全国で刻一刻と食中毒が発生しているところを想像してみてください。
あなたは処理記録を何度も確認しますが、調理された鶏肉はどのバッチも正常に見えます。一体何が問題なのでしょうか?
あなたが知らないうちに、ハッカー(不満を持った元従業員の可能性もあります)が侵入し、安全ではないIoTデバイス経由でリモートアクセスされる重要な業務プロセスを変更したため、一部の鶏肉が十分に加熱調理されず、危険な状態になっています。でも、どのバッチが影響を受けたかわからないため、全国的なリコールが予定されています。
ハッカーが盗んだ知的財産を利用した模倣品を競合他社が発売したため、製品の優位性が損なわれてしまいました。ハッカーが、あなたの主な顧客である小売店の機密商業情報やサプライチェーン情報を盗み、多額の身代金を要求してきました。あなたはどうしますか?
ばかげているでしょうか?もう一度考えてみてください。
これまで、サイバー犯罪者から最も注目されてきたのは金融や小売セクターであり、通常はデータ侵害を伴うものでした。しかし、最近は医療や政府関係のシステムがサイバー攻撃にさらされており、こうしたセクターの防御力が向上するにつれて、サイバー犯罪者はより脆弱で簡単なターゲットに移行するため、食品セクターが非常に狙われやすくなっています。
問題の1つは、このセクターが自分たちは大丈夫だと考えていることです。なぜ食品会社が攻撃されるのでしょうか?国内外の犯罪組織は、頻繁にフードチェーンを標的にして大規模な不純物混入や、偽造、詐欺、窃盗、密輸を行っています。また、倉庫や流通会社のシステムに不正侵入し、偽造品の品質を高め、正規のサプライチェーンに組み入れる場合もあります。危険は現実のものであり、あらゆる規模の食品会社は情報レジリエンスを強化するための対策を講じる必要があります。その理由は以下の通りです。
- ITとサイバーセキュリティは同じものではありません。ほとんどの企業では、IT部門がサイバーセキュリティの責任も負っていますが、これは根本的に間違っています。この2つの分野は明らかに異なり、異なるアプローチや、考え方、スキルセットが必要です。
- 「私たちは中小企業なのに、なぜ心配する必要があるのでしょうか?」レポートによると、通常はメールによって、中小企業も大企業と同じくらい頻繁に攻撃を受けています。
- 「当社のITとサイバーセキュリティはすべてアウトソーシングされているため、彼らが責任を負っています。」ITサービスプロバイダーはハッカーにとって格好の獲物なので、特に狙われやすくなっています。彼らの問題は、すぐにあなたの問題になる可能性があります。
- サイバー犯罪はより簡単で身近なものになりつつあります。サイバー犯罪はかつて「コードの達人」の独壇場でしたが、今では進化し、それ自体がビジネスになっています。今日、マルウェア作成者は、自分たちのサービスを提供し、製品を販売して他のユーザーに攻撃を仕掛けさせた方が収益性(そして間違いなく安全性)が高いと考えています。
- レガシーシステム。今日の食品加工システムは通常、20年以上前にインストールされたLinuxやWindows 98のような旧式のソフトウェアプラットフォームに依存しています。また、古いコードを更新したり、パッチを当てたりすることもできません。
- 強力な接続。インターネット経由で内部の生産プロセスを外部のデータシステムやネットワークに内部で接続することにより、生産性の向上とプロセスの効率化を実現できます。欠点は、最新のシステムが旧式のシステムと連携するために、セキュリティがよく犠牲になってしまうことです。また、それはある場所でのセキュリティ侵害が急速に広がる可能性があることを意味します。
- 壊れていなければ直さない。経営者は当然、古いシステムが正常に動作しており、想定されたリスクを信じている場合、より優れた安全なシステムへの投資に消極的になります。これは、偽りの経済です。
- 認識の欠如。運用スタッフは、既存のシステムを維持するための訓練を受けており、「サイバーに精通」 しているわけではありません。
- 「スマート」デバイスの流行。ベイトボックスのようないわゆる「ダムデバイス」は、IoT対応のデバイスに置き換えられつつあります。多くの場合、こうしたデバイスには設計やサポートが不十分なソフトウェアを使用する、セキュリティ上問題のある「既製品」のセンサーが含まれています。このような重要な疑問は、調達プロセスの中で見落とされがちです。
食品会社が受けうるサイバー攻撃には様々な種類があります。もしかすると、ハッカーが盗んだ知的財産を利用した模倣品を競合他社が発売したため、製品の優位性が損なわれたかもしれません。あるいは、ハッカーが、あなたの主な顧客である小売店の機密商業情報やサプライチェーン情報を盗み、多額の身代金を要求してきたかもしれません。いずれにしても、リスク管理を怠らないことが不可欠です。
どのような対策が可能でしょうか?
- CHACCP(サイバーハザード分析重要管理点)を利用する。食品セクターには30年前からHACCPによって品質保証や専門的機能が備わっています。CHACCPは、生産環境におけるサイバー脆弱性や連携を考慮するための同様のリスクベースのアプローチで、組み込まれた食品安全管理システムの拡張として適用されるものとお考えください。
- サイバーセキュリティ規格を導入する。ほとんどの企業は、侵入テストで自社の安全性を確認したり、BitSight を導入してサプライヤーが自社にもたらすサイバーリスクを判断し、サプライヤーの選択や、監視、評価に組み込んだりすることは考えません。賢明な強化策は、ISO 27001 情報セキュリティマネジメントシステムの導入を検討し、特に御社組織に統合されたITプラットフォームなど、主要なサプライヤーにその導入を義務付けることです。
- 文化に取り組む。スタッフは全員、導入プロセスの一環としてサイバー意識トレーニングを通じて 「サイバーに精通」 し、いかなる異常が発生した場合も、サイバー関連の可能性があると判断した場合は、問題が手に負えなくなる前に通報するよう奨励する必要があります。
幸いなことに、こうした常識的なステップを実施する企業は、自社の事業リスクを軽減するだけでなく、時間が経つにつれて、それが強力なデューデリジェンスの防御に大きく貢献し、先行者利益や競争優位性をもたらす可能性があることに気づきます。
著者:Richard Werran
食品担当ディレクター ─ EMEA