アスクル攻撃で無印良品もECサイト停止 “もらい事故”から自社を守る対策4選:あらためて学ぶ「サプライチェーンリスク」
オフィス用品通販大手アスクルへの攻撃が、物流を委託する良品計画のECサイト停止に波及した。自社が直接攻撃されなくても事業が止まる「サプライチェーンリスク」の危険性と4つの対策を解説する。
2025年10月、オフィス用品通販大手のアスクルがランサムウェア(身代金要求型ウイルス)による攻撃を受け、企業が日常的に利用するオフィス用品通販のEC(電子商取引)サイトの機能が停止した。しかし、この影響はアスクルだけにとどまらなかった。アスクルの子会社に物流を委託していた良品計画(無印良品の運営会社)の国内オンラインストアとアプリケーションも、商品の閲覧や購入ができない状態に陥った。
今回のインシデントが浮き彫りにしたのは、自社のセキュリティ対策を万全にしていても、取引先のシステム障害によって事業が停止に追い込まれる「サプライチェーンリスク」だ。攻撃は個社の問題ではなく、取引先や委託先を含めたサプライチェーン全体で向き合うべき構造的な課題へと変化している。その中で企業が注意すべき点を解説する。
「巻き込まれ事故」を防ぐ4つの備え
併せて読みたいお薦め記事
サプライチェーンリスクに対処する
自社の外に原因がある事業の停止リスクに、企業はどう備えればよいのか。セキュリティベンダーAcronis Internationalは、従来の防御策だけでは不十分だと指摘する。
Acronis Internationalの日本法人でリサーチユニット(TRU)ソリューション・アーキテクトを務める杉山吉寿氏は、今回の一件が「ランサムウェアが単なるITの脅威ではなく、事業継続を揺るがす経営課題であることをあらためて浮き彫りにした」と分析する。その上で、被害を最小限に抑えるには、「守る」ことと同じくらい「迅速に復旧できる体制」が重要だと強調し、具体的な備えとして以下の4点を挙げる。
- AI(人工知能)技術で不審な動きを自動検出し、未知のマルウェアからシステムを守る多層防御を導入すること
- 攻撃を受けても書き換えられない「改ざん不可能なバックアップ」を実施すること
- バックアップが、迅速な事業復旧を可能にする「最後のとりで」になる。
- 定期的な侵入テストで自社システムの脆弱(ぜいじゃく)性を把握し、複数の認証方法を組み合わせる「多要素認証」(MFA)で不正アクセスを防ぐこと
- サプライチェーン全体を視野に入れてセキュリティ対策を実施すること
- 取引先や業務委託先のセキュリティ体制を監査し、共同でインシデント対処計画を策定することが、連鎖的な被害を防ぐ鍵となる。
クラウドサービスの利用や外部委託が当たり前になった現代、企業単体でのセキュリティ対策は限界を迎えている。今後は、取引先とリスクを共有し、共に備えるという「全体最適」の視点こそが、事業継続の生命線になる。
Copyright © ITmedia, Inc. All Rights Reserved.
本記事は制作段階でChatGPT等の生成系AIサービスを利用していますが、文責は編集部に帰属します。