オルタナティブ・ブログ > 経営者が読むNVIDIAのフィジカルAI / ADAS業界日報 by 今泉大輔 >
RSS
経営者が読むNVIDIAのフィジカルAI / ADAS業界日報 by 今泉大輔

20年以上断続的にこのブログを書き継いできたインフラコモンズ代表の今泉大輔です。NVIDIAのフィジカルAIの世界が日本の上場企業多数に時価総額増大の事業機会を1つだけではなく複数与えることを確信してこの名前にしました。ネタは無限にあります。何卒よろしくお願い申し上げます。

日本企業がアサヒグループ並みの米国本家ゼロトラストを導入するには今の3〜5倍のIT予算が必要

»

Alternative2025Dec02b.png

【2025/12/11 今泉追記】
アサヒさんが見舞われている第二弾の窃取データ公開という、大変に困難な状況にあって、過去のQilin事案等の先行事例ではどのように対応してきたのか?など、詳細な内容をまとめた投稿を公開しました。

Qilinランサムウェアによる第二弾窃取データ公開へのアサヒGHDの望ましい対応と世界トップレベルのフォレンジック会社が支援できる詳細事項

今泉追記:

シスコで日本の主要業界の売上高トップないし第二位の企業のCXOとエンゲージメントすることが目的のコンサル部門でリサーチャーをやっていた時、日本企業のIT予算(売上高比)が米国企業と比べて圧倒的に少ないということに気づきました。当時から現在に至るまで、そのことを声高に主張する人はほとんどいません。

しかし今回のアサヒグループを襲ったランサムウェア集団Qilin、アスクルを襲ったRansomHouse。これが与えた甚大な損害は、日本のITにかける費用、サイバーセキュリティにかける費用が圧倒的に少ない現実を、赤裸々に見せてくれたように思います。

よい転機になればいいなと思って、以下を記しています。

関連投稿:

記者会見動画をGemini 3が徹底分析。アサヒGHDがランサムウェア対策として導入するゼロトラストアーキテクチャと日本のITコミュニティに対するインプリケーション

アサヒグループが導入する「本家・米国式ゼロトラスト」は日本のなんちゃってゼロトラストとは決定的に違う

まず「何を守るのか?」を考える。保護対象領域/Protect Surfaceの明確化【ランサムウェア被害に遭わない米国最新DX】

「人間を信頼しない」という設計思想【ランサムウェア被害に遭わない米国最新DX】

MANAGEMENT STRATEGY SEMINAR

ランサムウェア対策の最終解答:
米政府推奨ゼロトラストアーキテクチャ移行の必須知識 -経営企画室が主導するアメリカ基準のランサムウェア対策-

米国政府が推奨するジョン・キンダーバーグのゼロトラスト思想に基づいたゼロトラストアーキテクチャ導入。それは単なるツールの導入ではなく、経営者が決断すべき「経営戦略」そのものです。
なぜ経営企画部が主導すべきなのか?経営企画部が行うべき作業の内容と外部の専門企業との座組み、予算措置について解説します。

筆者のゼロトラスト関連投稿を読む

日本企業一般のIT予算の売上高比率は1〜1.5%とされており、米国と比べて"圧倒的に"少なすぎる現実

米国企業のIT予算比率は 売上高比3〜5%(先進企業は8%超) が標準であり、
日本企業は売上高比1〜1.5%、すなわち米国の1/3〜1/4 にとどまっています。

さらに、サイバーセキュリティにかける予算も圧倒的に少ないです。
日本企業はそもそも「絶対額が少ないIT予算」の 5〜8% をセキュリティに回していますが、米国企業は 10〜15% を充てています。

つまり、日本のランサムウェア対策費は、米国の約1/2〜1/3(=33〜50%)に過ぎない。これが日本スタンダードです

対する Qilin や RansomHouse のようなランサムウェア犯罪集団は、当然ながら"世界スタンダード"です。
日本スタンダードに合わせてくれることはありません。

世界スタンダードのランサムウェア犯罪集団が、
「日本企業のIT予算の絶対額が世界平均より大幅に少ない」
という事実を知ったとき、いったい何が起こるでしょうか。

そのシナリオを現実に見せたのが、今回のアサヒグループ事案であり、アスクル事案でした。

多くのITコミュニティの方は、こうした指摘を聞いても正視したくないかもしれません。しかし改めて数字を見る限り、私たちが置かれている状況は極めて明らかです。

  • IT予算の絶対額が圧倒的に少ない

  • その内訳としての サイバーセキュリティ予算もまた少ない

この構造のままでは、ランサムウェア犯罪集団に狙われるのは必然です。
侵入し放題、横展開(ラテラルムーブメント)し放題 と言われても仕方がない状況を、日本企業自身がつくり出しているのです。

日本企業が"アサヒ方式"の本家ゼロトラストを導入するには今の3倍〜5倍のIT予算が必要

アサヒグループのランサムウェア被害は、日本企業にとって大きな転換点になりました。同社は記者会見の中で、米国政府(CISA・NIST)が推奨する "本家本元のゼロトラスト・アーキテクチャ" への移行を明言しています
これは、国内で一般的に流通している「ゼロトラスト対応」という名称の製品やサービスとはまったく別物です。

関連投稿:

記者会見動画をGemini 3が徹底分析。アサヒGHDがランサムウェア対策として導入するゼロトラストアーキテクチャと日本のITコミュニティに対するインプリケーション

アサヒグループが導入する「本家・米国式ゼロトラスト」は日本のなんちゃってゼロトラストとは決定的に違う

まず「何を守るのか?」を考える。保護対象領域/Protect Surfaceの明確化【ランサムウェア被害に遭わない米国最新DX】

「人間を信頼しない」という設計思想【ランサムウェア被害に遭わない米国最新DX】

この記事では、「では、アサヒと同じレベルの対策を日本企業が導入しようとした場合、どれくらいのIT予算が必要なのか?」を、事実に基づいて整理します。

結論から申し上げれば、アサヒ方式の本家ゼロトラストを導入するには、日本企業はIT予算を"現在の3〜5倍"に引き上げる必要があります。

■ 日本企業のIT予算は、米国の1/3以下という現実

これをお読みの方が日本企業の業務に深く関わっているほど、次の数字は"肌感覚"として理解できると思います。

  • 日本企業のIT予算(売上比):1.0〜1.5%

  • それに対して米国企業:3〜5%(先進企業は8%超)

つまり、絶対額がそもそも足りていません。
加えて、IT予算の中でサイバーセキュリティに回している割合も少なく、

  • 日本企業:IT予算の5〜8%

  • 米国企業:10〜15%(CISO直轄なら20%)

という差があります。
この「絶対額が少ない」という構造的要因が、日本企業が世界で最もランサムウェア被害を受けやすい理由でもあります。

■ アサヒが導入するのは"米国式・本家ゼロトラスト"

ここで、重要な点を一つ明確にしておきます。

アサヒが導入しようとしているのは、次のような国内の"なんちゃってゼロトラスト"ではありません。

  • Intune+Azure AD を導入しただけ

  • SASE製品を導入して「ゼロトラスト対応」と称する例

  • VPNを残したまま"境界防御の延長"で終わる設計

  • アイデンティティ管理を強化しただけの部分実装

  • マイクロセグメンテーションのみ導入して本丸の再設計を行わない例

アサヒが選ぼうとしているのは、
ジョン・キンダーバーグ(Zero Trustの創始者)が定義した本家本元の思想
であり、米国政府(CISA・NIST)が標準として採用しているアーキテクチャです。

関連投稿:

まず「何を守るのか?」を考える。保護対象領域/Protect Surfaceの明確化【ランサムウェア被害に遭わない米国最新DX】

「人間を信頼しない」という設計思想【ランサムウェア被害に遭わない米国最新DX】

これは、基幹システムからネットワーク、端末、ID、自動化まで"全層を再設計する"取り組みです。

■ なぜ3〜5倍の予算が必要なのか?

一言でまとめると、

本家ゼロトラストは、技術の寄せ集めではなく「企業のIT全体を再設計するプロジェクト」だから

です。

具体的には次の領域が含まれます。

  • IDベースのアクセス制御(Zero Trust IAM)

  • 端末管理(MDM/EMM+EDR/XDR)

  • ネットワークの完全暗号化とポリシー駆動通信

  • SOC・SOARによる自動化された運用

  • すべてのログ統合基盤(Data Lake)

  • VPN廃止とZTNA面への全面移行

  • SAP含む基幹業務システムの再配置

  • クラウドを前提としたセキュリティアーキテクチャ再設計

この全体を、一貫した思想と技術で"面として"再設計するには、
従来のIT予算では絶対に実現不可能です。

■ 実行するのは、世界トップ級のインテグレーター

実際、アサヒグループ級の企業が本家ゼロトラストを導入する場合、主役となるのは次のグローバルインテグレーターです。

いずれも AWS から "世界トップレベル" のパートナーとして認定されている企業であり、
クラウド設計、ゼロトラスト、ID統合、SOAR自動化までを一気通貫で担えます。

日本の多くのSIerは、クラウド・ID・ゼロトラスト・自動化の三点セットを同時に実装できる体制を持っていないため、どうしてもインド勢が中心になります。

■ 試算:従業員5,000名規模の企業なら、初年度 IT予算は150〜250億円が必要

日本企業の平均的なIT予算は、従業員5,000名規模で 50〜75億円ほどです。

これを本家ゼロトラスト導入レベルに引き上げると、

  • IT予算:150〜250億円(=現在の2.5〜5倍)

  • サイバー予算:22〜37億円(IT予算の15%)

という水準が必要になります。

ここまで引き上げて初めて、
アサヒグループと同等の「米国式のランサムウェア耐性」を企業に組み込むことができます。

■ 最後に:経営企画部こそ、この議論の中心に立つべきです

ランサムウェア対策は、もはや「情シスの技術テーマ」ではありません。

  • 業務停止コストは1日で数百億円

  • サプライチェーン全体に波及

  • 上場企業ではIR・開示・社会的責任の問題

この現実を前にすると、
ゼロトラストは"経営防衛のための予算政策"に位置付けられるべきです。

アサヒグループの決断は、日本企業全体にとって大きな示唆を与えています。

「本家ゼロトラストを導入できる企業」だけが、次の10年を生き残る。

この問題に、ようやく日本企業も正面から向き合う時期に入ったように思います。

今泉 大輔 2025/12/02 13:08:59 Comment(0)

最新の投稿