ニチレイのサイバー攻撃対応——障害当日の「遮断の即断」は平時の準備でしか作れない
ニチレイが7月13日のシステム障害についてサイバー攻撃を受けたことを公表し、17日からの業務再開計画を示した。KFCやイオン、くら寿司まで影響が波及したこの事案は、攻撃の中身よりも「対応の順番」にこそ、システムを運用するすべての企業が学ぶべき点があると私は考えている。事実関係を整理した上で、現場PMの目線で見解を書く。
出典: ニチレイ、システム障害はサイバー攻撃によるものと公表 17日から出荷業務など順次再開へ (ITmedia NEWS)
要点 (事実のみ)
- ニチレイは7月15日、13日に発生したシステム障害について、同社サーバがサイバー攻撃を受けたことを確認したと発表した
- 障害発生当日の13日に緊急対策本部を設置。個人情報や顧客データの保護を最優先として、グループで使用しているシステムの遮断措置を講じた
- 遮断に伴い、ニチレイロジグループ各社の冷蔵倉庫の入出庫業務と、ニチレイフーズの冷凍食品出荷業務に支障が出ている
- 被害サーバの一部に個人情報が保管されていたため、漏えいの可能性がある事案として個人情報保護委員会に報告済み。漏えいは現時点で判明していない
- 攻撃の詳細は「さらなる被害の拡大を防ぐため」として開示を控えている。影響業務は外部のセキュリティ専門会社と安全対策を講じた上で、17日から順次再開予定
- 影響は取引先に波及し、KFC全店舗での一部品切れ・臨時休業の可能性、イオンの一部欠品、くら寿司の食材配送の遅れ・未着、ほっともっと/やよい軒の納品遅れが報じられている
高畑 拓海の見解
まず、対応の初動は評価できる点が多いと感じた。障害当日に緊急対策本部を設置し、個人情報保護を最優先にシステム遮断を即断している。出荷業務が止まることを承知の上での遮断は、事業側から強い反発が出やすい判断だ。それを当日中に実行できたという事実は、「誰が・どの基準で・何を止めてよいか」が平時から決まっていたことをうかがわせる。個人情報保護委員会への報告を漏えい判明前に先回りで行っている点も、セオリー通りの動きだ。
一方で、現場目線で重く受け止めるべきなのは波及範囲のほうだと思う。KFC、イオン、くら寿司、ほっともっと——自社のシステムが無事でも、委託先1社の障害で店頭の商品が消える。私は顧客のシステムの保守や障害対応に関わる立場だが、発注側企業のBCPで「委託先のシステム障害」まで想定できているケースは正直多くない。障害対応の計画というと自社システムの復旧手順を思い浮かべがちだが、この事案が示したのは「依存先が止まったときに自社の業務をどう回すか」という逆側の問いだ。
実務で考えると、規模の大小を問わずやれることは3つある。①遮断・停止の判断基準と権限者を平時に文書化しておく (当日にゼロから議論して間に合うものではない)。②主要な委託先・外部システムが止まった場合の代替手順を、手運用でよいので決めておく。③「いつから・何を・どの順で再開するか」を関係者に伝える型を持つ——ニチレイの「17日から順次再開」という発信は、取引先が自社の対応を計画するための情報になっている。完璧な防御は現実には難しい以上、攻撃を前提にした「止まり方」と「戻り方」の設計こそが、運用できるセキュリティ対策だと私は考えている。
(編集レンズ: 慎重・リスク管理目線 / 顧客・PM目線)