オルタナティブ・ブログ > 経営者が読むNVIDIAのフィジカルAI / ADAS業界日報 by 今泉大輔 >
RSS
経営者が読むNVIDIAのフィジカルAI / ADAS業界日報 by 今泉大輔

20年以上断続的にこのブログを書き継いできたインフラコモンズ代表の今泉大輔です。NVIDIAのフィジカルAIの世界が日本の上場企業多数に時価総額増大の事業機会を1つだけではなく複数与えることを確信してこの名前にしました。ネタは無限にあります。何卒よろしくお願い申し上げます。

アサヒが"そこそこの予算の他社"の3倍をかけてランサムウェア対策「ゼロトラスト」を徹底した理由

»

Alternative2026Feb19a.png

アサヒGHDが昨日、ランサムウェアを含むサイバー攻撃に対する抜本的な社内体制の刷新とITシステムの刷新に関する発表を行いました。

アサヒグループホールディングス プレスリリース:サイバー攻撃被害の再発防止策とガバナンス体制の強化について(2026/2/18)

発表の中に詳細なランサムウェア対策の諸項目が含まれており、それをざっと見ると、本ブログで度々述べて来たように、アサヒグループHD全体として、アメリカ政府(CISA)がランサムウェア対策の抜本的な指針として推奨している「ゼロトラストアーキテクチャ」を最強の形で導入することがわかりました。

しかも対策にかけるIT予算は、従来の日本の水準と比較して3倍〜5倍という徹底したものになっています。

以下はアサヒグループHDの公開情報やそれを補填する情報を元に、日本のプライム上場企業の経営者に向けて「なぜ3倍〜5倍の予算をかける必要があるのか?」を、論理的にわかりやすく説明したレポートです。

記事内の「今泉注:」で指摘したように、Xで最新のAI動向を見ていると、「AIを使って従来よりもさらに高度な脅威手法で攻めるランサムウェア等」が急速に開発されている様子が窺われます。これの被害に遭うとこれまでよりもなお壊滅的な被害になると想定されます。そういった壊滅的な被害から免れるためには、侵入を前提とした「徹底的なゼロトラスト」しかありません。そのためには相応のお金がかかるということです。原子力発電所の地震対策にかかるコストを思い浮かべれば良いでしょう。

ゼロトラストアーキテクチャそのものに関する解説投稿:

米国政府系標準のゼロトラストを構成する「5本柱」【ランサムウェア被害に遭わない米国最新DX】

米、豪、韓、印、シンガポール政府が標準にした【ゼロトラスト】= ランサムウェア耐性のある米国最新DX

世界企業多数は米国最新DXのゼロトラストへ移行。日本は遅れている【ランサムウェア被害に遭わない米国最新DX】

「人間を信頼しない」という設計思想【ランサムウェア被害に遭わない米国最新DX】

まず「何を守るのか?」を考える。保護対象領域/Protect Surfaceの明確化【ランサムウェア被害に遭わない米国最新DX】

アサヒグループHDのランサムウェア被害対策に関する解説投稿:

アサヒグループが導入する「本家・米国式ゼロトラスト」は日本のなんちゃってゼロトラストとは決定的に違う

日本企業がアサヒグループ並みの米国本家ゼロトラストを導入するには今の3〜5倍のIT予算が必要

1. エグゼクティブ・サマリー:その対策は「コスト」か「投資」か

本日、アサヒグループホールディングス(以下、アサヒGHD)が発表したランサムウェア再発防止策は、日本の産業界にとって一つの「分水嶺」となるものです。

同社が打ち出した対策は、従来の日本企業が良しとしてきた「既存システムの延命措置」とは一線を画すものでした。それは、米国のCISA(サイバーセキュリティ・インフラストラクチャ・セキュリティ庁)が提唱する「真正(Authentic)のゼロトラスト」への完全移行であり、ITインフラの根本的な作り直しを意味します。

本レポートでは、アサヒGHDの決断を技術的・財務的観点から分析し、なぜ「本格的なランサムウェア対策には、従来の3〜5倍の予算が必要となるのか」、そして「中途半端な予算での対策がいかに経営リスクであるか」を提言します。

2. アサヒGHDの対策はなぜ「異次元」なのか?

公開された対策資料から読み取れるのは、アサヒGHDが「利便性とコスト」を犠牲にしてでも、「安全性」を最優先する経営判断を下したという事実です。これは従来の日本企業の常識を覆すものです。

アサヒGHD.jpg

① 「VPN全廃」という決別宣言

多くの日本企業は、テレワークのために導入したVPN装置を「パッチ適用」や「多要素認証」で守ろうとします。しかし、アサヒGHDは「リモートアクセスVPN装置の全面廃止」を明言しました。 これは、「境界防御(社内は安全、外は危険)」という古いパラダイムへの決別であり、ZTNA(Zero Trust Network Access)への移行を意味します。

  • 違い: 「VPN」は一度認証すれば社内ネットワーク全体に入れますが、「ZTNA」は許可されたアプリ以外には一切触れさせません。

② 「専用端末」への移行と「データレス化」

最も衝撃的なのは、「ゼロトラストモデル対応の専用パソコン端末への完全移行」と「キャッシュ非残存対策」です。 これは、社員が使うPCを、データを持たない「単なる操作画面(シンクライアント/VDI等)」に変えることを意味します。

  • 違い: 従来の対策は「PCにウイルス対策ソフトを入れる」だけでした。アサヒGHDは「そもそも盗まれるデータをPCに置かない」アーキテクチャに変更しました。

③ ガバナンスの独立と自動化

「独立したセキュリティ組織」「専任担当役員」の設置に加え、「アカウント管理の自動化」を掲げています。

  • 違い: 多くの企業では、IT部門の一部がセキュリティを兼務し、人事異動時のID削除などは手作業で行われています。これを自動化システム(IGA)で管理し、退職者のIDが攻撃者に悪用されるリスクを根絶します。

3. なぜ「予算3〜5倍」が正解なのか? 財務的視点からの分析

「セキュリティ予算を増やせ」と言われた際、経営者の多くは「2割増」程度をイメージするかもしれません。しかし、アサヒGHDレベルの「真正ゼロトラスト」を実現するには、IT予算全体の構造を変えるレベルの投資(3〜5倍)が不可欠です。その根拠を試算します。(今泉注:これは日本企業全般のIT投資が売上高比1%台に止まるのに対し、米国では3-5%が標準であるという「元々低かった日本のIT予算」という大前提がある。それを米国水準に上げ、かつIT予算の中のサイバーセキュリティに欠ける比率も上げる<日本ではこの比率も少なかった>と、従来の「3〜5倍」になってしまうということ)

A. インフラ刷新の初期投資(CAPEX/OPEX)

従来の「ウイルス対策ソフトの更新料」とは桁が違います。

  1. 端末総入れ替え: 数万人の従業員に対し、データレス端末(Chromebookや管理されたPC)を配布し、背後でVDI(仮想デスクトップ)やDaaS(Desktop as a Service)を稼働させるコスト。

  2. ZTNAサブスクリプション: 全社員分のクラウドセキュリティ利用料(ZscalerやPalo Alto Networks等)。これは「回線代」とは別の新たな固定費として重くのしかかります。

B. 運用と監視の高度化(人件費・外注費)

  1. 24/365の監視(SOC/MDR): EDRを入れるだけでは意味がありません。24時間体制でログを監視し、異常があれば即座に遮断する専門部隊との契約が必要です。

  2. 自動化基盤(SOAR/IGA): アカウント管理やインシデント対応を自動化するためのシステム構築費。

用語解説:EDRとは?

EDR (Endpoint Detection and Response) とは、PCやサーバー(エンドポイント)の操作や動作を常に監視・記録し、サイバー攻撃の予兆や侵入後の不審な挙動を「検知(Detection)」し、即座に「対処(Response)」するためのセキュリティソリューション。

C. 「気休め対策」との対比

  • 従来の日本企業(気休め):

    • VPN装置の保守費 + ウイルス対策ソフト = 年間数千万円〜数億円

    • 結果:ランサムウェアに侵入され、数十億円の被害(身代金、復旧費、機会損失)

  • アサヒGHD・米国式(本格対策):

    • ZTNA + VDI + SOC/MDR + ガバナンス = 年間数十億円〜百億円規模

    • 結果:侵入を前提として被害を極小化し、事業を止めない

今泉の投稿が指摘していた「3〜5倍」という数字は、決して誇張ではありません。「壁を修理する(従来型)」のと「家を建て替える(ゼロトラスト)」のとでは、かかるコストが違うのは当然だからです。

弊投稿:日本企業がアサヒグループ並みの米国本家ゼロトラストを導入するには今の3〜5倍のIT予算が必要(2025/12/2)

4. 経営者への提言:安全は「購入」するものではなく「構築」するもの

アサヒGHDの事例は、私たちに以下の教訓を示しています。

  1. 「そこそこの予算」は「ドブに捨てる金」と同じである 中途半端な対策(パッチ管理や安価なEDRのみ)では、現在の高度なランサムウェア(Qilin等)は防げません。突破された瞬間に、それまでの投資は無駄になり、さらに莫大な事後対応コストが発生します。(今泉注:Xを流れる最新のセキュリティ情勢では、AIによってさらに高度化したランサムウェア等の開発が急速に進んでいることがわかる。今後はより凶悪なランサムウェア等が日本企業全体を襲うことは火を見るより明らかであり、被害に遭う企業はより壊滅的な被害になることを想定する必要がある)

  2. 経営者が「アーキテクチャ」に関心を持て 「VPNをやめる」「PCにデータを置かせない」というのは、現場の利便性を大きく変える決断です。これはCISO(最高情報セキュリティ責任者)任せではなく、CEOが「業務効率を一瞬下げてでも、事業継続性を取る」と決断しなければ実現できません

  3. セキュリティ投資は「B/S(貸借対照表)」の問題である サイバー攻撃による長期の工場停止や個人情報漏えいは、企業の「のれん代(ブランド価値)」を毀損し、株価に直結します。3〜5倍のセキュリティ予算は、高額な保険料ではなく、企業の存続価値を守るための必須の設備投資と捉えるべきです。

アサヒグループホールディングスは、巨額の痛手を負った末に、日本企業として初めて「世界基準のセキュリティ」へと舵を切りました。 これからの日本企業のスタンダードは、「アサヒ以前(低予算・境界防御)」か「アサヒ以後(高予算・ゼロトラスト)」かで語られることになるでしょう。

今泉 大輔 2026/02/19 11:30:03 Comment(0)