「拠点分散=事業継続」はもう古い?サイバー攻撃時代のBCPを再考する

はじめに

2026年7月、大手食品メーカーで発生した不正アクセス事案は、システム障害の範囲が取引先・小売店まで広がる大規模なサプライチェーン障害へと発展しました。冷蔵・冷凍物流の入出庫業務や出荷業務が停止し、複数の食品メーカーや大手小売チェーンにまで影響が波及。後の調査でサイバー攻撃が原因であることが確認され、個人情報漏洩の可能性も明らかになっています。

この事案が突きつけたのは、単なる一企業のセキュリティ不備ではありません。「拠点を分散しておけば事業は継続できる」という、多くの企業が前提としてきたBCP(事業継続計画)の考え方そのものが問われる出来事でした。

何が起きたのか

該当企業のシステムは、災害対策(DR:ディザスタリカバリ)の目的で東西2拠点に構築されていました。地震や水害など自然災害を想定すれば、これは真っ当な設計です。

しかし今回、両拠点が同一のネットワークに接続されていたため、片方への侵入がもう一方にも波及し、結果として拠点を分けていた意味が失われる形になりました。影響は取引先の欠品という形でサプライチェーン全体に及び、複数の食品メーカーや外食・小売チェーンでも商品供給に支障が出ています。

本質的な論点:BCPとサイバーセキュリティは「別物」

ここに、多くの企業が見落としがちな重要な論点があります。

自然災害を想定した冗長化と、ネットワーク経由で侵入してくる攻撃への耐性は、そもそも設計思想が異なるという点です。

  • 自然災害対策としてのDR:物理的に離れた場所にシステムを複製し、片方が被災してももう片方で業務を続ける
  • サイバー攻撃対策としてのセキュリティ:侵入経路そのものを遮断・分離し、一方が侵害されても他方に波及させない

「拠点を分けているから安心」という発想は、自然災害には有効でも、ネットワークで結ばれた攻撃には通用しません。むしろ同一ネットワークで結ばれた冗長構成は、攻撃者にとって「一度の侵入で両方を止められる」都合の良い構造になってしまう危険すらあります。

復旧の鍵は「バックアップの世代管理」

現時点で個々の事案の詳細まではわかりませんが、一般論として、システムのフルバックアップを世代管理(複数世代の履歴として)で保持していれば、基本的には復元は可能なはずです。重要なのは「バックアップがあるか」ではなく、「攻撃を受けた後の状態を巻き戻せる形で残っているか」という点です。

ランサムウェア攻撃では、バックアップデータ自体が暗号化・破壊の対象になるケースも珍しくありません。オフライン保管やイミュータブル(改ざん不可)なバックアップの有無が、復旧できるかどうかの明暗を分けます。

社会インフラ企業に求められる、金融機関並みのセキュリティ投資

食品メーカーや物流など、直接「金融」を扱わない業種であっても、社会の生活インフラを支えている企業は少なくありません。今回のような事案で供給網全体が止まる規模の影響が出ることを考えれば、こうした企業にも金融機関に匹敵するレベルのセキュリティ投資が求められる段階に来ていると考えます。

ランサムウェアによる社会的混乱がこれほど頻発するようになった以上、個社の努力に委ねるだけでなく、重要インフラを支える企業群を対象とした、国レベルでのセキュリティ基準の強化も検討されるべき局面ではないでしょうか。

中堅・中小企業への示唆

大企業の事案として読み流すのではなく、自社の対策として次の点を点検してみてください。

  • DR対策を「拠点分散」だけで満足しない:ネットワーク経路が分離されているか、片方の侵害がもう片方に波及しない構成になっているかを再点検する
  • サプライチェーン経由のリスクを認識する:自社が直接の被害者でなくても、取引先・委託先の障害で自社の事業が止まるリスクがある
  • バックアップの世代管理を棚卸しする:何世代分、どの頻度で、どこに(オンライン/オフライン)保管しているかを今一度確認する
  • 予算規模に応じた対策は可能:大企業並みの予算がなくても、クラウドバックアップサービス等を活用すれば「攻撃を受けても戻せる」体制は構築できる

まとめ

「拠点を分散しているから大丈夫」という従来型BCPの安心感は、サイバー攻撃の時代には必ずしも通用しません。DRとセキュリティは似て非なるものであり、両方の観点から自社のシステム構成を見直すことが、今後ますます重要になっていくはずです。


出典:日経クロステック(2026.7.15)、日本経済新聞(2026.7.15)、当該企業公式発表(2026.7.13)

コメント

タイトルとURLをコピーしました