アサヒグループジャパン株式会社、NTT株式会社、株式会社トライアルホールディングス、三菱食品株式会社は、2026年4月6日、流通業界初となるISAC(Information Sharing and Analysis Center)「流通ISAC」を2026年4月中に設立すると発表した。
設立発起人には花王株式会社、サントリーホールディングス株式会社、スギホールディングス株式会社、株式会社PALTAC、三井物産流通グループ株式会社も名を連ねる。NTT株式会社およびNTTドコモビジネス株式会社が事務局を担う。本ISACは、製造・卸・小売の三業態を横断してサイバー脅威情報・インシデント情報の共有・分析を行い、流通業界全体のサイバーセキュリティ対策の強化を目的とする。経済産業省はオブザーバーとして参加する予定だ。
From: 
流通業界初、サイバーセキュリティ強化に向けて製造・卸・小売業界横断で情報共有・分析を行う「流通ISAC」を設立
【編集部解説】
「食品が届かない」という事態が、サイバー攻撃によって現実のものとなりつつあります。
2025年9月、ランサムウェア集団「Qilin(キリン)」によるアサヒグループホールディングス株式会社(アサヒGHD)への攻撃は、日本の流通業界が抱えるリスクの深刻さを改めて可視化しました。国内30工場が生産停止に追い込まれ、セブン-イレブンやファミリーマートのPB商品が出荷停止となるなど、その影響は競合他社にまで波及。同年10月にはアスクルも攻撃を受け、無印良品(MUJI)やロフト(LOFT)の物流にまで支障が及びました。なお、今回の流通ISAC設立発起人として名を連ねるのは、アサヒGHDの国内事業子会社であるアサヒグループジャパン株式会社です。身内が直接被害を経験したグループが設立を主導するという点に、この取り組みの切実さが滲み出ています。
ISACとは何かを簡単に説明しておきましょう。ISACとは「情報共有・分析センター(Information Sharing and Analysis Center)」の略で、業界横断でサイバー脅威の情報を共有・分析するための非営利組織です。世界では1999年に金融業界のFS-ISACが設立されたのを皮切りに、エネルギー、航空宇宙、小売・ホスピタリティ(RH-ISAC)など多くの業種に広がっています。日本では2002年に通信業界のTelecom-ISAC Japanが設立されており、今回の流通ISACはそれに続く形となります。
特筆すべきは、今回の枠組みが「競合他社同士が手を組む」という点です。アサヒグループジャパン、サントリーホールディングス、花王という競合・協力関係が混在する企業群が、セキュリティという一点において情報を共有します。これは、サイバー攻撃が競争優位とは無関係に業界全体を脅かすという認識が、ようやく経営レベルまで浸透してきた証左と言えるでしょう。
ポジティブな側面として、IoC情報(攻撃パターンを定義した侵害の痕跡情報)がリアルタイムで会員企業間に共有されることで、一社が攻撃を受けた段階で他社が即座に防御策を講じられるようになります。また、業界特性を踏まえたベストプラクティスの整備は、とりわけ中小の取引先企業にとって、専任のセキュリティ担当者がいなくても対応水準を引き上げられるという実質的なメリットをもたらします。
一方、注意すべき課題もあります。ISACの有効性は「情報をどれだけ正直に共有できるか」に直結します。インシデントを共有することは、企業の評判リスクや法的責任と直接結びつくため、どの企業も積極的な情報開示に二の足を踏みがちです。米国のRH-ISACが長年にわたって信頼の醸成に取り組んできた経緯を踏まえると、流通ISACが実質的な情報共有機関として機能するまでには、制度設計と参加企業間の信頼構築に相応の時間を要するはずです。
規制面でも動きが出ています。経済産業省がオブザーバーとして参画するこの枠組みは、2025年に成立した「能動的サイバー防御」関連法の流れとも呼応しています。官民連携のモデルケースとして、将来的には重要インフラ指定や調達要件への組み込みも視野に入るでしょう。
長期的な視点で見れば、この取り組みの意義はセキュリティの範囲を超えます。食料品・日用品のサプライチェーンが「デジタルインフラ」として社会に組み込まれた今、サイバーレジリエンスは食料安全保障と表裏一体の問題です。流通ISACが単なる情報交換の場に留まらず、業界のセキュリティ水準を底上げする「共助のプラットフォーム」として機能するかどうか、今後の活動に注目が集まります。
【用語解説】
ランサムウェア
「身代金要求型ウイルス」とも呼ばれるマルウェアの一種である。感染した企業のデータやシステムを暗号化して使用不能にし、復旧と引き換えに金銭を要求する攻撃手法。近年は「RaaS(Ransomware-as-a-Service)」と呼ばれるビジネスモデルで組織化・分業化が進んでおり、攻撃の規模と頻度が急増している。
Qilin(キリン)
2025年に特に活発化したランサムウェア集団の名称である。RaaSモデルを採用し、攻撃の開発者と実行犯を分業化した組織体制をとる。2025年9月にアサヒグループホールディングスへの攻撃を行ったグループとして確認されており、年間800件以上の被害組織を自ら運営するリークサイトに掲載したことが確認されている。
IoC(Indicator of Compromise/侵害の痕跡)
サイバー攻撃が発生した際に残る「痕跡」を定義したデータのことである。攻撃に使われたIPアドレス、ファイルのハッシュ値、マルウェアの特徴パターンなどが含まれる。ISACがこの情報を会員企業間で迅速に共有することで、他の企業が同様の攻撃を未然に防ぐことができる。
サプライチェーン攻撃
特定の企業を直接狙うのではなく、その企業と取引・連携関係にある別の企業(サプライヤー)を踏み台にして侵入するサイバー攻撃手法である。防御が手薄な中小取引先を入口にすることが多く、最終的に大企業や業界全体へ被害が連鎖するのが特徴だ。IPAの「情報セキュリティ10大脅威」では2024年版において組織の脅威第2位に位置づけられている。
能動的サイバー防御
2025年5月に関連法が成立した日本の新たなサイバーセキュリティ戦略の概念である。これまでの「攻撃を受けてから対処する」受動的な姿勢から転換し、脅威を事前に把握・排除するための積極的な対応を国家レベルで可能にする枠組みだ。国家サイバー統括室の設置もこの法律に基づく。
【参考リンク】
NTT株式会社(外部)
日本最大の通信グループの持ち株会社。流通ISACの事務局を担い、グループのサイバーセキュリティ知見を活かした運営を主導する。
株式会社トライアルホールディングス(外部)
九州地盤のディスカウントストアチェーンを傘下に持つ持株会社。AIを活用したリテールDXで知られる流通業界の革新企業。
三菱食品株式会社(外部)
三菱グループの食品総合卸売企業。食品卸業界で高い存在感を持ち、製造・卸・小売の三層構造における「卸」の中核を担う。
FS-ISAC(Financial Services ISAC)(外部)
1999年設立の世界初のISAC。金融業界のサイバーセキュリティ情報共有の草分けとして、流通ISACの参照モデルとなる組織。
RH-ISAC(Retail & Hospitality ISAC)(外部)
米国の小売・ホスピタリティ業界向けISAC。2,000名超のアナリストが参加し、流通ISACの最も近い先行事例として注目される。
ICT-ISAC Japan(外部)
2002年設立のTelecom-ISAC Japanを前身とする日本の情報共有・分析センター。日本におけるISACの先例として流通ISACの参考モデルとなる。
【参考記事】
JNSAセキュリティ10大ニュース 2025年版(JNSA)(外部)
アサヒGHD・アスクルへの攻撃を第1位に選出。約191万件の情報漏洩リスクと連鎖被害の実態を記録した専門家による一次資料。
アサヒGHDへのサイバー攻撃が突きつけた「日本企業の盲点」(CIO.com)(外部)
国内30工場停止、PB商品出荷停止など攻撃の波及範囲を詳述。競合他社の年末商戦にまで影響が及んだ構造的リスクを解説する。
2025年最新版 サイバー攻撃対策ガイド(ISM Cloud One)(外部)
ランサムウェア被害の約60%が中小企業、2025年上半期の被害報告が前年比22%増など具体的な数値をもとに現状を解説する記事。
アサヒグループへのサイバー攻撃と露呈した重大なリスク(PTS Insights)(外部)
Qilinの組織構造と年間800件超のリークサイト掲載実績を解説。製造・流通業務の実際の停止被害を詳述した記事。
What is an ISAC?(Anomali)(外部)
ISACの起源から現在のグローバルな広がりまでを体系的に解説した英語資料。1999年のFS-ISAC設立から現在に至る歴史も網羅する。
RH-ISAC LinkSECURE プログラム発表(RH-ISAC)(外部)
RH-ISACが2024年10月に発表したサプライチェーン向けセキュリティプログラム。流通ISACが直面する課題の比較事例として有用な資料。
【編集部後記】
「サイバー攻撃は自分たちには関係ない」と思っていたら、気づけばスーパーの棚が空になっていた——そんな時代がすでに始まっています。流通ISACの設立は、その現実への業界の答えのひとつです。
みなさんは、自分が関わる業界や組織の「集団防御力」について、考えたことはありますか?私たちも一緒に考え続けていきたいと思っています。
