先月、名古屋港のコンテナ管理システムがランサムウェア攻撃を受け、港の運営に支障が出た。その内容についての報道が出るようになって、いくつかの教訓が得られた。
名古屋港システム停止、脆弱なVPN狙われたか…最新「修正プログラム」適用せず無防備状態 : 読売新聞 (yomiuri.co.jp)
攻撃を受けて停止してしまったのは名古屋港運協会のシステムで、港湾内のコンテナの運搬や保管状況を管理していた。もともと港湾事業者は小規模事業者が多く、デジタル化が遅れている業種だった。規模が小さくてデジタル化ができないだけでなく、港湾労働者の雇用を守るために外部からの変革を受け入れない風土があったのだ。
それでも数年前からデジタル化が進んだ(*1)のだが、その際に個々の企業ではなく「協会」で共同システムを作るようにしたらしい。それはいいことなのだが、ひとつ落とし穴があった。
日本政府は、サイバーセキュリティ基本法で重要インフラ事業者14分野(*2)を指定し、所管官庁も定めていた。一般企業以上に、サイバーセキュリティ対策を実行してもらうためである。14分野中には物流業者も入っていて、このシステムを利用している100社余りはその対象企業である。しかし100社余りを束ねる立場の「協会」そのものは、重要インフラ事業者ではなく、各社へのシステムサービス提供者に過ぎなかったというわけだ。納入部品業者が業務停止して、完成品メーカーが操業停止に追い込まれたのと同じ構図。そう「サプライチェーンリスク」である。
小規模な企業を束ねている「協会」も重要インフラ事業者と考えるのか、「協会」は物流事業者への重要サービスを納入している事業者として所管官庁の監督対象とするのか、何らかの措置を検討する必要があるようだ。
