![[大缶]デラックスセット](https://gigaplus.makeshop.jp/seishop/img/item/top_itemicon.webp)
物流が止まれば、国家も止まる――私たちは、食料安全保障を“農地”や“輸入先”の問題に矮小化して捉えてはいないでしょうか。しかし、現代の飢餓は畑ではなく、サーバールームから始まります。わずか3社のシステムが沈黙するだけで、日本の食卓は72時間で崩壊すると言われています。いまこそ、この国の「見落とされた急所」に目を向ける必要があります。
食料安全保障の「見落とされた急所」
日本の食料安全保障というと、米の自給率や小麦・大豆の輸入先多様化が語られがちです。もちろんそれも重要な要素ですが、緊急かつ重要でいちばん脆いのはそこではありません。
真のチョークポイントは「配給」の仕組みそのもの――すなわち、食料品を全国に届ける物流システムであると考えられます。特定の大手流通企業の基幹システムがサイバー攻撃で停止すれば、農産物や加工食品が市場に届かなくなるのです。
これは自然災害と違い、物理的インフラ(道路や倉庫、冷蔵庫)が残っていても、情報系システムが機能しなければ一斤のパンも動かすことができません。
実際、2021年には世界最大級の大手食肉加工企業JBS(本社はブラジル)がランサムウェア攻撃を受け、米国・カナダ・豪州の食肉供給が数日間混乱しました。物理的被害がゼロでも、サーバーが暗号化されただけでサプライチェーン全体が麻痺するという事実は既に証明済みの出来事となりました。
核となる3社──イオン、日本アクセス、CGC
国内の食品物流を支える基幹企業は数多く存在しますが、なかでも影響力が極めて大きいのが以下の3社です。
- イオン:国内だけで1万数千店舗、海外を含め2万1千店舗以上の小売ネットワークと独自物流網を持ち、スーパー、ドラッグストア、コンビニ、ショッピングモールを横断して商品供給。国内スーパー売上シェアは約15%。
- 日本アクセス:全国のスーパーや外食チェーンに食品を卸す最大手。2023年度の取扱高は約2.4兆円。全国に約540ヶ所の物流拠点を持ち、多くのブランドの在庫が同社の倉庫を経由する。
- CGCグループ:全国の中小スーパー約4,500店舗以上を結ぶ共同仕入れ・物流ネットワーク。地方都市や郊外の食料供給における生命線。
仮にこの3社の物流システムが同時に止まれば――食品流通のカバー率は全国の約4割に達する――72時間以内に都市部・地方を問わず壊滅的混乱が起きる可能性が高い、と言えます。
シミュレーション:攻撃から72時間の流れ
ここでは、仮にアノニマス級のハッカー集団が計画的に3社の物流システムを同時攻撃した場合を想定してみます。
0〜1時間
各社の物流管理サーバーがランサムウェアにより暗号化され、配送指示が不能に。倉庫作業員は紙の指示書も持たず立ち尽くす。トラックは出発できず、冷蔵品は庫内で時間だけが過ぎる。
1〜3時間
店舗の発注システムも停止。補充オーダーが入らず棚在庫は減少。他社はまだ事態を把握できず、物流停止が3社同時であることは分からない。
3〜6時間
初期障害報告が各地から集まり、3社同時被害の可能性が浮上。大手スーパーではパン・弁当・牛乳の棚が目に見えて減少。SNSで「〇〇スーパーで牛乳売り切れ」などの投稿が拡散。
6〜12時間
消費者が不安から買い占めに走り、都市部の主要スーパーでは加工食品・米・水がほぼ空になる。政府は「調査中」と発表するが復旧見込みは不明。
12〜24時間
外食チェーンや学校給食がメニュー縮小・提供停止を開始。医薬品・ペットフードなど他業種にも遅延が波及。
24〜48時間
冷蔵・冷凍食品の在庫劣化で廃棄が発生。地方都市では代替仕入れが不可能になり閉店が相次ぐ。SNS上ではデマや転売情報が横行。
48〜72時間
食料品供給の約4割が途絶え、都市部で買い占め騒ぎも発生。政府は自衛隊・警察による物資輸送を開始するが、需要の数%にとどまる。
実現可能性とリスク
さて、恐ろしいことに、この攻撃は現実的に十分可能です。
食品卸・小売の物流システムは、老朽化したオンプレミス環境、インターネット直結のVPN、外部委託先の脆弱なサーバーなどを使っているケースが多いからです。
国内事例では、2022年の大阪の大手運送会社でランサムウェア感染が発生し、復旧に3週間以上を要したケースが存在します。対象が食品物流の中枢だった場合、被害は全国規模に波及していた可能性があるでしょう。
また、2023年7月には、名古屋港の統一ターミナルシステム(NUTS)がランサムウェア感染により3日間停止しました。この間、約37隻の船舶の荷降ろし業務が24時間以上遅延、約2万本のコンテナ搬出入が停止したため、大手自動車メーカー等に部品が納入されず一部拠点工場が稼働停止に追い込まれました。
他国との「対応成熟度」比較
さて、このような事態は十分に発生し得るものであり、思考実験として検討されているはずです。とくに、日常的にテロの脅威と向き合っている国々では、対策が着実に進められています。
アメリカ
FEMA*と民間物流大手が緊急契約を結び、システム停止時は代替企業が即日稼働。CISA*が全国規模で脅威情報共有。2021年のJBS攻撃時には48時間で主要機能を復旧。
*FEMA:米国連邦緊急事態管理庁
*CISA:米国サイバーセキュリティ・インフラ安全保障庁
イスラエル
食料流通を国家防衛インフラに位置づけ、軍が48時間以内に直接配給可能。倉庫・配送センターに軍用ネットワークを敷設。
ドイツ・フランス
EU内で食料・医薬品を相互融通するRescEU*制度を整備。情報機関と物流大手の常時情報交換を実施。
*RescEU:EU(欧州連合)の防災・緊急対応枠組みの一部
しかしながら、日本では、ここまでの対策は講じられていないのが現状です。
日本
法的枠組みなし。複数社同時被害を想定した訓練や国家バックアップ網は存在しない。事後調整型で初動が遅れ、代替供給能力はごく限定的。
現段階においては、あくまで個社が自社のBCP対策を打っていることが前提で、何かあった場合にはその段階で国家などとも協力して対応するという流れになっています。問題はそれで大丈夫かということですが…。イオンなどの3社が同時攻撃を受けるだけで、日本中の人が飢餓状況に陥る可能性があるのです。
求められる「通常兵器以外」の防衛戦略
他国の状況も参考にしながら、最低限の備えをしておくことの優先順位は極めて高いと考えられます。具体的には以下のような対策が挙げられます。
- 物流インフラの二重化
民間ネットワークと独立した国家バックアップ網を構築し、衛星通信で制御。 - 統合サイバー防衛司令部
省庁横断で民間SOC(セキュリティ・オペレーション・センター)とリアルタイム連携する常設組織。 - 法的介入権限
物流停止を「武力攻撃に準ずる事態」と法に明記。 - 訓練の義務化
年1回以上の全国規模の物流停止訓練と監査。 - 抑止戦略
攻撃主体への報復的サイバー作戦や経済制裁オプションを確立。
21世紀の戦争は必ずしも爆弾や銃で始まるものではありません。
トラックが動かなくなり、棚が空になり、冷蔵庫が止まり、都市が静かに飢えていく――それが現代の「開戦」の形であると言えます。また、コメの自給率をあげておけばそれで良いというものではありません。
日本が守るべきは、畑から棚までの全ての経路。そして、その戦場はサーバールームの中にあるのです。
《関連コラム》
・日本の豪雪と冬将軍の正体とEU「民間防衛」の今(2024.11.25)
《 執筆者 》
SEI SHOP(セイショップ)総合プロデューサー
平井敬也(ひらいひろや)
防災士(日本防災士機構登録No.040075)、日本人間工学会会員。
1970(昭和45)年、東京都世田谷区生まれ。神奈川県横浜市在住。日本大学大学院で安全工学・人間工学を専攻。大学院修了後、大手ゲーム製造メーカーに入社、企画開発、PL(製造物責任法)担当や品質管理(ISO9000)に携わる。2001(平成13)年、災害用長期備蓄食〈サバイバル®フーズ〉の輸入卸元、株式会社セイエンタプライズ取締役に就任。阪神淡路大震災で家族が神戸で罹災、日常の防災意識や危機管理の啓蒙普及を企図した無料メールマガジン『週刊防災格言』を07年よりスタート。毎週月曜日に防災格言を発信し続け2万人の読者を得ている。
【書籍】天災人災格言集―災害はあなたにもやってくる! ¥1,650(税込)
