第1章 『アサヒ事件が映した"依存構造の崩壊"』- アサヒグループHD ランサムウェア被害の概要
アサヒグループが被害に遭ったランサムウェアは、過去10年以上に渡って企業や政府や自治体を悩ませてきたものであり、特にQilinのようなRaaS(ランサムウェアをサービスとして開発する主体がいて、攻撃対象を探して攻撃する主体がいる分業体制のランサムウェア形態。一種のビジネスモデルが成立している)になると、潜在的にどの企業が被害に遭ってもおかしくないような現実があります。
経営者がランサムウェア対策の筆頭に立つ必要があり、CIO/情シスは常時最新情報を収集して(サイバーセキュリティインテリジェンス)、自社のシステムに対策が必要なら迅速に施す必要があります。毎日戦時に準じる状態であることを銘記すべきでしょう。
第1章 『アサヒ事件が映した"依存構造の崩壊"』
導入:アサヒグループHD ランサムウェア被害の概要
2025年9月29日朝、国内最大手のビールメーカーであるアサヒグループホールディングス(以下、アサヒGHD)のシステムが突然ストップしました。社内サーバーが外部からのサイバー攻撃を受け、受注システムと出荷システムが機能不全に陥ったのです。社内に緊急対策本部が立ち上げられ調査が進められた結果、原因は身代金要求型のウイルス、いわゆるランサムウェアによるものだと判明しました。被害拡大を防ぐため同社は障害発生源のシステムを遮断し、社外からのメール受信も停止する事態となりました。これにより日本国内のグループ各社で受注や出荷、コールセンター対応といった業務が完全に停止してしまったのです。
被害の公表から数日が経っても復旧の目途は立たず、工場の生産ラインは次々と停止し始めました。最終的には日本国内にある30箇所の製造拠点の大半で生産がストップする異常事態となります。アサヒGHDは「お客様への商品の供給を最優先」と掲げ、各現場で紙と電話による手作業の受注に切り替えて出荷再開を試みました。しかしデジタルシステムを失った業務の効率は著しく低下し、その受注処理量は通常時に比べ大幅に減少せざるを得ませんでした。攻撃から数日後にはコンビニエンスストア店頭や飲食店に商品が行き渡らなくなり、品薄・欠品が広がり始めたのです。今回のランサムウェア攻撃は、企業活動が見えないITシステムにどれだけ依存しているかを如実に示しました。一つのサイバー事件が引き金となり、企業全体の業務が根幹から揺らぐ――まさに「依存構造の崩壊」とも言える現象が目の前で起こったのです。
出荷停止がもたらす顧客・収益・信用への打撃
出荷ラインの停止は即座に広範な波及効果を生みました。まず顧客対応の面では、全国の小売店が在庫不足に直面します。セブン‐イレブン等のコンビニ各社は、人気商品のアサヒ「スーパードライ」ビールや清涼飲料水(例:三ツ矢サイダー)の納品停止を受けて、店舗で品薄時に掲示する案内文の準備を始めました。外食産業も例外ではなく、とある焼き鳥店では提供していた生ビール樽が残り1本となり、「お客さんに人気のスーパードライが出せなくなるのは困る」と悲鳴を上げています。このように最終消費者への供給網に直結する出荷停止は、顧客満足度や信頼を直撃し、対応に追われる取引先にも混乱を広げました。
収益面への影響も深刻です。今回、アサヒGHDは日本国内の生産を事実上一時停止せざるを得なくなりましたが、その売上機会の喪失は巨額にのぼる可能性があります。類似の事例として、2025年9月に英国ジャガー・ランドローバー社がサイバー攻撃で約1ヶ月間生産停止に追い込まれ、週あたり少なくとも5,000万ポンド(約100億円)の損失が発生したと報じられています。アサヒGHDも年間売上収益2.9兆円規模の企業であり、出荷停止が長引けばそれに匹敵する売上減となりかねません。実際、本件で復旧の遅れが伝わるとアサヒGHDの株価は週内に約12%下落し、投資家からも業績悪化への強い懸念が示されました。
さらに長期的な信用への打撃も無視できません。製品供給の滞りは流通業者や取引先との関係悪化を招くリスクがあります。事実、今回の混乱で一部の外食チェーンは代替ビールメーカーへの切替えを検討する事態となりました。ラーメンチェーン大手の物語コーポレーションは「在庫が尽きれば他社製品に切り替える」方針を表明し、木曽路(しゃぶしゃぶ店チェーン)もキリンやサントリーへの切替えを視野に入れています。供給が止まれば顧客は離れ、競合他社に市場を奪われる恐れがあるのです。以上のように、出荷ライン停止は単なる一企業内の問題にとどまらず、取引先や消費者を巻き込んで信用不安と経済的損失を連鎖的に生み出す本質的リスクを孕んでいます。
IT障害がOTに波及する危険な構造
今回の事件で際立ったのは、IT領域の障害が工場稼働などOT(Operational Technology、運用技術:制御システムや生産設備のこと)領域にまで及ぶ危険性です。アサヒGHDでは受注・出荷システムという情報系(IT)の停止が、実際の製造ラインという現場系(OT)の停止に直結しました。元来、工場の生産設備は現場ごとに独立して動くものでした。しかし現在では、製造計画や在庫管理が中央のITシステムと統合されているため、IT側が止まれば原材料の手配や出荷指示が滞り、生産を続けること自体が困難になります。アサヒGHDもサイバー攻撃への緊急対策として社内ネットワークを遮断せざるを得ず、その結果として全国工場への指示系統が途絶し生産中断に至りました。まさにITとOTのシステム連携が進んだがゆえに、IT障害が物理世界の停止という深刻な結果を招いたのです。
近年、製造業を標的にしたランサムウェア攻撃は世界的に増加傾向にあります。攻撃者は単に機密データを盗むだけでなく、企業の生産活動そのものを人質にとり金銭を要求する手口を多用し始めました。製造ラインや物流を麻痺させることで企業にプレッシャーを与え、身代金支払いを迫るのです。とりわけ日本企業は「止まらない生産」「ジャストインタイム」の文化を持ち、ダウンタイム(稼働停止)に極めて敏感です。その弱みを攻撃者に突かれていると言えます。実際、今回のケースでも攻撃は社内オフィスのITシステムから工場ネットワークへと侵入を広げ、最終的に物流システムにまで達したと専門家は指摘しています。従来型の境界防御だけでは防げない深部への侵入を許した点に、ITとOTが接続された現代のリスク構造が表れています。
集約化されたシステムと単一障害点(SPOF)の問題
アサヒGHDではグループ全体で受注・出荷を管理する集中システムが攻撃されましたが、これこそが「単一障害点(Single Point of Failure)」の罠でした。近年、多くの企業は業務効率化のため基幹システムを集約・統合しています。受注から在庫管理、物流に至るまで一元管理することで無駄を省き、データ活用も進むというメリットがあります。しかし一方で、システムが一箇所に集中すればそこが倒れたときに全体が崩れるというリスクも肥大化します。今回のアサヒGHDの例では、その集中システムが人質にとられた結果、ビール・飲料・食品など事業分野の垣根を超えて国内すべての事業子会社で業務が停止する事態となりました。言い換えれば、「全社で依存する単一点」が攻撃者によって突かれてしまったのです。
このように単一のサイバー攻撃が工場の生産現場からコンビニの店頭に至るまで波及してしまう現実は、日本企業のサプライチェーン構造の脆さを浮き彫りにしました。高度に最適化された物流・デジタルネットワークほど、一箇所での障害が全体を巻き込む危険性が高まります。今回、アサヒGHDは国内30工場の生産停止という未曾有の事態に直面しましたが、その背景には「ボトルネックとなる集中システムをどれだけ冗長化・防御できていたか」という問いが突き付けられます。効率優先で見過ごされがちな単一障害点への備えが十分でなかったことが、この事件で明らかになったと言えるでしょう。
日本企業に見るIT/OT連携の脆弱性と背景
アサヒGHDの事例は日本企業特有のIT/OT連動構造の弱点も露呈しました。伝統的に日本の製造業は、効率向上のため生産現場と情報システムとの密接な連携を進めてきました。ところが急速なデジタル化の裏側で、安全対策や冗長化が追いついていない領域が存在します。大企業であっても、買収や組織再編を経て異なる世代のシステムが混在し、その連携部分にセキュリティの隙が生じていることは珍しくありません。古い制御機器やレガシーシステムに脆弱性が残ったまま、新しいネットワークに繋がっているケースも多く、攻撃者はそうした盲点を巧妙に突いてきます。
さらに、日本企業の多くは情報システム部門を「コストセンター」とみなす傾向があり、経営層がサイバーリスクを十分に認識していない場合には予算や人材投入が不十分になりがちです。サイバー攻撃による個人情報流出事件が起きても、欧米のように巨額の制裁金や集団訴訟に発展しにくい日本の風土も、企業の危機意識を鈍らせてきた背景と言えるでしょう。その結果、ITセキュリティ人材の不足や、現場と情報部門の連携不足が長年放置され、脆弱性対応が後手に回るケースが散見されます。
こうした状況下、近年日本でもランサムウェア被害は急増しています。事実、2025年上半期の国内ランサムウェア報告件数は116件に達し、これは過去最多だった2022年下半期と並ぶ水準でした。もはや「日本企業は狙われにくい」といった楽観論は通用せず、国内企業のサイバー耐性を強化しなければならない局面に来ているのです。アサヒGHDの事件で「大企業なのに復旧にこれほど時間がかかるのは準備不足の証拠。想定すべき事態だったはずだ」との厳しい指摘も専門家から上がっています。平時からサイバー攻撃による業務停止を想定したシナリオ訓練や、代替手段の計画策定を怠っていた点は、日本企業全体への教訓と言えるでしょう。
従来対策では防げなかった根本原因
アサヒGHDほどの大企業でも防ぎきれなかった今回の事件は、従来型のサイバー対策の限界を示しています。ファイアウォールやウイルス対策ソフトの導入、外部からの侵入検知といった通常の防御策は当然講じられていたはずですが、それでも攻撃者は内部深くまで侵入し、業務停止に追い込むことができました。これは近年のサイバー攻撃手法が高度化・巧妙化し、従来の常識的なセキュリティ対策では防ぎきれないケースが増えていることを物語っています。例えば、人間のミスや巧妙なフィッシングを起点に内部ネットワークへ侵入し、その後に脆弱な箇所を横方向へ攻撃していく手口は一般的になりました。一つひとつの防御策をすり抜け、多層防御の「隙間」を縫って重大な被害をもたらすのが現在の攻撃者像です。
アサヒGHDのケースにおける真の問題は技術的な脆弱性そのものよりも、システム全体のアーキテクチャ(構造)にあったと言えます。単一システムへの過度な依存、ITとOTを隔てる壁の不足、そして有事の手動対応能力の限界――こうした構造的な弱点は、従来のサイバー対策(侵入防止策)だけでは是正できません。攻撃を完全に防ぐことが困難な以上、「侵入されても事業停止に至らない」よう備える発想が不可欠ですが、同社の備えは不十分でした。幸いにも個人情報の大規模漏洩は確認されていないものの、サイバー攻撃が企業活動そのものを人質に取り得る現実に対し、根本から体制を見直す必要が突きつけられたのです。
世界ではどう備えているのか?
サイバー攻撃による「依存構造の崩壊」は、日本企業にとって他人事ではなく目前の脅威となりました。それでは、世界の企業はこのリスクにどう備えているのでしょうか?実は海外では、本章で見たような痛みを伴う事件を教訓に、サイバーと事業継続に関する新たな戦略が生まれつつあります。次章『第2章:アメリカの教訓』では、米国で起きた事例とそこで培われた対応策をひも解きます。さらに続く『第3章:SPOF排除戦略』では、システム上の単一障害点をいかに除去し、「一箇所が崩れても全体は倒れない」レジリエントな企業システムを築くかという指針を探っていきます。世界の教訓から学び取れるものは何か──その答えを次章以降で明らかにしていきます。