Research
Research

by nicoxz

アサヒGHDのサイバー防衛策が示す企業セキュリティの転換点

by nicoxz
URLをコピーしました
#ランサムウェア #ゼロトラスト #EDR #アサヒグループHD #サイバーセキュリティ

はじめに

アサヒグループホールディングス(以下、アサヒGHD)が2026年2月18日に公表したサイバー攻撃の再発防止策が、セキュリティ業界で大きな注目を集めています。2025年9月にランサムウェア攻撃を受けた同社は、侵入経路の遮断からゼロトラストモデルへの移行、EDR(Endpoint Detection and Response)の強化、そしてガバナンス体制の刷新まで、体系的な防御策を打ち出しました。専門家からは「日本の大企業として模範的な対応」との評価がある一方、ゼロトラスト全面移行にはコストや運用負荷の面で慎重論も根強くあります。本記事では、アサヒGHDの事例を軸に、日本企業のサイバー防衛の現在地と今後の方向性を解説します。

アサヒGHDを襲ったランサムウェア攻撃の全容

攻撃の経緯と侵入手法

2025年9月29日午前7時ごろ、アサヒGHDのシステムに障害が発生しました。調査の結果、障害発生の約10日前に外部の攻撃者がグループ内拠点のネットワーク機器(VPN機器とされる)を経由して侵入していたことが判明しています。攻撃者はデータセンター内でパスワードの脆弱性を悪用し、管理者権限を奪取しました。その後、奪取したアカウントを使って複数のサーバーへの侵入と偵察を繰り返す「ラテラルムーブメント(横展開)」を実行し、主に業務時間外に活動を広げていたとされています。攻撃グループは、ロシア語圏で活動するRaaS(Ransomware as a Service)グループ「Qilin」であることが確認されました。

被害の規模

攻撃によりグループの受注・出荷業務やコールセンター業務が停止する事態に陥りました。個人情報の漏えいについては、お客様相談室への問い合わせ情報約152万5,000件、社外関係者の情報約11万4,000件、退職者を含む従業員情報約10万7,000件、従業員家族の情報約16万8,000件など、合計約191万件に漏えいの可能性があると2025年11月27日に公表されています。このうち、漏えいが確認されたのは従業員5,117件、取引先関係者11万396件の合計約11万5,000件でした。トレンドマイクロの分析によれば、攻撃の最終到達地点がデータセンターであった点が特に注目されており、クラウド移行前のオンプレミス環境の脆弱性が浮き彫りになりました。

再発防止策の全体像と専門家の評価

5つの柱からなる防御策

アサヒGHDが2026年2月18日に発表した再発防止策は、以下の5つの柱で構成されています。

第一に、侵入経路の遮断です。リモートアクセスVPNの廃止と通信経路の再構築を行い、インターネット接続を安全な領域に限定する設計へと転換します。VPN機器が初期侵入の起点となった教訓を踏まえた措置です。

第二に、ゼロトラストモデルへの全面移行です。全パソコン端末をゼロトラストモデル対応端末へ完全に切り替え、安全なネットワークエリアを新設します。攻撃当時、同社はゼロトラストへの移行途上にあり、未移行の端末が被害を受けたことが分かっています。

第三に、EDRの設定強化とクラウド監視です。全端末のEDR設定を強化するとともに、クラウド環境にもEDRによる監視体制を導入し、不審な動きの検知・遮断能力を高めます。

第四に、継続的な脆弱性検証です。安全性を客観的に確認するためのペネトレーションテストを実施し、今後も定期的に脅威調査を継続します。

第五に、ガバナンス体制の強化です。情報セキュリティを管轄する独立組織と専任役員を設置し、情報セキュリティ委員会を新設しました。サイバー攻撃リスクを「経営上の最重要リスク」と位置付け、グループ全体で遵守すべき「サイバーセキュリティ基準」を制定しています。

セキュリティ専門家による評価

この再発防止策に対し、セキュリティ専門家からは高い評価の声が上がっています。特にVPNの廃止と通信経路の再設計については、「根本原因に正面から対処している」との指摘があります。また、ガバナンス改革として独立組織と専任役員を設けた点は、セキュリティを経営課題として捉える姿勢の表れと評価されています。アサヒGHDは2020年から7年計画でIT基盤の全面整備を進めており、ゼロトラストへの移行もその一環です。一方で、「過渡期の隙を突かれた」という事実は、長期計画の途上にある他の企業にとっても重要な教訓となっています。

ゼロトラスト移行をめぐる慎重論と現実的な課題

コストと人材の壁

ゼロトラスト全面導入には、セキュリティ業界でも慎重な意見が少なくありません。PwC Japanの調査によれば、ゼロトラスト実装に障壁や課題を経験した企業は全体の85%に上ります。最大の壁は「コスト(時間・人・予算)の不足」で、68.6%の企業がこの点を課題に挙げています。全体の62%が「導入によりコストが増加する」と回答し、約41%が「スタッフの増員が必要」としています。

日本企業のIT投資は売上高比1%台にとどまるのに対し、米国では3〜5%が標準とされています。アサヒGHDが米国水準のゼロトラスト対策を実現するには、従来の3〜5倍のIT予算が必要になるとの分析もあり、同程度の規模を持つ他の日本企業にとっても大きな投資判断が求められます。

運用負荷と業務への影響

ゼロトラストでは、すべてのアクセスを検証する仕組みが基本です。そのため、業務中に幾度も認証を求められるケースが生じ、工数の増加や業務効率の低下を招く恐れがあります。ガートナーは、「誰が何にアクセスすべきか」の定義を欠いたまま技術を導入すると、運用に多大な負荷をもたらすと警告しています。IIJの実態調査では、「期待する効果が得られない」という不安が36.2%、「どこから取り組むべきか分からない」が20.2%という結果も出ており、ゼロトラストの概念は浸透しつつも、実装には多くの企業が手探りの状態にあります。

段階的移行という現実解

こうした課題を踏まえ、多くのセキュリティ専門家は「一気にゼロトラスト化するのではなく、段階的な移行が現実的」と指摘しています。アサヒGHDも7年計画でIT基盤を整備しており、その過程でゼロトラスト移行を進める方針です。まずはパッチ適用・多要素認証・権限の最小化といった「足元の強化」を優先し、そのうえでクラウド設定やアクセス権限の可視化に取り組む、というアプローチが推奨されています。

注意点・展望

日本のサイバーセキュリティ環境は、大きな転換期を迎えています。警察庁の統計によると、2025年上半期のランサムウェア被害の報告件数は116件で過去最多タイとなりました。2024年通年でも222件と高水準が続いています。

2025年5月に成立した「能動的サイバー防御法」は2026年中の施行が見込まれ、基幹インフラ事業者を中心にインシデント報告義務を含む新たな規定が適用されます。対象となる約257社の基幹インフラ事業者だけでなく、そのサプライチェーンに連なる中小企業にも影響が及ぶ見通しです。

EDR市場も急成長しており、グローバルでは2025年の約51億ドルから2031年には約187億ドルへ拡大すると予測されています。アサヒGHDの事例は、事後対応から予防的・体系的な防御への転換を象徴するものであり、今後の日本企業のセキュリティ戦略に大きな影響を与えるとみられます。

まとめ

アサヒGHDが公表した再発防止策は、VPN廃止による侵入経路遮断、ゼロトラスト端末への全面移行、EDR強化、ペネトレーションテストの継続、そしてガバナンス組織の独立設置という5本柱で構成されており、体系的かつ実践的な内容です。セキュリティ専門家から高い評価を受ける一方、ゼロトラストの全面導入にはコスト・人材・運用負荷の課題があり、段階的な移行が現実的な選択肢とされています。能動的サイバー防御法の施行も控える中、アサヒGHDの取り組みは日本企業がサイバー防衛を「経営課題」として再定義するうえでの重要な先行事例となるでしょう。

参考資料:

関連記事

最新ニュース