最新のISACが食品・農業企業のサイバー攻撃阻止をどのように支援するか

食品および農業企業が、動物の健康から作物のイノベーションに至るまであらゆるものを懸けて、政府支援のハッカーの標的となることが増える中、この分野の新しいサイバーセキュリティ協力グループは急速に成長する必要がありました。

長年にわたり、サイバー攻撃は食品業界の優先事項の中で低い位置にありました。経営者たちは、病気の牛や小麦の腐敗など、より明白な業界の問題に注力していました。しかし最終的には、ランサムウェア攻撃や国家によるスパイ活動が無視できないほど混乱をもたらすようになりました。2023年5月、PepsiCo、Tyson Foods、Cargill、Conagraを含む主要業界プレーヤーが協力し、食品・農業情報共有分析センター（ISAC）を設立し、専門家が独特に危険と表現していた空白を埋めました。

食品ISACの活動開始から2年、同組織はこれまで以上に多忙となっています。サプライチェーンに壊滅的な影響を及ぼしかねないサイバー攻撃から米国の食糧供給を守るため、企業を支援しています。この分野の被害企業にはDole、Mondelēz、Sysco、United Natural Foods、さらに乳業大手のHP Hoodなどがあり、2022年の侵害後に製造工場を停止せざるを得ませんでした。

「現在、業界内でサイバーセキュリティへの注目が非常に高まっています」と食品ISACのエグゼクティブディレクター、スコット・アルガイアー氏はCybersecurity Diveに語りました。「この分野には人々の関心を引く多くの問題がありますが、過去にはサイバーセキュリティが必ずしも最優先になっていなかったと思います。しかし、その状況が変わりつつあります。」

業界の団結

食品ISACが立ち上がったとき、ゼロからのスタートではありませんでした。食品・農業企業はすでに情報技術業界のISAC内の「特別関心グループ」を通じてサイバー脅威情報を交換し、セキュリティサービスを受けていました。独立したISACの立ち上げは、これらのリソースを新しいグループに移行しつつ、企業のアクセスを妨げないようにすることが求められました。

「ゼロの能力から始めたくはありませんでした」とアルガイアー氏は言います。「彼らは…これらの強力な能力を持つことに慣れていましたし、テクノロジープロバイダーとの関係も築かれていました。」

新しいグループはまた、2002年に設立され、2008年に閉鎖された以前の業界ISACとの差別化も図りました。そのグループは、メンバーが競合他社と情報を共有することに消極的であり、その行為が独占禁止法に抵触することを懸念したため失敗しました。しかし15年後、連邦政府からの新たな法的保護とIT-ISACでの有益な経験により、企業は再挑戦することを決意しました。「彼らはすでにお互いとの信頼関係を築いており、何年にもわたり情報共有の成功を収めていました」とアルガイアー氏は語ります。

現在、ISACは食品・農業企業間の強力な情報共有のハブとなっているとアルガイアー氏は述べています。「より良いデータを収集しています。会員企業が積極的に情報を共有してくれています。…業界で何が起きているかをより正確に把握でき、それを反映したインテリジェンスを作成できています。」こうした洞察の向上により、ISACはサイバーセキュリティガイダンスを更新し、中小企業向けにリモート監視・管理ツールへの攻撃など、敵対者の活動に関するより具体的な情報を提供しています。

このグループは地政学的な紛争に関するアラートを発信し、他のISACと連携して特に深刻な脅威活動を強調し、大学と提携して研究開発を強化しています。また、5月には食品・農業組織へのランサムウェア攻撃の急増を記録した脅威レポートも発表しています。

食品業界の大手業界団体FMIは、ISACの「関連性が高く、リアルタイムで実用的かつ価値のある洞察」から恩恵を受けていると、同団体の業界関係担当副社長ダグ・ベイカー氏は述べています。「サプライチェーンの一部で脅威が発生した際、彼らはそのインテリジェンスをより広く共有するのを支援してくれるため、小売業者やサプライヤーが混乱が拡大する前に予測し、対応できるようになります。」

オーバーン大学のバイオセキュリティおよび国家安全保障の専門家ロバート・ノートン氏は、これまでのISACの活動を称賛し、最終的にはより小規模な企業も会員に加えることで、業界のレジリエンスにおける長年のギャップを埋めてほしいと述べています。

ISACは会員企業の全リストを公開していませんが、公表に同意した一部の企業はすべて業界大手です。アルガイアー氏によれば、ISACには22州4か国に本社を置く「すべての規模の企業」が含まれており、業界団体がISACから会員企業へ情報を伝達できるとしています。

ISACにおける中小企業の数は、そのガイダンスがどれだけ広く届くかを左右する重要な要素です。小規模組織の強い代表性は、ISACが業界全体のサイバーセキュリティ体制を体系的に向上させる原動力となります。小規模企業がISACのプログラムに参加せず、助言を受けなければ、大企業が依存する業務を妨害するハッキングに引き続き脆弱なままとなります。

CISA、USDAとの連携

比較的新しいグループであるにもかかわらず、食品ISACはサイバーセキュリティ・インフラセキュリティ庁（CISA）や米国農務省（USDA）など、主要な連邦機関の担当者と迅速に関係を築いてきました。アルガイアー氏によれば、大規模な人員流出で同庁のリソースが圧迫されているにもかかわらず、CISAとの関係は「かなり強い」とのことです。食品ISACのリーダーは少なくとも月1回CISA職員と会い、脅威活動やミッションの優先順位、開発中の出版物について「意見交換」を行っているといいます。

「CISAやUSDAとの必要なつながりは今も維持できていると感じています」とアルガイアー氏は述べました。

トランプ政権が最近発表した国家農場安全保障行動計画では、食品ISACが主要なパートナーとして明記されており、これはグループのリーダーシップを勇気づけました。アルガイアー氏は、この計画が自グループのサイバーインテリジェンス共有ハブとしての役割を「確固たるものにした」と述べ、「政権は私たちとの連携に対する支援を非常に明確に示しています」と話しました。

ISACの最大の政策上の懸念は、2015年サイバーセキュリティ情報共有法の失効が迫っていることです。この法律は、食品・農業企業がISACのアイデアを再検討するきっかけとなった責任免除を創設しました。アルガイアー氏は、議会がこの法律を再承認することを期待していると述べましたが、たとえ責任免除がなくてもISACメンバーは引き続き情報共有を続ける可能性が高いとしています。

リスクを伴う精密化

ISACを通じた継続的な協力は、多様なサイバーセキュリティリスクに直面する食品・農業ビジネスを守る上で不可欠です。

懸念の多くは、GPS搭載トラクターや作物監視用ドローン、牛の乳量を追跡するシステムなど、デジタルプロセスや自動化の利用拡大から生じています。「一部のテクノロジーへの依存が、これまでにない形で食品・農業分野に統合されつつあります」とアルガイアー氏は述べています。これらの運用技術（OT）プラットフォームはまた、従来の農家や食品加工業者が保存（および保護）してきた以上に大量のデータを生成します。

これらのOTシステムや生成されるデータへの攻撃は、食品業界の広大なサプライチェーンのため、広範囲に影響を及ぼす可能性があります。農場から加工工場、卸売業者、スーパーマーケットまで、消費者の食卓に食料を届けるネットワークは、多くの企業の途切れない活動に依存しています。こうした相互依存性は米国の食糧システムを効率化する一方で、参加するそれぞれの企業をより多くのリスクにさらしています。

「食品・農業分野の相互接続性とジャストインタイム配送の側面は、他の分野とは異なる独自性を持っています」とアルガイアー氏は述べています。

短期間のサプライチェーンの混乱でさえ、食品・農業企業にとっては壊滅的となり得ます。なぜなら、他の分野にはないほど売上が取扱量に大きく依存しているからです。

「だからこそ、サイバーセキュリティがより重要になるのです」とアルガイアー氏は語ります。「事業を継続するためには、継続性を維持する必要があります。」

攻撃的な敵対者、決意ある防御者

事業を継続することは、高度なハッカーと対峙する際には困難を伴うことがあります。食品・農業分野はランサムウェア攻撃を経験していますが、ISACはこれまでのところ標的型ではなく機会型であると考えています。アルガイアー氏によれば、この分野の真の敵は、自国の利益のために企業秘密を盗もうとする政府支援のハッカーです。

「一部の他国にとって非常に有用な種子技術があります」とアルガイアー氏は述べます。「彼らが軍事力を高めるために知的財産を盗むのと同じように、国家主体は自国内の農業プログラムを強化するために、食品・農業分野の知的財産に関心を持っています。」

多くの脅威に直面しながらも、この分野の企業は比較的短いダウンタイムでサイバー攻撃を乗り越えており、セキュリティリスクの高まりに対応する準備ができていることを示す有望な兆候です。

「これらのサプライチェーンの中には…多少曲がることはあっても、壊れてはいません」とアルガイアー氏は語ります。「この分野は、こうした混乱に適応する能力において、一定のレジリエンスを示しています。」