攻撃者はセキュリティ対策の手薄な取引先や委託先を最初の踏み台にし、そこを足がかりに本命のターゲットへと侵入を広げていきます。流通業界はこの「弱いところから崩す」という攻撃の構造に、特にさらされやすい業界と言えます。
そして、その影響力の大きさからランサムウェアの標的になりやすいことも事実です。業界内でもIT活用が進み、サプライチェーンの相互接続性がリスクを増大させています。流通業界では、受発注・在庫管理・物流追跡といった基幹業務がシステムに依存しており、攻撃者はその「止まると困る」構造を逆手に取ります。
システムを暗号化して身代金を要求するランサムウェアは、業務を人質にすることで支払いを迫る手口。1日でも出荷が止まれば取引先や消費者への影響が即座に広がる流通業界は、攻撃者にとって格好のターゲットです。
アメリカは「ISAC」で被害の連鎖を止めた実績あり
このように、企業が心配すべき事項が増えている中で設立されたのが流通ISACです。日本で流通業界初となった流通ISACの設立発起人は以下の通り。
アサヒグループジャパン
花王
サントリーホールディングス
スギホールディングス
トライアルホールディングス
PALTAC
三井物産流通グループ
三菱食品
NTT・NTTドコモビジネス(事務局)
ISACとは、Information Sharing and Analysis Centerの略で、サイバー脅威情報を業界横断で共有・分析・連携することを推進する組織です。日々高度化・巧妙化するサイバー攻撃に1社で対抗することは難しく、同じ業界の企業が知見を持ち寄ることで、攻撃を未然に防ぐことを狙いとしています。
国内では、金融・通信・自動車など各業界に特化したISACが存在します。アメリカでは00年ごろから設置が促進されており、国内でも02年にTelecom-ISAC(現ICT-ISACの前身)が最初に設立されました。
金融業界もいち早くこのモデルを取り入れており、2014年の金融ISAC発足以来、参加企業数を拡大しながらその活動を積み重ねています。要するに、ISACとは「1社で守るのではなく、業界全体で攻撃情報を共有して先回りする仕組み」です。
なお、似た言葉にISAO(Information Sharing and Analysis Organization)があります。ISACを補完する存在で、特定の業界に縛られず、より柔軟な形で情報共有を目指す組織として位置づけられています。
アメリカでは小売・ホスピタリティ・外食・ホテル・カジノ・食品小売など消費者向け企業のサイバーセキュリティ情報共有組織「RH-ISAC(Retail & Hospitality ISAC)」を推進しています。25年、ハッカー集団Scattered Spiderがアメリカの小売大手を連続攻撃するインシデントが発生しました。
次ページが続きます:
【「参加したから安心」ではない】
