農業や食品分野の企業がサイバー攻撃に狙われる どのように防衛しているのか

サイバー攻撃は実にさまざまな業界や団体を狙う。農業や食品分野にもランサムウェア攻撃が広がっている。これらの業界の企業はどのように防衛しているのだろうか。

[Eric Geller，Cybersecurity Dive]

　サイバー攻撃の対象になるのはIT業界や金融業界に限らない。動物の健康から作物栽培のイノベーションまで、あらゆるものが脅威にさらされる中、食品業界の企業や農業を営む企業が、外国政府の支援を受けた攻撃者の標的となるケースが増えている。

　個別の企業の対応では手が足りない。どのように対応しているのだろうか。

農業や食品分野の企業がサイバー攻撃に狙われる　どうやって防衛しているのか

　食品業界においては長年にわたり、サイバー攻撃への対処の優先度は高くなかった。病気にかかった家畜や農作物の腐敗といった、目の前で起こる業界特有の問題に経営陣が注力していたからだ。しかし、ランサムウェア攻撃や国家によるスパイ行為は食品業界においても、無視できないほど大きな混乱を引き起こすようになった。2023年5月には、清涼飲料大手のPepsiCoや食肉分野大手のTyson Foods、穀物や食品サプライチェーンに強みがあるCargill、冷蔵・冷凍食品を中核とするConagra Brandsなどの食品業界の主要企業が連携して（注1）、「Food and Agriculture ISAC」（FA-ISAC：食品・農業情報共有分析センター）を設立した（注2）。こうして、専門家たちが極めて危険な空白と表現していたサイバー防衛の領域で取り組みを進めることとなった（注3、注4）。

　FA-ISACが活動を開始して2年が経過し、同団体はこれまで以上に活動が活発化している。食品のサプライチェーンに壊滅的な影響を及ぼしかねないサイバー攻撃から、米国における食料供給を守るために各企業を支援しているからだ。同業界で被害を受けた企業には、DoleとMondelēz International（注5、注6）の他、Sysco（注7）、United Natural Foods（注8）がある。2022年に侵害を受けて製造工場を停止せざるを得なかった大手乳業企業であるHP Hoodも含まれている（注9）。

　FA-ISACのスコット・アルジャー氏（事務局長）は『Cybersecurity Dive』に対して次のように語った。

　「現在、食品業界内ではサイバーセキュリティに大きな注目が集まっている。この業界には人々の関心を引く多くの課題があるが、これまではサイバーセキュリティが常に最優先の課題に位置付けられていたわけではなかった。しかし、私たちは状況が変わりつつあるのを目にしている」

ISACが失敗するのはなぜか

　FA-ISACは設立後、何もないところから取り組みを開始したわけではなかった。食品と農業の業界は情報技術業界のISACの内部に設けられた「特別関心グループ」を通じて、サイバー脅威情報の交換やセキュリティサービスの提供をすでに受けていたからだ。独立したISACを立ち上げるに当たって、企業がこれらのリソースにアクセスできなくなることのないよう、新しい組織へと円滑に移行させる必要があった。

　「私たちは能力が全くない状態から始めたくなかった。企業は強力な機能を持つことに慣れていたし、技術プロバイダーとの間に築かれた関係もあった」（アルジャー氏）

　新しいグループは、2002年に発足して2008年に閉鎖されてしまった以前のISACとの差別化も図ろうとした（注10、注11）。過去のISACが失敗したのは、会員企業が競合他社と情報を共有することに消極的であり、情報共有が独占禁止法上の問題につながることを懸念していたためだ。しかし15年後、連邦政府による新たな法的保護と、IT-ISACでの有益な経験によって、企業は再挑戦することを決断した。アルジャー氏は「企業は互いに信頼関係を築いており、何年にもわたって成功事例を共有してきた」と語った。

　アルジャー氏によると、FA-ISACは食品と農業の業界における企業間の強固な情報共有の拠点になっているという。同氏は「私たちはより優れたデータの収集に取り組んでいる。加盟企業が積極的に情報を共有しており、その結果、業界で何が起きているのかをより正確に把握できるようになった。そして、実態を反映したインテリジェンスを提供できている」と語る。このような洞察の向上により、FA-ISACは中小企業向けのサイバーセキュリティ指針を更新して（注12）、遠隔監視や管理ツールへの攻撃といった敵対者の活動に関する、より具体的な情報を盛り込むことが可能になった。

　FA-ISACは地政学的な紛争に関する警告も発した（注13）。とりわけ深刻な脅威活動を強調する際には他の業界のISACとも連携して（注14）、研究開発を向上させるため大学と提携している（注15）。脅威レポートも発行している。2025年5月には食品企業と農業企業を狙うランサムウェア攻撃の急増を記録した報告書を公表した（注16）。

　食品業界の大手業界団体であるFMI（FMI-The Food Industry Association）において、業界内部の関係構築を担当するダグ・ベイカー氏（バイスプレジデント）は「FA-ISACから実行可能で価値のある関連性の高いリアルタイムの洞察を得ることで恩恵を受けている」と述べた。また同氏は「サプライチェーンの一部で脅威が発生した際、FA-ISACは情報を広く共有できるよう支援してくれる。これにより小売業者やサプライヤーは、混乱の拡大を予測して対応できるのだ」とも付け加えた。

　オーバーン大学のバイオセキュリティおよび国家安全保障の専門家であるロバート・ノートン氏は、これまでのFA-ISACの活動を称賛し、「最終的には小規模企業を会員に加えることで、業界のレジリエンスに長年存在してきた空白を埋めてほしい」と期待を口にした。

　FA-ISACは会員名簿の全部を公開していないが、公表に同意した企業の一部をリストに掲載しており、そこには大手企業の社名が並んでいる。アルジャー氏によると、FA-ISACには22州と4カ国に本社を置くあらゆる規模の企業が参加しており、業界団体がFA-ISACから得た情報を自らの会員に届けることも可能だという。

　FA-ISACに中小企業がどれだけ参加しているかは、ガイダンスがどこまで行き届くかを左右する重要な要素だ。十分な数の中小企業が参加すれば、FA-ISACは業界全体のサイバーセキュリティ態勢の体系的な改善を促すことができる。逆に、中小企業がFA-ISACのプログラムに参加せず助言も受けなければ、それらの企業に依存している大企業の業務を混乱させるような攻撃に対して脆弱（ぜいじゃく）な状態にとどまってしまうだろう。

CISAや米国農務省との関係は？

　FA-ISACは比較的新しい組織だが、サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）や米国農務省（USDA）を含む主要な連邦機関と迅速に関係を築いてきた。アルジャー氏によると、大量の人員流出によってCISAのリソースが逼迫（ひっぱく）しているにもかかわらず（注17）、同庁との関係は強固なまま維持されているという。FA-ISACのリーダーは少なくとも月に一度はCISAの従業員と会合を開催して、脅威活動や優先事項、作成中の出版物について意見を突き合わせているようだ。

　「ミッションを達成するために必要なCISAとUSDA内での連携は依然として維持されていると感じている」（アルジャー氏）

　トランプ政権が最近公表した「国家農場安全保障行動計画」は、FA-ISACを主要パートナーとして明記しており（注18）、これをFA-ISACの指導部は歓迎している。アルジャー氏は、この計画が自組織の「サイバー情報共有ハブとしての役割を確固たるものにした。政権は我々との連携を支持する姿勢を明確に示している」と述べた。

　FA-ISACの最大の政策上の懸念は、2015年のサイバーセキュリティ情報共有法の期限切れが迫っていることだ。同法は責任保護を創設して、食品・農業企業がISAC構想を再検討する後押しとなったからだ。アルジャー氏は、FA-ISACのメンバーは責任保護がなくても情報共有を継続する可能性が高いものの、議会が同法を再認可することを望んでいると述べた。

食品・農業分野の精密化が新たなリスクを生む

　FA-ISACを通じた継続的な連携は多様なサイバーセキュリティリスクに直面する食品・農業企業の保護に不可欠だ。

　ただし、問題が悪化している面もある。GPS誘導トラクターや作物監視ドローン、乳牛の乳量追跡システムなど、デジタルプロセスと自動化が急速に普及しているからだ。「特定の技術への依存が、これまでにない形で食品・農業分野に統合されつつある」とアルジャー氏は指摘する。これらの運用技術プラットフォームは、これまで農業従事者や食品加工業者が保管したり、保護してきた量よりも、はるかに多くのデータを生成するからだ。

　こうしたOTシステムやそれらが生成するデータへの攻撃は、食品産業が広大なサプライチェーンとつながっていることから広範な影響を及ぼす可能性がある。農場や加工工場、卸売業者、スーパーマーケットまで、消費者の食卓に食品を届けるネットワークは、多くの企業の途切れない活動に依存している。こうした相互依存関係は米国食品システムの効率性を高める一方で、各参加者をより多くのリスクにさらしている（注19）。

　「食品・農業セクターの相互接続性とジャストインタイム供給という特性は、他のセクターとは一線を画す」（アルジャー氏）

　短期間のサプライチェーンの混乱でさえ、食品・農業企業には壊滅的な打撃となり得る。その収益は他業界に見られないほど販売量に依存しているからだ。

　「だからこそサイバーセキュリティが重要だ。事業を継続させるには、継続性を維持する必要があるからだ」（アルジャー氏）

食糧安全保障にまで話が広がっている

　高度な攻撃者に立ち向かう中での事業継続は困難を伴う。食品・農業分野でもランサムウェア攻撃が発生しているものの、FA-ISACはこれらが現時点では標的型ではなく日和見的だと見ている。これは攻撃相手を特定していないという意味だ。アルジャー氏によれば、この分野の真の敵対者は、自国の体制の利益を狙って企業秘密を窃取しようとする外国政府が支援するグループだ。

　「特定の国家にとって極めて有用な種子の技術が存在する。軍事力を増強するために知的財産を窃取するのと同じように、国家主体は自国内の農業プログラムを高度化させるために、食品・農業分野の知的財産に関心を示している」（アルジャー氏）

　こうした脅威に直面しながらも、食品・農業セクターの企業は比較的短いダウンタイムでサイバー攻撃を乗り切っている。これは増大するセキュリティリスクに対処する準備が整っていることを示す有望な兆候だ。

　「サプライチェーンの一部は多少のゆがみを見せたものの、壊れてはいない。食品・農業セクターは、こうした混乱に適応する能力において一定の回復力を示している」（アルジャー氏）

出典：How the newest ISAC aims to help food and agriculture firms thwart cyberattacks（Cybersecurity Dive）
注1：Food Producers Band Together in Face of Cyber Threats（THE WALL STREET JOURNAL）
注2：Built by industry for industry.（Ag ISAC）
注3：Cybersecurity and Food Defense: Establishing an ISAC for the Food and Agriculture Sector（Food Safety）
注4：The Dangerous Weak Link in the US Food Chain（WIRED）
注5：Dole incurs $10.5M in direct costs from February ransomware attack（Cybersecurity Dive）
注6：Mondelēz retirement data breached after hacker targets law firm Bryan Cave（Cybersecurity Dive）
注7：Food distributor Sysco says cyberattack potentially leaked 125,000 Social Security numbers（The Record）
注8：United Natural Foods says cyberattack will reduce quarterly earnings（Cybersecurity Dive）
注9：Most Hood Plants Up After Cyber ‘Event,’ Schools Concerned（SECURITY WEEK）
注10：Center to assess threats, prevent food tampering（CNN）
注11：Food Sector Abandons Its ISAC（SECURITY MANAGEMENT）
注12：Cybersecurity Guide for Small and Medium-Sized Businesses（Food Ag ISAC）
注13：Food and Ag-ISAC and IT-ISAC Cyber Threat Bulletin: Iran-Israel Conflict（Food Ag ISAC）
注14：Industry groups urge vigilance as Scattered Spider evolves tactics（Cybersecurity Dive）
注15：Food and Ag-ISAC brings Purdue, PARI into University Partnership Program（PURDUE）
注16：FARM-TO-TABLE RANSOMWARE REALITIES（Food Ag ISAC）
注17：CISA workforce cut by nearly one-third so far（Cybersecurity Dive）
注18：FARM SECURITY IS NATIONAL SECURITY（USDA）
注19：AGCO ransomware attack disrupts tractor sales during U.S. planting season（Reuters）