アサヒグループが導入する「本家・米国式ゼロトラスト」は日本のなんちゃってゼロトラストとは決定的に違う
今泉追記:
現実的にアサヒが選択した本格的なゼロトラスト・アーキテクチャを実装するには、ランサムウェア攻撃が世界水準になっている以上、AWSインテグレーターも世界水準でなければ話になりません。そこらへんの現実論を末尾で告知しているセミナーで展開します。
つまり、ゼロトラスト・アーキテクチャの実装は、AWSインテグレーターの選定ありきです。ではそういうプレイヤーはどこにいるか?です。
日本には存在しません(日本で営業する米系プレイヤーも中身は日本ですので同様です)。これは、米国政府推奨のゼロトラスト・アーキテクチャを導入した経験の問題です。世界には、米国を初め世界展開をする大企業がAWS上でゼロトラスト・アーキテクチャを導入することを、プロジェクトとして多数受注したAWSインテグレーターが存在します。Amazonからも世界トップインテグレーターであることが認証されています。
2025年11月、アサヒグループHDはランサムウェア「Qilin(キリン)」による深刻な被害を受け、記者会見で重大な方針転換を明らかにしました。
結論から言えば、
アサヒは米国政府が標準とする、ジョン・キンダーバーグ(John Kindervag)が提唱した"本家・正統ゼロトラストアーキテクチャ"を導入する。
これは、日本企業が長年取り組んできた
-
"ゼロトラスト"という名前がついているだけの製品
-
SASE単体導入
-
Intune+Azure AD の境界型ハイブリッド
-
VPN撤去を先送りにした"部分最適"
とは まったく別次元 の取り組みです。
関連投稿:
記者会見動画をGemini 3が徹底分析。アサヒGHDがランサムウェア対策として導入するゼロトラストアーキテクチャと日本のITコミュニティに対するインプリケーション
なぜアサヒは「米国政府推奨・本家ゼロトラスト」を採用したのか?
理由は明白です。
1. 被害の規模が「境界防御の限界」を証明した
VPN+ID/パスワードという旧来方式では
高度化したランサムウェア(Qilin)に対し"一番脆い場所"を突かれた。
2. 日本の"なんちゃってゼロトラスト"では防げない
多くの国内ソリューションは、以下のような 部分的な仕組みの寄せ集め です:
-
SASEの一部を入れる
-
Intune で端末管理をする
-
Azure AD のConditional Accessだけで満足する
-
Zero Trust という名称の付いた広告を採用する
-
「ゼロトラスト=VPN置き換え」という狭義の理解
これらは 「ゼロトラスト風味」 であって、構造が全く異なります。
3. 本家ゼロトラストには "設計原則" がある
本物のゼロトラストは、製品の寄せ集めではなく Architecture(アーキテクチャ) です。
キンダーバーグの定義は次の順番です:
-
Protect Surface(守るべき最小領域の特定)
-
トラフィックの可視化
-
ポリシー(DAP: Zero Trust Policy)設計
-
ID・デバイス・ネットワークの統合的制御
-
自動化・継続的検証
この 設計原則に沿うことが、唯一の正しいゼロトラスト です。
アサヒはまさにこの"本物の設計"に踏み切りました。
アサヒが導入するのは「米国政府が推奨するゼロトラスト」
米国は2021〜2025年にかけて、政府全体でゼロトラストを義務化しています。
-
Executive Order 14028(バイデン大統領)
-
NIST SP 800-207
-
CISA Zero Trust Maturity Model
-
DoD Zero Trust Reference Architecture
今回アサヒが採用するのは、この 米国政府レベルの標準 と整合。
単なる製品導入ではなく、設計・運用までを含む本物のゼロトラスト。
日本企業に見られる「偽ゼロトラスト」との決定的な違い
以下が、日本企業がよく誤って導入している"ゼロトラスト風"の特徴です。
| 日本の"なんちゃってZT" | 本家ゼロトラスト(アサヒが導入) |
|---|---|
| 製品導入の寄せ集め | アーキテクチャ(設計思想) |
| SASE単体で満足 | Protect Surface から設計開始 |
| MFAだけで安心 | 継続的検証(Continuous Verification) |
| VPN撤去がゴール | "侵入前提"の分離と最小権限 |
| 境界に依存 | 境界が存在しない"ゼロ境界" |
| 日本SIer主導の"設定作業" | グローバル基準の"ゼロトラスト設計" |
アサヒは「右側」を採用し、これが決定的に重要です。
日本全体への重大な示唆
1. アサヒの方針は、東証プライム全社に波及する
ランサムウェアの被害額(数十億円〜百億円規模)を考えると、
本家ゼロトラストを導入しない理由はほぼ消滅します。
2. 「ゼロトラストを名乗る製品」への依存は終わりを迎える
製品ではなく「設計」が重要であると、アサヒのケースが証明。
3. SIerは二極化する
-
Protect Surface から設計でき、AWS上でインテグレーションできる企業(ごく一部)
-
設定変更しかできない日本SIer(大多数)
手前味噌ですが、米国政府推奨、本家本元のゼロトラスト・アーキテクチャに関する、経営企画部が理解すべき事柄を整理したのが以下のセミナーです。第一回を先日おこなって大変好評でした。
【オンライン】QilinやRansomHouseの被害から完全防御:米国最新ランサムウェア対策セミナー
-経営企画室が主導するアメリカ基準のランサムウェア対策-
主催 一般社団法人 企業研究会
お申し込みはこちらの企業研究会Webページからどうぞ。
今泉追記:
11月17日に第一回目を実施し、大変に好評を博したセミナーです。充実したA4 50ページの資料を配布し、その後、補充板としてさらに30ページの資料を受講者の皆さんに企業研究会経由でお送りしました。
特に力点を入れたのは、以下の点です。
・ジョン・キンダーバーグの思想に基づく米国の本家本元のゼロトラストアーキテクチャの理解。(日本のゼロトラスト商品は表層的なものであり、いざランサムウェア犯罪集団の標的になると脆く崩れ去る可能性が高いものがほとんであると分析しています。)
・推奨できる世界的なフォレンジック会社5社。これらのフォレンジック会社に依頼するにはどうすればいいのか?
・ランサムウェア犯罪集団は「世界スタンダード」であり、ゼロトラスト導入対策もそれに対抗できる「世界スタンダード」であるべき。残念ながら日本の最大手システムインテグレータ等のランサムウェア対策は「日本スタンダード」であり、アサヒグループやアスクルのような結果になってしまう。では、「世界スタンダード」を自社に導入するには、どのような世界レベルのシステムインテグレータにどうやってアクセスすればいいのか?座組みの問題。
・サイバー保険の基礎知識。
・世界スタンダードのゼロトラストアーキテクチャを導入するには、世界スタンダードの予算が必要。これを社長にどう納得して貰えばいいか?
・従来の情報システム部門では、このような予算を取ることは難しい。経営企画部主導で進めるべき。
・米国水準のAWS基盤を使ったゼロトラストアーキテクチャ導入プロジェクトの技術面の詳細資料。
【開催にあたって】
アサヒグループやアスクルが被害に遭っているランサムウェアは、犯罪集団の手口が高度化しており、多くの上場企業が潜在ターゲットになっています。従来サイバーセキュリティはCIO/情報システム部門が管掌していましたが、アサヒに見るように全社規模の営業損失になりかねないことから、対策には経営者の意思決定が不可欠になっています。
このセミナーでは経営者の意思決定を支援する経営企画室が主導するアメリカ水準のランサムウェア対策について、ChatGPT 5を活用した情報収集から現行社内システムに堅固なランサムウェア防御策を組み入れるプロジェクト詳細まで、ノウハウを伝授します。
| 日時 | 2026年 1月 15日(木) 13:30~16:00 |
|---|---|
| 受講料 | 1名につき 会員 38,500円(本体 35,000円) 一般 41,800円(本体 38,000円) |
| 講演者 | インフラコモンズ代表 リサーチャー AI×経営ストラテジスト 今泉大輔 氏 |
| 対象 | 経営企画部門、情報システム部門、リスク管理部門、法務部門、総務部門、管理部門の方、経営者の方など |
| 内容 |
第一章 海外ランサムウェア事案を熟知しているChatGPT 5を活用した情報収集 4. サイバー保険の基礎知識 |