシー計画ガイダンスでは、復旧を計画、手順、技術的対策の調整された組み合わせとして扱い、代替機器、手動処理、代替場所を含んでいます。どちらの文書も、2017 年に Maersk が何を持っていたかを証明するものではありません。これらは、事件が示したものを評価するための規律ある方法を提供します。

グローバル物流事業者にとって、復旧可能なセットには少なくとも 4 つの部分があります。第一に、アイデンティティと管理コントロールプレーン。第二に、インフラストラクチャ構成:損傷したエステートを信頼せずに再構築できるネットワーク、セキュリティ、クラウド、エンドポイント、プラットフォームの定義。第三に、運用状態:予約、マニフェスト、コンテナ位置、通関状況、危険物属性、機器割り当て、顧客指示。第四に、外部関係マップ:港、当局、ベンダー、顧客、銀行、緊急パートナーのための検証済みの連絡先とチャネル。

各部分は、独自の復旧時点目標と復旧時間目標を必要とします。3 日前のサーバーバックアップは、静的な参照サービスには許容できるかもしれませんが、分刻みで変化するコンテナイベントには許容できません。クリーンなアイデンティティバックアップはアクセスを復旧するかもしれませんが、停止中に手動で発生した取引をターミナルに伝えることはできません。障害が発生したアイデンティティプロバイダーの背後に保存された顧客連絡先リストは、完全であっても役に立たないかもしれません。したがって「バックアップは成功した」は、取締役会にとって貧弱な指標です。有用な証拠は、代表的なサービスが、保護された入力からクリーンな環境内で、運用ネットワークとその顧客が許容できる期間内に、規模を伴って再構築されたかどうかです。

10 日間は成果であり、完全なレジリエンスの評決ではない

2018 年 1 月の世界経済フォーラムで、Maersk の会長 Jim Hagemann Snabe は、10 日間で 4,000 台のサーバー、45,000 台のパーソナルコンピューター、2,500 のアプリケーションを再構築するという驚くべき努力について説明しました。この規模は、対応の労力と緊急性を捉えているため広く引用されています。後の WIRED の記事では、一部の復旧作業はさらに長く続いたとされており、これはコアエステートの再構築とすべてのアプリケーションやユーザーの復旧の完了を区別することと整合しています。

Maersk 自身の2017 年年次報告書では、復旧は迅速であり、収益、IT 復旧、特別運営コストを含む 2 億 5000 万~3 億ドルの損失を報告しています。同報告書は、デジタルビジネスを保護し、インフラプラットフォームを強化し、IT サービスの継続性と復旧を向上させ、事業継続計画を強化するための即時および長期的な施策が実施または計画されたと述べています。同社はまた、サイバー保険を購入しました。

これは信頼できる経営陣の対応ですが、復旧の速さがインシデント前のレジリエンスやインシデント後の保証に対する十分な評決にはなりません。英雄的な復旧と設計されたレジリエンスは異なる質です。英雄的な復旧は、卓越した人材、緊急調達、広範な経営権限、ベンダーサポート、持続的な努力に依存します。設計されたレジリエンスは、重要な成果が例外的な条件への依存度を低くします。それは爆発範囲を狭め、信頼できる復旧資材を保存し、能力を事前に手配し、疲労と不確実性が支配する前に、訓練された決断を提供します。

この区別は従業員の説明責任にとって重要です。並外れた仕事への賞賛は、並外れた仕事を要求する運用モデルを静かに常態化させる可能性があります。取締役会は、何人の人々が安全でない時間に働いたか、どの役割に訓練された代替要員がいなかったか、どの復旧手順が個人的な知識に依存していたか、緊急時の権限が事後に文書化されたかを問うべきです。レジリエンスプログラムは、危機によって明らかになった即興の知識を保存する一方で、肉体的・心理的負担を繰り返す必要性を減らすべきです。

これは財務上の説明責任にも重要です。2 億 5000 万~3 億ドルという推定は、世界的な損害総額ではありません。Maersk は攻撃が自社の収益性に与えたコストを説明しました。これは、補償されないトラックの転回、倉庫予約、生産枠の喪失、傷んだ品物、遅延した公共調達、または顧客やサービスプロバイダーが経験した運転資本のひっ迫をすべて捉えてはいません。WIRED の報告は、かなりの損失を被ったと述べるトラック運転手や物流事業者を引用していますが、これらの逸話を集計して経済全体の数字に加算することを裏付ける監査済みのデータセットはありません。

保険も同様に、指定された財務上の帰結のみを移転します。それは医薬品の出荷を復旧させず、小規模輸入業者の顧客を守らず、港湾当局にリアルタイムの貨物可視性を与えません。保険の限度額を報告する一方で、運用上の復旧証拠を報告しない取締役会は、サービスのレジリエンスではなく、バランスシートの保護を測定していることになります。どちらも重要ですが、互換性はありません。

責任はマルウェアへの近接性ではなく、制御に従う

「Maersk は被害者だった」というフレーズは真実ですが不完全です。「Maersk は準備すべきだった」も同様です。有用な説明責任の割り当ては、各アクターがイベントの前、最中、後に下せた決定を特定します。

アクター混乱前の統制混乱中の義務事後に求められる証拠
悪意のある国家アクター破壊的マルウェアを開発・配布するかどうかの決定有害な活動を停止し、無差別な伝播を避ける刑事、外交、国家説明責任プロセス;証拠の保存
ソフトウェアサプライヤービルド、アップデート、管理環境のセキュリティ迅速な警告、隔離、インジケーター、協力独立したインシデント調査結果とサプライチェーンの是正
Maersk グループ経営陣リスク選好、投資、アーキテクチャ、復旧目標、経営陣のインセンティブインシデント指揮にリソースを投入し、生命と安全を保護し、重要なサービス状態を伝達する因果関係の説明、顧客への影響、是正の所有権、検証されたレジリエンス成果
技術および事業所有者セグメンテーション、アイデンティティ、パッチ適用、バックアップ、サービスマッピング、手動手順封じ込め、証拠の保存、クリーンな再構築、制限された運用の維持実際の障害経路と未解決の例外に関するテスト結果
ターミナルおよび港湾パートナーローカルな継続性、安全な貨物ルール、公的機関との調整、代替チャネルゲート、待ち行列、貨物の安全性、ローカル状態の管理サイト固有の処理能力、調整、共同演習の結果
公的当局継続性要件、優先貨物ポリシー、事業者間調整、公開情報独立したチャネルを通じて安全、税関、緊急時の決定を維持する事後調査結果、依存関係の是正、比例的な監督
顧客および物流仲介業者重要レーンのマッピング、在庫、データエクスポート、代替連絡先と契約貨物の保護、注文の優先順位付け、損失の文書化、下流への伝達更新された継続性計画とテスト済みのプロバイダー障害シナリオ

この割り当ては、最も近い管理者を体系的なイベントの道徳的中心にすることを避けます。ローカルの従業員がウクライナの税務ソフトウェアの使用を求められたとしても、その人物はグローバルな信頼アーキテクチャを決定したわけではありません。ターミナルの従業員が貨物を救うために個人的なチャネルを使用した場合、その行動はリスクについてレビューされ学ばれるべきであり、それを必要とした状況から切り離されるべきではありません。上級の説明責任は、アーキテクチャ、予算、リスク受容、サービス約束に対する権限が存在する場所から始まります。

また、下流の組織を免責することも避けます。公的機関や小規模輸入業者は、キャリアのアイデンティティシステムを再設計することはできませんが、自身の継続性計画が、キャリアのポータル、アカウントチーム、ターミナルがすべて同時に利用可能であることを前提としているかどうかを決定できます。出荷識別子と重要な文書をプロバイダーポータルの外に保持し、緊急連絡先を取り決め、どの貨物が代替ルートを正当化するかを分類し、在庫やサービスコミットメントが遅延をどの程度吸収できるかを理解することができます。

説明責任は比例的なものであるべきです。小規模企業は、すべてのレーンで重複予約を維持したり、通常の貨物のために航空貨物を予約したりすることが経済的にできません。自治体の購買担当者は、グローバルキャリアの復旧順序に命令を下すことはできません。基準は無限の冗長性ではありません。それは、結果、時間的制約、代替可能性、利用可能なリソースに基づく、継続性対策の意識的な選択です。

港湾は民間の障害を公共の継続性問題にする

港湾は制度的なエコシステムです。公的港湾管理者、税関・国境取締り機関、警察、衛生・農業検査官、民間運営のターミナル、キャリア、鉄道、トラック運送業者、貨物フォワーダーは、同じ物理的・情報的空間を共有しています。したがって、ある企業のエンタープライズネットワークに端を発する障害は、政府システムが侵害されていなくても、公的なタスクを生み出す可能性があります。

アメリカ合衆国政府説明責任局(GAO)の 2025 年海事サイバーセキュリティレビューでは、NotPetya を顕著な例として使用し、Maersk のコンピューターが停止し、米国のオペレーションを含む港湾オペレーションが停止し、船舶が海上で遊休状態になったと報告しています。同報告書はまた、沿岸警備隊のインシデントリストプロセス、戦略計画、サイバー要員の実践におけるより広範なギャップも指摘しました。その意義は制度的なものです。公的セクターは、各民間オペレーターが自身の依存関係を管理していると単純に想定するだけでは、海事セキュリティと継続性の責任を果たせないということです。

NotPetya が攻撃した当時、国際的な政策ベースラインは既に動いていました。攻撃の 10 日前、国際海事機関(IMO)は決議 MSC.428(98)を採択し、2021 年 1 月 1 日以降の最初の年次検証までに、安全管理システムにおいてサイバーリスクに対処することを奨励しました。関連する2017 年の海事サイバーリスクガイドラインでは、特定、保護、検知、対応、復旧を中心に行動を整理し、上級管理職の関与と海運業務の継続性を求めています。

これらの文書は誤って適用されるべきではありません。それらは高次の海事安全ガイダンスであり、2017 年 6 月に Maersk が特定のターミナル IT ルールに違反したという遡及的な認定ではありません。しかし、そのタイミングは、海運に対するサイバーリスクが NotPetya によって発明されたものではなかったことを示しています。このインシデントは、海事リーダーが既に理解している安全・継続性システムにサイバーガバナンスをどのように結びつけるかという、セクターが既に直面していた説明責任の問いを加速させました。

その後のガイダンスはより運用志向になっています。欧州連合サイバーセキュリティ機関(ENISA)の港湾サイバーリスクガイドラインは、リスク実践を港湾セキュリティプロセスにマッピングし、適応可能な評価サイクルを強調しています。国連貿易開発会議(UNCTAD)の港湾レジリエンスガイドブックは、キャリア、税関、貨物フォワーダー、荷主、内陸物流事業者を協力するステークホルダーとして扱っています。コンテナ貨物は数量よりも価値で見た場合の海上貿易のシェアがはるかに大きく、港湾が単一障害点になり得ると指摘しています。

公共の継続性計画は、これらの原則を運用上の問いに変換するべきです。キャリアプラットフォームが利用できない場合、税関とターミナルが使用できる最小限の貨物データは何か?影響を受けたオペレーターのアイデンティティシステムから独立したチャネルを通じて、港湾は緊急指示を認証できるか?予約・ゲートシステムが故障した場合、誰がトラックの待ち行列を管理するのか?冷蔵、危険、医療、食品、公共サービス貨物は、自己申告の優先順位がプロセスを圧倒することを許さずに、どのように優先順位付けされるか?保管、滞船料、アクセスルールはいつ停止され、それを発表できるのは誰か?

正しい答えは、滅多に災害を待つ巨大な共有スプレッドシートではありません。中央のフォールバックは、別の共通障害となり、機密性の高い貿易データの魅力的な供給源になり得ます。より良い継続性は、合意された最小データセット、相互運用可能なフォーマット、保護されたローカル抽出物、明確な法的権限、テストされた通信経路、そして連合的なイベント調整方法を使用します。公的セクターの役割は、単一の企業が所有していないインターフェースを招集しテストすることです。

港湾のデジタル化はこれをより緊急にしています。世界銀行は、港湾コミュニティシステムを、税関、港湾管理、キャリア、物流企業、貨物フォワーダーを結ぶ協調プラットフォームと説明しています。このようなシステムは、特に小規模参加者にとってコストを削減しレジリエンスを向上させることができますが、その価値は障害や不十分な統合の結果を増大させます。効率性アーキテクチャには、共有プラットフォームやある主要な貢献者が消えたときに各参加者が何を見て何ができるかについての答え、すなわち劣化時アーキテクチャが必要です。

小規模企業は遅延を異なる形で吸収する

Maersk の混乱は、貨物フォワーダー、ターミナルにサービスを提供するトラック運送会社、通関業者、倉庫オペレーター、輸出業者、輸入業者、投入物を待つ企業など、様々な役割の小規模事業者に到達しました。直接の顧客もいれば、補償を約束する契約なしにターミナルの処理量に経済的に依存している事業者もいました。彼らの継続性問題は Maersk のそれとは異なりました。何千ものサーバーを再構築する必要はなく、権威あるステータス、貨物へのアクセス、信頼できる代替手段、そして待機を乗り切るのに十分な現金が必要でした。

小規模企業は構造的に物流の不確実性に晒されています。OECD の中小企業と貿易に関する作業は、小規模企業は国境を越えるコストを満たすためのリソースが少なく、貿易障壁によって不均衡に影響を受ける可能性がある一方で、貿易円滑化と接続性がタイムリーな配送を支援するのに役立つと指摘しています。したがって、電話、保管、重複書類、緊急輸送、不確かなリリース日を追加する停止は、単なる時間的遅延以上のものを課します。それは、取扱量全体に分散させることが困難な固定調整コストを追加します。

プロバイダーの集中は、中小企業にとって二重の意味を持ちます。あるレーンにとって商業的に合理的なキャリアやターミナルは 1 つだけかもしれませんし、一見別々の複数のサービスが同じオペレーターのデジタルコントロールプレーンに依存しているかもしれません。フォワーダーを通じて海上輸送を購入しても、予約、ターミナル、顧客ステータスのチェーンが同じキャリアに収束する場合、必ずしも独立したルートを作り出すわけではありません。継続性マッピングは、請求書や仲介者の数ではなく、実際の移動と情報経路に従わなければなりません。

実用的な対応は、データの保管から始まります。小規模輸入業者は、予約参照番号、請求書および商業文書、コンテナおよびシール番号、通関状況、危険物または冷蔵要件、連絡先、約束されたマイルストーンを、キャリアポータルを開く必要のない場所に保持すべきです。これはプロバイダーの運用データベースを複製しようとする試みではありません。出荷を特定し、権限を証明し、他者に支援を求めるために必要な最小限のパッケージです。

次にトリアージです。企業は、どの貨物が待機できるか、どの貨物が別の航海を利用できるか、どの貨物が生産や公的コミットメントを脅かすか、どの貨物が高価な航空または陸上代替を正当化する可能性があるかを事前に決定すべきです。その答えには支出権限を含めるべきです。Maersk のイベント中、希少な代替手段と不確実な情報がプレッシャーの中で決定を強いました。事前に合意された閾値があれば、創業者、財務担当者、公共の顧客に連絡がつく前に、オペレーションリードが行動できるようになります。

コミュニケーションはバックアップと同じ独立性を必要とします。イギリスの国家サイバーセキュリティセンターは、準備、役割、連絡先、解決、報告、学習を強調する小規模事業者の対応・復旧ガイドを提供しています。物流依存イベントの場合、連絡先リストは内部のサイバー対応者を超えて拡張されるべきです。キャリアの緊急ルート、ターミナル、フォワーダー、ブローカー、倉庫、保険会社、銀行、重要な顧客、関連する公的機関を含めるべきです。メールやシングルサインオンが障害の一部である場合、印刷または独立して保存されたコピーが重要です。

最後に、契約は、運用上の公平性がどのようなものかを述べるべきです。通知チャネル、データアクセス、アクセス不能なゲート期間中の料金免除、貨物保全責任、請求のための文書化、エスカレーションルートは、高可用性の漠然とした約束よりも有用です。すべての小規模顧客が個別に条件を交渉できるわけではないため、港湾当局、規制当局、業界団体、大規模物流プロバイダーが保護を標準化する役割を担っています。目標は、すべての遅延に対する保証された補償ではありません。それは、最も力の弱い当事者が、オペレーターが既に発生を知っている停止を証明することを強いられない、予測可能なプロセスです。

一般的な準備態勢のリソースも依然として関連性があります。Ready Businessは、サイバー復旧を孤立した技術計画として扱うのではなく、コミュニケーション、IT 復旧、継続性計画、訓練、演習を組み合わせています。CISA の企業リーダー向けガイダンスも同様に、レジリエンス投資を重要なビジネス機能に集中させ、侵入後の継続性をテストするよう述べています。小規模企業にとって、演習は控えめなもので構いません。チームがキャリアポータル、アカウント担当者、主要ターミナルが利用できないと想定し、2 つの優先出荷を特定し、文書化された再ルーティング決定を行う 1 時間の演習です。

手動継続性には設計上の限界がなければならない

Maersk の手動回避策は、デジタルエステートが再構築されている間、サービスの多くを維持したため、当然ながら賞賛されています。それらはまた、手動継続性が無制限の代替手段として説明できない理由も示しています。人間の処理能力は低く、エラーは検出しにくく、後の調整に必要な記録は急速に増加します。劣化モードが長く続くほど、それ自体のバックログと制御負債が復旧問題になります。

信頼できる手動計画には、最大範囲と期間があります。継続しなければならない機能、一時停止できる機能、システムなしでは試みてはならない機能を特定します。安全性と結果に応じて、限られた能力を配分します。取引がどのように認可され、記録され、チェックされるかを確立します。ローカルチームが異なるツールを使用していても、単一のインシデントクロックとシーケンスを維持します。すべての一時的な記録は最終的に復旧したシステムに合わせなければならないため、調整のための人員を確保します。

計画はまた、通常の職場技術の喪失を生き延びなければなりません。同じファイル共有に保存された緊急フォーム、同じアイデンティティプロバイダーの背後にある連絡先リスト、同じネットワークに依存する会議ブリッジは、継続性資産ではありません。NCSC の技術的対応ガイダンスは、クリーンなバックアップ、予備のデバイス、使用可能なログを維持するよう組織に助言しています。より広い原則は、対応者が独立した最小限のツールセットを必要とするということです。分散した物流企業にとっては、クリーンなラップトップ、分離された通信、事前承認された外部アイデンティティ、保護された構成リポジトリ、地域の復旧キットが含まれる可能性があります。

手動操作は、それを受け取る当事者と共に演習されるべきです。ターミナルは紙のリリースを作成できますが、ゲートスタッフ、税関、トラック運転手がそれを検証できなければ、継続性の価値はありません。キャリアは緊急メールで予約を受け付けることができますが、危険物申告が続けられなければ、その予約は安全ではありません。公的機関は優先リストを作成できますが、そのリストをコンテナに一致させる検証済みの方法がなければ失敗します。共同演習は、インシデントが商業的圧力によってそれらを見落とす前に、これらのインターフェースの障害を発見します。

能力指標は正直であるべきです。「ターミナルは手動で運用できる」だけではほとんど意味がありません。より強力な声明は、指定されたサイトが、特定のカテゴリーの移動を、通常の処理能力の一定の割合で、一定の時間数、既知の調整負担と明確な除外事項をもって安全に処理できるというものです。すべての詳細を公開することはセキュリティまたは商業上のリスクを生む可能性がありますが、取締役会と関連当局は証拠を見るべきです。

取締役会が求めるべきもの

NotPetya の後、Maersk はサイバーレジリエンス、インフラ、サービス継続性、復旧、事業継続を強化したと述べました。公開報告は、各対策の現在の状態を独立して検証するのに十分な詳細を開示しておらず、詳細がないことは作業が行われなかった証拠ではありません。外部の読者は、宣言されたプログラムとテストされた成果を区別すべきであることを意味します。

第一の取締役会の成果物は、資産数ではなくサービスマップであるべきです。予約の受付、トラックの入場、船舶貨物データの読み取り、コンテナの解放、リーファーの監視、ステータスの伝達などの成果から始めるべきです。各成果について、アイデンティティ、ネットワーク、アプリケーション、データ、施設、ベンダー、公的機関の依存関係を特定すべきです。マップは、複数の成果が 1 つの管理プレーンまたはローカルソフトウェアの信頼経路を共有する場合を露呈すべきです。

第二の成果物は、破壊的復旧の証拠であるべきです。組織は、ライブの企業サービスなしでクリーンなアイデンティティ環境を構築できるか?資格情報、キー、デバイス信頼、構成、特権ワークステーションは制御された順序で復元されるか?バックアップは侵害された管理者からアクセス不可能で、十分長く保持され、スキャンされ、テストされているか?代表的なターミナルまたは予約サービスが、保護された入力から運用規模で再構築されたか?

第三は、劣化運用の証拠であるべきです。どのサービスが手動で実行可能で、どの程度の能力とどのような安全管理策で実行できるか?企業は、既に保管している貨物を保護するために、新規業務の受け入れをいつ停止するか?手動記録はどのように調整されるか?企業のアイデンティティと電話が同時に失われた場合、どの通信チャネルが残るか?計画は、港湾、税関アクター、大口顧客、小規模物流プロバイダーと最後に演習されたのはいつか?

第四は、第三者の影響データであるべきです。企業のダウンタイムだけでなく、拒否されたゲート移動、失われた予約、所在不明の貨物、冷蔵例外、顧客ステータスの遅延、料金紛争、クレームを示すべきです。専任サポートのある大口顧客と、小規模顧客や間接的オペレーターを区別すべきです。収益を回復しても、顧客が権威あるステータスを取得できないままにする回復プログラムは、サービス復旧を完了していません。

第五は、クロージャーの証拠であるべきです。すべての是正措置は、観察された障害経路、所有者、期限、テスト、例外、独立したレビュアーを特定すべきです。パッチ適用やセグメンテーションなど可能性を減らすコントロールは、クリーンなアイデンティティ復旧や手動ターミナルモードなど結果を減らすコントロールと区別されるべきです。サイバー保険は技術的是正ではなく、財務的移転として報告されるべきです。

第六は、人に関する学習であるべきです。どの決定が、権限が不明確だったために遅延したか?どの対応者が独自の知識を持っていたか?どの即興ツールが有用であることが証明され、どれが容認できないリスクを生み出したか?企業は、何百人もの人々が再び 24 時間体制の再構築を維持できると想定せずに、緊急時能力をどのように維持するか?運用レジリエンスには、人員配置、ベンダーの動員、ビザ、渡航、施設、食事、休息、後継者が含まれます。なぜなら、クリーンな復旧設計であっても、人間によって実行されなければならないからです。

規制は運用現実に追いつきつつある

海事サイバーガバナンスは 2017 年以降、より具体的になりました。米国では、沿岸警備隊の海上輸送システムにおけるサイバーセキュリティ規則が 2025 年 7 月 16 日に施行されました。これは、対象となる米国籍船舶および施設に対し、インシデントの報告を義務付け、訓練、指定サイバーセキュリティ責任者、評価、承認されたサイバーセキュリティ計画を段階的に導入するものです。この規則は NotPetya の再発を不可能にするものではありません。それは、自発的な成熟度への依存がもはや十分とは見なされない場所に、指名された所有権と監査可能な計画を生み出します。

GAO の 2025 年の調査結果は、規制には運用能力も必要であることを思い出させます。要件は、当局がインシデントを理解し、信頼できる証拠基盤を維持し、現場で調整し、計画が実際の依存関係に対処しているかをテストできる場合にのみ機能します。港湾サイバーレジリエンスは、各事業者が個別に文書を提出したときに達成されるのではありません。それは、貨物、安全情報、公的機関が組織を越える共有インターフェースで計画が接続されたときに現れます。

規制当局はまた、比例性を維持すべきです。グローバルキャリアと小規模な通関業者が同じ管理負担を負うことはできません。大規模オペレーターは、独立した復旧証拠を提出し、クリーンルーム能力を維持し、共同演習を支援することが合理的に期待されます。小規模企業には、ベースラインのセキュリティ、使用可能な継続性計画、共通チャネルへのアクセスが必要です。公的機関は、最小データセット、共通のインシデント用語、模範的な料金ポリシー、演習形式を定義することで、集団的コストを下げることができます。

透明性もまた調整されなければなりません。完全なネットワークまたはアイデンティティアーキテクチャを公開することは新たなリスクを生み出します。「システムは復旧した」とのみ公開することは説明責任が少なすぎます。有用な開示には、影響を受けたサービスと場所、時間的境界のある復旧状態、顧客のアクション、貨物の安全性やデータの完全性に疑問があるかどうか、根本原因と管理障害のカテゴリー、是正がどのように独立して保証されるかが含まれます。特定の機密詳細は規制当局や監査人に残すことができます。

最終的な尺度は、依存が統治可能になったかどうかである

2017 年の Maersk の対応は、驚異的な復旧能力を示しました。従業員は船舶制御を維持し、即席のサービスチャネルを考案し、極限状態で広大なテクノロジーエステートを再構築しました。同社は大きな財務的影響を吸収し、その後サイバーレジリエンスと継続性への投資を報告しました。これらの事実は重みを持つに値します。

それらは中心的な説明責任のシグナルを消し去るものではありません。地域的に必要な 1 つのソフトウェア関係が、世界中のコンテナ業務の中断を助けるだけの実際的なリーチを獲得しました。複製されたアイデンティティインフラは、必ずしも独立した復旧可能性を提供しませんでした。顧客とターミナルパートナーは、ウェブサイトへのアクセスだけでなく、物理的な商取引を調整するために必要な情報を失いました。小規模オペレーターと公的機関は、Maersk が報告した損失の外側で結果を管理しなければなりませんでした。

運用レジリエンスは、しばしば跳ね返る能力と表現されます。このフレーズは、他者が依存するインフラに対してはあまりに受動的です。重要なオペレーターは、何を維持するか、メインシステムなしで安全に何ができるか、誰のニーズが優先されるか、真実がどのように伝達されるか、復旧を証明する証拠は何かを事前に決定しなければなりません。その顧客と公共パートナーは、オペレーター自体が利用できない依存関係になったときに何をするかを決定しなければなりません。

したがって、Maersk のケースの永続的な価値は、4 万 5 千台のコンピューターが再インストールされた光景ではありません。それは、隠された階層の露呈です。アプリケーションが相互に信頼できるようになる前に、アイデンティティが戻らなければなりませんでした。物理的能力が安全に使用できるようになる前に、貨物データが戻らなければなりませんでした。顧客が合理的な選択をできるようになる前に、権威あるステータスが戻らなければなりませんでした。システムが名目上利用可能になった後も、調整が続かなければなりませんでした。すべての層には異なる時計がありました。

成熟した説明責任体制は、これらの時計に従います。最初に復旧したサーバーで勝利を宣言したり、最初に感染したオフィスに非難を割り当てたり、小規模顧客に企業の財務推定から継続性を推測させたりしません。破壊的権限が制限されたか、復旧の信頼が障害ドメインの外に存在するか、手動サービスが安全で測定可能か、公共および中小企業の依存関係が可視化されているか、是正がそれに異議を唱えることができる者によってテストされたかを問うのです。

NotPetya は破壊的な攻撃行為でした。Maersk の義務は、そのような攻撃を不可能にすることではありませんでした。それは、そして今もなお、デジタル信頼への企業の依存を統治可能にすることです。すなわち、障害前に制限され、障害中に存続可能であり、障害後に再構築可能であり、グローバル海運がその記憶を失ったときに活動を続けなければならない制度や事業にとって理解可能であることです。