【和訳】食品加工や製造に使用されているシステムが特に狙われやすい

Food Safety Tech というサイトに9月12日付で 同紙記者による「食品安全に関する サイバー攻撃の脅威が高まっている」と題した記事がありましたので 和訳いたしま す。 副題として「食品加工や製造に使用されているシステムが特に狙われやすい」と降られています

Threat of Cyberattacks to Food Safety on the Rise


記事本文: ミネソタ大学の食品防御研究所によって 新しい報告書が発刊された。 その報告書によれば 食品産業はサイバー攻撃に狙われやすい、食品会社は セキ ュリティーとITシステムを強化する必要がある とのことである。「食品そのものもだが 、加工工程や製造工程もまたサイバー攻撃によって汚染されうる」“Adulterating More Than Food: The Cyber Risk to Food Processing and Manufacturing”、食品 会社でその加工工程や製造工程に使用されるシステムは 攻撃対象として 選定さ れやすい状況にある。よく攻撃対象に選ばれている産業の側でサイバーセキュリティ
―を向上していけばなおさら その代わりの好餌となる可能性がある。

「食品産業は ファイナンス、エネルギー、ヘルスケアなどと違って 費用の掛かるサ イバー攻撃の対象からは外されてきた」と この報告書の主筆である ステファン・スト レングは ニュースリリースの中で言う。「しかしながら 今まで攻撃対象とされてきた 産業で防御を固めていくと 攻撃は より簡単に侵入できるターゲットを探し始めるだ ろう。この報告書では 食品会社が今後立ち会うようになるであろう事態を理解し自分たちを守る方法をいかに構築していくか考えていくための助けとなることを願っている」

報告書では 2011年に研究者と製造者側で 産業界の制御システムの中に200以上 の脆弱点のある事を発見したと述べている。様々な調達先から提供されている要素 の中に 多くは 旧式なオペレーティングシステムや 乗っ取られやすいパスワードと いった形で組み込まれていることが多い。まとめ上げて言うと「会社の側で 自分の産 業の制御システムとITシステムがどう関連しているかの知識が欠如していることが多く、それがサイバー攻撃のリスクと脅威の把握の不足につながっている」と報告書は 特記する。

自分は小さな会社であるから狙われようもない と安心してはいけない と報告書は 警告する。報告書によれば アメリカの食品製造者の74%は20名未満の従業員しか 雇用していない、しかし ソフトウェア会社であるシマンテック(株)によれば 小さな会 社は 大きな会社と同じくらい、時には それ以上に攻撃対象とされている。 食品会社が どうやってこのリスクに対処していくのか?報告書は 全社で次のような 重要なステップを踏んでいくことが必要と述べる。

  • OT(生産技術)システムとIT(情報技術)システム担当者の間の溝を埋め お互いの コミュニケーションを促す
  • 在庫管理システムと ITシステムのリスク評価を行う
  • 在庫管理システム機器を購入・配置していく際に サイバーセキュリティ―の知識を持つものがメンバーとして入っていることを条件とする
  • サイバーセキュリティ―を 食品安全および食品防御カルチャーに組み入れる。

報告書全文FPDI’s full report はFPDIのサイトに置かれているので参照を。


訳者注:
記事になると 食品産業で恐ろしいことが今すぐにでもおきますよ というニュアンス で 読者の眼を引くような語りとなっていますが 報告書全文を読めば この結論は 食品産業界単独に対する警告ではなく もっと淡々とした 例えば在庫管理システム が外部の調達先にも開放されている、外部の人間が簡単にアクセスできる管理体系 であった場合 サイバー攻撃は 誰に起きても不思議ではないという論調です。


とくに 記事で黄色にハイライトした個所は報告書本文では


research by Symantec indicates that for 2015–17, small business were targeted at least as often, if not more, than large businesses


シマンテックによる調査では2015-2017年の間、小さな会社は大企業に比べて多い とまではいわないまでも同じくらい狙われた・・・であって 記事には意図的な誇張が 入り込んでいます。また、FPDIが引用した シマンテックの調査報告書でいわれてい るのは小さな会社の従業員は(会社のインターネットセキュリティーが充実していない ため)有害ソフトやスパムメールにさらされる割合が多いであって、決して在庫管理シ ステムそのものへの攻撃が多かったということではありません。

この記事が「参考になった」という方は、facebockやTwitterでのシェアをお願い致します。