食品・飲料業界のサイバーセキュリティ、サプライチェーンを保護する方法とは？

多くの重要インフラと同様に、食品・飲料業界はXの進歩により多大な恩恵を受けています。モノのインターネット（IoT）、産業用IoT（IIoT）、産業用制御システム（ICS）、人工知能（AI）、クラウドコンピューティング、ビッグデータといったテクノロジーは、食品の生産、流通、そして消費を変革しました。こうした高度な自動化により、企業はプロセスの合理化による効率向上とコスト削減、人為的ミスのリスク低減による品質管理の改善、そして汚染リスク低減による食品の安全性向上を実現しています。自動化、情報技術（IT）と運用技術（OT）の連携、そしてサイバーフィジカルシステム（CPS）の活用は、食品・飲料業界に大きな利益をもたらすと同時に、産業サイバーセキュリティの面で重大な課題ももたらしています。

食品・飲料業界が直面する3つの課題

1. IT/OTの接続性

食品・飲料業界におけるサイバーフィジカルシステムは、データ処理の最適化や運用上の意思決定に活用されています。一方で、これらのシステムが現実世界とますます相互作用するようになり、サイバーセキュリティに関する懸念も高まりつつあります。

食品・飲料業界への影響：

ITとOTの融合は食品・飲料業界に大きな影響を与え、企業はリアルタイムにデータを分析し、生産性を最適化し、効率を向上することができます。IIoTセンサーなどのOT技術により、企業は温度・湿度・化学組成を監視することで品質管理を強化可能になります。また、自動化の進展と食品安全の向上は、IT/OT融合の重要な成果です。手作業が減ることで、作用効率が高まり、食品の安全性と品質も向上しました。

サイバーセキュリティへの影響：

しかしながら、攻撃対象領域の拡大に伴い、こうしたメリットを脅かすサイバーセキュリティリスクも急速に高まっています。食品・飲料事業で使用されているレガシーOTシステムは、サイバーセキュリティを考慮して開発されておらず、時代遅れのソフトウェアで稼働している可能性があり、攻撃に対して特に脆弱な状態にあります。食品・飲料企業はまた、OTシステムのセキュリティを確保するために必要なサイバーセキュリティの専門知識が不足しているという問題にも対処しなければなりません。その結果、セキュリティ上の欠陥が生じ、攻撃を受けやすくなっています。

2. 食料生産への負担

国連によると、世界人口は2050年までに98億人、今世紀末までに112億人に達すると推定されています。この憂慮すべき増加は、食料の生産と供給に大きな負担をもたらすでしょう。

食品・飲料業界への影響：

食料需要の増加に伴い、農業の生産システムではより短い期間により少ない資源で最も多くの食料を生産するというプレッシャーがかかります。これにより土地利用が拡大し、自然生態系への負荷が高まるなど、持続可能性への課題が生じます。また、水資源への圧力も高まり、農業と他セクターの間で水をめぐる競争が生じることで、水不足のリスクにもつながります。さらに、食料生産へのストレスは食品廃棄物につながり、資源の非効率利用や環境負荷、食品安全への影響など、様々な問題を引き起こす可能性があります。

サイバーセキュリティへの影響：

食品・飲料業界は、急速な人口増加によって引き起こされる問題への対策に取り組んでいます。その解決策はサイバーセキュリティリスクの増大を招くだけです。これらのリスクには、プロセスの自動化とデジタル化が進むにつれてテクノロジーへの依存が高まり、脆弱性の増大につながることが含まれます。ご覧のとおり、食品生産へのストレスはIT/OTの接続性と直接的に関連しています。組織はIIoTセンサー、コントローラー、産業用制御システムを活用してこの課題に対処しようと試みていますが、その結果、攻撃対象領域が拡大し、これまで「エアギャップ」だったOTシステムが危険にさらされることになります。さらに、グローバル化された生産と接続性の向上により、サプライチェーンは物流や輸送システムへの攻撃リスクにさらされ、脆弱な状態になっています。

3. 持続可能性の必要性

食品・飲料業界における3つ目の課題は、持続可能性の向上の必要性です。需要の増加に対応するために食品生産が増加すると、気候変動や環境悪化への影響が顕在化します。

食品・飲料業界への影響：

この国連報告書によると、食品業界は世界の温室効果ガス排出量の約3分の1、そして年間淡水取水量の約3分の2を占めています。食品業界全体では、加工、栽培、収穫、加工施設への食品の輸送、そして包装にエネルギーが必要となるため、電力消費量は非常に高くなっています。これはまた、埋立地への蓄積や陸地や海洋の汚染といった、多大な悪影響にもつながっています。食料生産量の増加に伴い、廃棄される食品廃棄物の問題も深刻化しています。廃棄された食品廃棄物は最終的に埋立地に捨てられ、分解時に大量の温室効果ガスを排出するからです。

サイバーセキュリティへの影響：

食品・飲料業界は、これらの課題と持続可能な取り組みの重要性がますます認識するようになり、徐々に実践が進んできました。しかし、こうした取り組みは、サイバーセキュリティにも大きな影響を与えています。食品・飲料業界は、コネクテッドデバイス（インターネットなどのネットワークに接続される物理的な機器のこと）の活用を通じて、精密農業やスマートパッケージングといった持続可能な慣行を導入してきました。これらの進歩は環境に貢献しましたが、新たなセキュリティリスクを生み出し、攻撃者は、ソフトウェアやハードウェアの脆弱性を悪用する可能性があり、IT/OT接続の課題も深刻化させました。持続可能な慣行の導入により、企業はデータへの依存度を高め、効率を最適化するために環境指標やサプライチェーン情報を収集する必要に迫られています。こうした膨大なデータ収集は、情報の盗難や可用性の妨害を狙う攻撃に対して、組織をより脆弱にする可能性があります。

ご覧のとおり、食品・飲料業界が直面する3つの主要な課題は密接に関連しています。1つの問題が深刻化すると、他の2つの問題にも影響を及ぼし、修復が困難になります。だからこそ、これらの相互接続されたシステムとデータをサイバー攻撃から保護することは、食品生産プロセス全体の整合性とセキュリティを維持するために不可欠です。

食品・飲料業界に影響を与えるサイバーインシデント

食品・飲料業界のサイバーセキュリティに影響を与えた注目すべき攻撃は、世界最大の食肉サプライヤーであるJBS Foodsを標的としたランサムウェアインシデントでした。攻撃中、ハッカーは同社の工場と配送業務の一部を停止させた後、1,100万ドルの身代金を要求しました。この混乱は、JBSのような大規模で24時間365日体制の生産体制を敷いており、ダウンタイムを許容できない企業にとって特に大きな打撃となりました。食肉の生産と供給への大規模な混乱は、財務的な影響に加え、食肉製品の不足、価格上昇、そして業界を悩ませている大きな課題である食料安全保障への懸念につながりました。また、企業の評判が損なわれ、消費者の信頼も損なわれました。全体として、この事件は、特に食品・飲料業界における重要インフラのサイバー攻撃に対する脆弱性を浮き彫りにし、サイバーセキュリティ対策の重要性を改めて認識させました。世界の食品業界の巨大企業が攻撃の標的となるケースが増える中、この警鐘は世界的な認識を促しました。

もう一つの重大なランサムウェア事件は、アイオワ州で60の拠点を持つ農業サービス協同組合を標的としました。 NEW Cooperative組合は、JBS Foodsが590万ドルの身代金を要求した攻撃と同様の攻撃を受けました。この攻撃により、数日間にわたって業務の遅延と混乱が生じ、コンピュータシステム、電子メール、電話システムが影響を受け、顧客からの注文の受付と処理が不可能になりました。JBSと同様に、NEW Cooperativeも業務の混乱に加え、金銭的損失と評判の失墜を被り、データとシステムを保護する能力が損なわれました。この事件を受けて、米国農務長官は国の収穫​​への支障を回避するため、協同組合に対しサイバー攻撃に対する防御を強化するよう強く求めました。JBSの事件に続くこの攻撃は、食品・飲料業界全体でサイバーセキュリティ対策への投資を強化する必要性を浮き彫りにしました。企業が重要インフラを効果的に保護し、食品サプライチェーンのレジリエンスを確保できるようにするためです。

食品・飲料業界における規制と基準

食品・飲料企業にとって、必要な規制や推奨基準への準拠は非常に複雑になる可能性があります。しかし、サイバーセキュリティの体制を強化するためには、自社の事業に適用される関連規制や基準を理解することがさらに重要です。米国食品医薬品局（FDA）の食品安全近代化法（FSMA）は、FDAが食品安全上の問題発生後の対応ではなく、予防に重点を置いています。これらの規定は、食品施設にサイバーセキュリティリスクを最小限に抑えるための予防措置の実施を義務付けることで、食品サプライチェーンの安全性とセキュリティを確保します。もう一つの広く認知された規格は、国際標準化機構（ISO）27001です。この規格は、情報セキュリティマネジメントシステム（ISMS）の構築、実装、管理のためのフレームワークとガイドラインを提供します。これらのガイドラインに従うことで、食品・飲料企業は、ますます標的が拡大している業界において、効果的なセキュリティ対策を実施し、サイバー脅威から身を守ることができます。食品・飲料業界には多くの規制や基準がありますが、最後に注目すべきベストプラクティスは、米国国立標準技術研究所（NIST）のサイバーセキュリティフレームワークです。このフレームワークは、重要インフラの所有者および運営者がサイバーセキュリティリスクを管理・軽減するのを支援することを目的としています。このフレームワークは任意ですが、世界的に認められており、組織が既存のリスク管理およびサイバーセキュリティプロセスを補完する方法でサイバーセキュリティリスクを軽減するためのガイドとして機能します。上記のサイバーセキュリティ基準および規制を導入し、遵守することは容易ではありませんが、クラロティが提供する食品・飲料業界向けサイバーセキュリティソリューションを活用することで、要件へのコンプライアンスを簡素化し、ベストプラクティスへのサポートが可能になります。

食品・飲料業界におけるOTセキュリティ確保の原則

食品・飲料の加工、生産、包装を支えるOT環境のセキュリティを確保するには、企業が以下の3つの主要原則に従う必要があります。

1. 可視性

食品・飲料業界におけるOTセキュリティ確保の主要原則は、環境内のすべてのCPS（共通基盤）を可視化することです。各工場におけるOT環境の基盤となるすべてのOT、IoT、IIoT、BMS資産の包括的なインベントリを維持することで、企業は効果的な産業サイバーセキュリティの基盤を構築できます。きめ細かなデバイス情報に基づき、何を保護する必要があるかを理解することこそ、効果的なサイバーセキュリティ戦略を策定する上で重要です。

2. 既存のITツールとワークフローをOTと統合する

多くのサイバーフィジカルシステムは、従来のITソリューションと互換性のない独自のプロトコルやレガシーシステムを使用しています。だからといって、全くOTに活用できないわけではありません。食品・飲料業界を支える環境を確実に保護するために、クラロティは、企業が既存のツールとワークフローをITとOTの両方から拡張することを推奨しています。 クラロティは、組織の既存のテクノロジースタックを拡張するのではなく、それらと統合することで、食品・飲料企業がIT環境からOT環境に至るまで、ユースケースとガバナンス領域をさらに最適化します。

3. ITセキュリティ管理とガバナンスをOTに拡張

多くのOT環境は、IT環境とは異なり、重要なサイバーセキュリティ管理と一貫したガバナンスが欠如しています。企業全体の可視性が確立され、既存のITツールとワークフローがOTと統合されると、クラロティはIT管理をOTに拡張することで、このギャップを解消するのに役立ちます。セキュリティガバナンスを統合することで、クラロティはサイバーレジリエンスとオペレーショナルレジリエンスの実現に向けたあらゆるユースケースの推進を支援します。

多くの食品・飲料企業にとって、自動化、IT/OT接続、CPSのメリットは、産業サイバーセキュリティリスクによって追い越されてきました。このブログ記事で述べたように、ランサムウェアなどの攻撃は、多くの企業の拡張型モノのインターネット（XIoT）全体のセキュリティ上の脆弱性を悪用し続けており、生産の可用性、整合性、安全性に影響を与えています。こうしたリスクを軽減し、サイバーレジリエンスとオペレーショナルレジリエンスを確立するには、従来のITソリューションの枠を超えた新たなアプローチが必要です。クラロティと提携することで、食品・飲料企業はOT環境のセキュリティを確保するための3つの主要原則を実践し、業界特有の複雑な標準や規制への準拠を確実に実現できます。

食品・飲料業界だけが標的ではないです。被害を未然に防ぐために、生産ラインを守る一歩じあなたが相談してみませんか？