ピックアップテーマ
記事のなかから多くの読者が「もっと知りたい」とした話題を掘り下げる「インサイト」。今回は「無印良品ECサイト停止、アスクルの障害が原因」(10月20日掲載)をピックアップしました。LOGISTICS TODAY編集部では今後も読者参加型の編集体制を強化・拡充してまいります。引き続き、読者の皆さまのご協力をお願いします。(編集部)
◇
ロジスティクス9月29日にアサヒグループホールディングス(GHD)が、また10月19日にはアスクルが、相次いでサイバー攻撃によるランサムウェア感染で受注や出荷停止に追い込まれたことを発表した。影響は共同物流を実施する企業、物流を委託する事業者へと波及し、この原稿執筆時点(10月末)、いまだ復旧の見通しは報告されていない。
▲達城久裕社長
物流の要が止まれば、社会はたちまち揺らぐことが証明されてしまった。関通もまた、昨年同じ経験をしただけに、達城久裕社長はこうした報道に心を傷める。達城氏は、社内システムの完全停止による物流サービス事業としての存続の危機に際し、即座に外部ネットワークの遮断、対策チームの立ち上げ、既存のネットワークやPCの廃棄・総入れ替え、一部業務のアナログ対応への切り替えなどの対応策を矢継ぎ早に決断した。さらに、外部関係者との連携・情報公開とともに社内の情報共有にも力を尽くすなど、正常化への取り組みにスピード感を持って対応した結果、50日間という日数を要したが完全復旧を果たし、同社は現在“逆襲”のフェーズに入っている。
関通にとってあまりにも苦い経験だったが、間違いなく今後に生かせる教訓は得た。今後、ますます巧妙化、先鋭化するサイバー攻撃への防御策は大切だが、「イタチごっこ」の面も否めない。達城社長は、「攻撃は防ぎきれない。だからこそ“復旧の速さ”で無力化する」との結論にたどり着いた。防御投資一辺倒ではなく、いかに早く復旧できるか、そのスピードと精度を上げる取り組みの重要性を訴える。
忘れもしない9月12日に有事訓練、安全への妥協なき姿勢
ことし9月12日。「攻撃からちょうど1周年」と達城氏が語る忘れられないこの日、関通は実機を止めて代替サーバーを立ち上げる“実働有事訓練”を断行した。マニュアルを置き、現場は分単位で動く。想定外の齟齬を洗い出し、手順を上書きし、頻度を上げる。「火災訓練と同じ。繰り返して練度を上げ、機能する対策とすることを目指す。例え侵入されたとしても、短時間で戻せるなら被害は実質“ゼロ”にできる」(達城氏)。有事を「演習」ではなく「運用」に織り込む発想である。
「バックアップはあっても、いざというときに使えるかの検証が足りない」(達城氏)ことにも、自社の経験をもとに警鐘を鳴らす。関通では、バックアップごと攻撃されたことが復旧に時間を要する原因になったとして、その“置き場所”や“突破後の経路”を自分たちの手で確立しておくこと、行動できることが要であるとの教訓を生かす。
日常的な訓練、常設の復旧対策チームなど、常に有事を想定しておかなければ、いざというときに機能などしないが、「セキュリティ対策」としてそこまで徹底している企業は多くないだろう。端末監視、持ち出し制御、暗号化の徹底と並行し、復旧経路の二重三重化を実装し、有事に機能するする「プランB」を持っていることが、被害を最小限に抑えるためには必須なのである。
「仮にまた同じように攻撃を受けても、前回と同じ手順を“より速く、より正確に”やり切る。被害は“くしゃみ”程度に抑える」(達城氏)。関通が掲げるのは、被害の不可避性を前提にした“無力化”の思想だ。
CYBER GOVERNANCE LABで問う、「自社セキュリティーレベルを把握しているか」
サイバー攻撃被害の経験から関通はことし、情報セキュリティー企業CISO(東京都港区)とともに「CYBER GOVERNANCE LAB」(CBL、サイバーガバナンスラボ)を設立。防御方法とともに、攻撃を受けた後にどう動くかを設計・訓練する“実践型の支援プログラム”として、加盟企業も増加している。達城氏はまた、事件の経緯を赤裸々に記録した書籍「サイバー攻撃その瞬間 社長の決定 被害企業のリアルストーリー」を出版し、その中でも貴重な体験談とともにCBL参加の意義を呼びかけている。
▲CYBER GOVERNANCE LAB ロゴマーク
セキュリティー対策にどれくらいの費用をかけるべきなのか、企業にとっては判断が難しいところだろう。関通が完全復旧までに要した50日間、被害額17億円という数字を大きいと見るか、よくそれだけで済んだと評価するか、各々の事業規模に応じて試算してみるのも、大事なリスク対策といえる。さらにアサヒGHDやアスクルではどれくらいの被害額となるのか、逸失利益などが明らかになれば、そうならないためにどれだけの投資が必要か、1つの指標となるだろう。
「CBLに相談してもらえれば、まず被害想定額を算出することも可能。それを見ればセキュリティー対策への投資がなぜ必要か、理解してもらえるはず」と達城氏は語る。
攻撃側は連携や専門分業化、さらには国家的な関与の可能性など、組織としての攻撃力を高めている。一方、受けて立つ側は単体で知識も集積せず、孤立無援での対応を迫られる。「CGLに、より多くの知見やアイデアを集めることが、組織化する攻撃側への対応となるはず。事前の備えよりも、むしろ事後、実際に被害にあったときこそ、活用してもらいたい」(達城氏)と語る。
各社も、セキュリティー対策としてその領域の専門家との連携体制を組んでいることだろう。しかし、達城氏はこの点においても“経験者”ならではの教訓を得たという。「専門家といっても、“原因調査”にばかり力を入れる専門家と、復旧に向けて寄り添う専門家では全然違う」(達城氏)ことを体感したことも、CGL設立のきっかけである。ただ、状況説明の資料作りではなく、しっかりと企業の難局に伴走できる専門家となり、「将来的にはCGLが5000社ほどのネットワークで、日本企業の横連携で犯罪集団と対峙する、そんなプラットフォームのようなものにできれば」(達城氏)という。
達城社長は経営層に呼びかける。「毎月の役員会に、少なくとも“当社のセキュリティーレベル”を必ず議題に上げてほしい。『突破されたら何分で戻せるのか』を経営が握るべきだ」。
DX・共同化を止めないために、セキュリティー対策の精度と練度を高めよ
サイバー攻撃の事例では、DX(デジタルトランスフォーメーション)や共同化など、物流効率化に不可欠な取り組みの“弱点”も露呈した。対応策として、ファクスや電話対応などのアナログ回帰の準備も必要かとの問いかけを、達城氏は一蹴する。
「DXや共同物流は不可欠、大前提であることは間違いない。だからこそ、その領域でもしっかりと“プランB”を常設しておくことから逃げてはいけない」(達城氏)。共同物流となれば、データの持ち方、バックアップの置き方、切り替えの手順など、“プランB”の確立もより複雑になるだろうが、「そこまでしっかりと、もはやマニュアルを必要としないほどに、あらゆる状況の復旧対応策を業務の一環として身につけているかが問われる」と語り、効率化への取り組みをサイバー攻撃を理由に停滞させてしまうことこそナンセンスだと語る。
もちろん、そのほか取り組むべきことは山ほどある。アサヒGHDやアスクルは、今後個人情報が漏洩したかどうかが、企業対応の焦点の1つとなるだろう。個人情報保護法により、個人情報の漏えいなどが発生した場合、個人情報保護委員会への報告など法的な対応が義務付けられ、処理すべき事柄もより煩雑に、果たすべき責任も重くなる。関通では、個人情報の暗号化手法について、個人情報保護委員会のお墨付きを得たものとするべく取り組んでいるという。万が一、個人情報が抜き取られたとしても、解析できないものとして報告の必要がなくなれば、被害企業にとっては重荷を1つ下ろすことができるだろう。CGLの企業ネットワークは、こうした取り組みや成果をそれぞれに積み上げていく場ともなる。
人間としての痛み−“同じ被害にあう企業”を無くすために
サイバー攻撃被害の報に触れるたび、達城社長は身につまされるという。アサヒGHDが「一部アナログ業務で業務再開」との報道には、自社の対応工程を思い返すとして、復旧までの道のりの厳しさ、関係者の苦労を思いやった。その人間らしさが、決意へと転化する。「だから同じ痛みを無くしたい。連携し、復旧で無力化する企業を増やしたい」。守る側が個社単位では勝てない時代に、関通だからこその説得力ある提案、実効力ある取り組みこそが、止まらない物流を取り戻すための武器になるだろう。(大津鉄也)
LOGISTICS TODAYでは、メール会員向けに、朝刊(平日7時)・夕刊(16時)のニュースメールを配信しています。業界の最新動向に加え、物流に関わる方に役立つイベントや注目のサービス情報もお届けします。
ご登録は無料です。確かな情報を、日々の業務にぜひお役立てください。
