日本企業がアサヒグループ並みの米国本家ゼロトラストを導入するには今の3〜5倍のIT予算が必要
今泉追記:
シスコで日本の主要業界の売上高トップないし第二位の企業のCXOとエンゲージメントすることが目的のコンサル部門でリサーチャーをやっていた時、日本企業のIT予算(売上高比)が米国企業と比べて圧倒的に少ないということに気づきました。当時から現在に至るまで、そのことを声高に主張する人はほとんどいません。
しかし今回のアサヒグループを襲ったランサムウェア集団Qilin、アスクルを襲ったRansomHouse。これが与えた甚大な損害は、日本のITにかける費用、サイバーセキュリティにかける費用が圧倒的に少ない現実を、赤裸々に見せてくれたように思います。
よい転機になればいいなと思って、以下を記しています。
関連投稿:
記者会見動画をGemini 3が徹底分析。アサヒGHDがランサムウェア対策として導入するゼロトラストアーキテクチャと日本のITコミュニティに対するインプリケーション
アサヒグループが導入する「本家・米国式ゼロトラスト」は日本のなんちゃってゼロトラストとは決定的に違う
まず「何を守るのか?」を考える。保護対象領域/Protect Surfaceの明確化【ランサムウェア被害に遭わない米国最新DX】
「人間を信頼しない」という設計思想【ランサムウェア被害に遭わない米国最新DX】
日本企業一般のIT予算の売上高比率は1〜1.5%とされており、米国と比べて"圧倒的に"少なすぎる現実
米国企業のIT予算比率は 売上高比3〜5%(先進企業は8%超) が標準であり、
日本企業は売上高比1〜1.5%、すなわち米国の1/3〜1/4 にとどまっています。
さらに、サイバーセキュリティにかける予算も圧倒的に少ないです。
日本企業はそもそも「絶対額が少ないIT予算」の 5〜8% をセキュリティに回していますが、米国企業は 10〜15% を充てています。
つまり、日本のランサムウェア対策費は、米国の約1/2〜1/3(=33〜50%)に過ぎない。これが日本スタンダードです。
対する Qilin や RansomHouse のようなランサムウェア犯罪集団は、当然ながら"世界スタンダード"です。
日本スタンダードに合わせてくれることはありません。
世界スタンダードのランサムウェア犯罪集団が、
「日本企業のIT予算の絶対額が世界平均より大幅に少ない」
という事実を知ったとき、いったい何が起こるでしょうか。
そのシナリオを現実に見せたのが、今回のアサヒグループ事案であり、アスクル事案でした。
多くのITコミュニティの方は、こうした指摘を聞いても正視したくないかもしれません。しかし改めて数字を見る限り、私たちが置かれている状況は極めて明らかです。
-
IT予算の絶対額が圧倒的に少ない
-
その内訳としての サイバーセキュリティ予算もまた少ない
この構造のままでは、ランサムウェア犯罪集団に狙われるのは必然です。
侵入し放題、横展開(ラテラルムーブメント)し放題 と言われても仕方がない状況を、日本企業自身がつくり出しているのです。
日本企業が"アサヒ方式"の本家ゼロトラストを導入するには今の3倍〜5倍のIT予算が必要
アサヒグループのランサムウェア被害は、日本企業にとって大きな転換点になりました。同社は記者会見の中で、米国政府(CISA・NIST)が推奨する "本家本元のゼロトラスト・アーキテクチャ" への移行を明言しています。
これは、国内で一般的に流通している「ゼロトラスト対応」という名称の製品やサービスとはまったく別物です。
関連投稿:
記者会見動画をGemini 3が徹底分析。アサヒGHDがランサムウェア対策として導入するゼロトラストアーキテクチャと日本のITコミュニティに対するインプリケーション
アサヒグループが導入する「本家・米国式ゼロトラスト」は日本のなんちゃってゼロトラストとは決定的に違う
まず「何を守るのか?」を考える。保護対象領域/Protect Surfaceの明確化【ランサムウェア被害に遭わない米国最新DX】
「人間を信頼しない」という設計思想【ランサムウェア被害に遭わない米国最新DX】
この記事では、「では、アサヒと同じレベルの対策を日本企業が導入しようとした場合、どれくらいのIT予算が必要なのか?」を、事実に基づいて整理します。
結論から申し上げれば、アサヒ方式の本家ゼロトラストを導入するには、日本企業はIT予算を"現在の3〜5倍"に引き上げる必要があります。
■ 日本企業のIT予算は、米国の1/3以下という現実
これをお読みの方が日本企業の業務に深く関わっているほど、次の数字は"肌感覚"として理解できると思います。
-
日本企業のIT予算(売上比):1.0〜1.5%
-
それに対して米国企業:3〜5%(先進企業は8%超)
つまり、絶対額がそもそも足りていません。
加えて、IT予算の中でサイバーセキュリティに回している割合も少なく、
-
日本企業:IT予算の5〜8%
-
米国企業:10〜15%(CISO直轄なら20%)
という差があります。
この「絶対額が少ない」という構造的要因が、日本企業が世界で最もランサムウェア被害を受けやすい理由でもあります。
■ アサヒが導入するのは"米国式・本家ゼロトラスト"
ここで、重要な点を一つ明確にしておきます。
アサヒが導入しようとしているのは、次のような国内の"なんちゃってゼロトラスト"ではありません。
-
Intune+Azure AD を導入しただけ
-
SASE製品を導入して「ゼロトラスト対応」と称する例
-
VPNを残したまま"境界防御の延長"で終わる設計
-
アイデンティティ管理を強化しただけの部分実装
-
マイクロセグメンテーションのみ導入して本丸の再設計を行わない例
アサヒが選ぼうとしているのは、
ジョン・キンダーバーグ(Zero Trustの創始者)が定義した本家本元の思想
であり、米国政府(CISA・NIST)が標準として採用しているアーキテクチャです。
関連投稿:
まず「何を守るのか?」を考える。保護対象領域/Protect Surfaceの明確化【ランサムウェア被害に遭わない米国最新DX】
「人間を信頼しない」という設計思想【ランサムウェア被害に遭わない米国最新DX】
これは、基幹システムからネットワーク、端末、ID、自動化まで"全層を再設計する"取り組みです。
■ なぜ3〜5倍の予算が必要なのか?
一言でまとめると、
本家ゼロトラストは、技術の寄せ集めではなく「企業のIT全体を再設計するプロジェクト」だから
です。
具体的には次の領域が含まれます。
-
IDベースのアクセス制御(Zero Trust IAM)
-
端末管理(MDM/EMM+EDR/XDR)
-
ネットワークの完全暗号化とポリシー駆動通信
-
SOC・SOARによる自動化された運用
-
すべてのログ統合基盤(Data Lake)
-
VPN廃止とZTNA面への全面移行
-
SAP含む基幹業務システムの再配置
-
クラウドを前提としたセキュリティアーキテクチャ再設計
この全体を、一貫した思想と技術で"面として"再設計するには、
従来のIT予算では絶対に実現不可能です。
■ 実行するのは、世界トップ級のインテグレーター
実際、アサヒグループ級の企業が本家ゼロトラストを導入する場合、主役となるのは次のグローバルインテグレーターです。
-
TCS(Tata Consultancy Services)
-
Infosys
-
Wipro
-
HCL Technologies
いずれも AWS から "世界トップレベル" のパートナーとして認定されている企業であり、
クラウド設計、ゼロトラスト、ID統合、SOAR自動化までを一気通貫で担えます。
日本の多くのSIerは、クラウド・ID・ゼロトラスト・自動化の三点セットを同時に実装できる体制を持っていないため、どうしてもインド勢が中心になります。
■ 試算:従業員5,000名規模の企業なら、初年度 IT予算は150〜250億円が必要
日本企業の平均的なIT予算は、従業員5,000名規模で 50〜75億円ほどです。
これを本家ゼロトラスト導入レベルに引き上げると、
-
IT予算:150〜250億円(=現在の2.5〜5倍)
-
サイバー予算:22〜37億円(IT予算の15%)
という水準が必要になります。
ここまで引き上げて初めて、
アサヒグループと同等の「米国式のランサムウェア耐性」を企業に組み込むことができます。
■ 最後に:経営企画部こそ、この議論の中心に立つべきです
ランサムウェア対策は、もはや「情シスの技術テーマ」ではありません。
-
業務停止コストは1日で数百億円
-
サプライチェーン全体に波及
-
上場企業ではIR・開示・社会的責任の問題
この現実を前にすると、
ゼロトラストは"経営防衛のための予算政策"に位置付けられるべきです。
アサヒグループの決断は、日本企業全体にとって大きな示唆を与えています。
「本家ゼロトラストを導入できる企業」だけが、次の10年を生き残る。
この問題に、ようやく日本企業も正面から向き合う時期に入ったように思います。
【セミナー告知】QilinやRansomHouseの被害から完全防御:米国最新ランサムウェア対策セミナー
-経営企画室が主導するアメリカ基準のランサムウェア対策-
主催 一般社団法人 企業研究会
お申し込みはこちらの企業研究会Webページからどうぞ。
今泉追記:
11月17日に第一回目を実施し、大変に好評を博したセミナーです。充実したA4 50ページの資料を配布し、その後、補充板としてさらに30ページの資料を受講者の皆さんに企業研究会経由でお送りしました。
特に力点を入れたのは、以下の点です。
・ジョン・キンダーバーグの思想に基づく米国の本家本元のゼロトラストアーキテクチャの理解。(日本のゼロトラスト商品は表層的なものであり、いざランサムウェア犯罪集団の標的になると脆く崩れ去る可能性が高いものがほとんであると分析しています。)
・推奨できる世界的なフォレンジック会社5社。これらのフォレンジック会社に依頼するにはどうすればいいのか?
・ランサムウェア犯罪集団は「世界スタンダード」であり、ゼロトラスト導入対策もそれに対抗できる「世界スタンダード」であるべき。残念ながら日本の最大手システムインテグレータ等のランサムウェア対策は「日本スタンダード」であり、アサヒグループやアスクルのような結果になってしまう。では、「世界スタンダード」を自社に導入するには、どのような世界レベルのシステムインテグレータにどうやってアクセスすればいいのか?座組みの問題。
・サイバー保険の基礎知識。
・世界スタンダードのゼロトラストアーキテクチャを導入するには、世界スタンダードの予算が必要。これを社長にどう納得して貰えばいいか?
・従来の情報システム部門では、このような予算を取ることは難しい。経営企画部主導で進めるべき。
・米国水準のAWS基盤を使ったゼロトラストアーキテクチャ導入プロジェクトの技術面の詳細資料。
【開催にあたって】
アサヒグループやアスクルが被害に遭っているランサムウェアは、犯罪集団の手口が高度化しており、多くの上場企業が潜在ターゲットになっています。従来サイバーセキュリティはCIO/情報システム部門が管掌していましたが、アサヒに見るように全社規模の営業損失になりかねないことから、対策には経営者の意思決定が不可欠になっています。
このセミナーでは経営者の意思決定を支援する経営企画室が主導するアメリカ水準のランサムウェア対策について、ChatGPT 5を活用した情報収集から現行社内システムに堅固なランサムウェア防御策を組み入れるプロジェクト詳細まで、ノウハウを伝授します。
| 日時 | 2026年 1月 15日(木) 13:30~16:00 |
|---|---|
| 受講料 | 1名につき 会員 38,500円(本体 35,000円) 一般 41,800円(本体 38,000円) |
| 講演者 | インフラコモンズ代表 リサーチャー AI×経営ストラテジスト 今泉大輔 氏 |
| 対象 | 経営企画部門、情報システム部門、リスク管理部門、法務部門、総務部門、管理部門の方、経営者の方など |
| 内容 |
第一章 海外ランサムウェア事案を熟知しているChatGPT 5を活用した情報収集 4. サイバー保険の基礎知識 |