アサヒグループHDは、ランサムウエア攻撃で主力商品が品薄となり、約191万件の情報漏えいの恐れが発生。出荷は継続したが、対策は不十分だったと認め、セキュリティーは経営課題だと教訓を示した。
本件の経緯
アサヒグループHDは2025年9月、ランサムウエア攻撃を受け、主力商品「スーパードライ」や「カルピス」が品薄となり、約191万件の個人情報漏えいの恐れも生じた。勝木敦志社長は当初、出張先のチェコでシステム障害の一報を受け、その後サイバー攻撃と判明。海外拠点への影響がないことを確認しつつ、日本本社と連携して対応に当たった。
社内ではCSIRT(シーサート:Computer Security Incident Response Team)が即座に動き、ネットワーク遮断や原因究明を実施。工場システムの安全を確認後、早期に製造を再開した。営業現場は電話やFAXなどアナログ手段で受注を継続し、出荷を止めなかった。勝木社長は、スーパードライは社会的影響の大きい商品であり、現場が自律的に動いたことは大きな収穫だったと振り返る。
一方で、NIST準拠の対策やEDR導入など備えはしていたものの「十分ではなかった」と反省。全端末・通信機器の徹底管理、VPN廃止とゼロトラスト化、最新の検知体制強化が必要だと教訓を語る。さらに、セキュリティーは技術だけでなくガバナンスの問題だと強調。IT部門とは独立した専門部署の設置を検討し、経営層が主導してリスク管理を徹底すべきだと結論づけた。
サイバー攻撃で生じる不利益
サイバー攻撃は売上減少だけでなく、個人情報漏えいによる信用失墜、ブランド価値の低下、取引先や消費者への影響など、多方面に深刻な損害をもたらす。今回のように主力商品が品薄になれば、社会的影響も大きい。さらに、復旧対応や再発防止策には多大なコストと時間がかかり、経営資源が奪われる点も重大なリスクである。
サイバー攻撃を防ぐには?
完全な防止は難しいが、被害を最小化する備えが不可欠だ。全端末・通信機器の徹底管理、脆弱性の常時確認、VPN依存からの脱却とゼロトラスト型ネットワークの構築、最新のEDR導入など技術的強化が求められる。同時に、ルール徹底や専門部署の独立設置など、組織面での統治体制(ガバナンス)強化が重要。経営層がリスクを理解し、主導して対策を進める姿勢が不可欠である。
まとめ
サイバーセキュリティーはIT部門だけの課題ではなく、企業全体の経営課題である。高度な技術対策と同時に、組織としての統治と危機対応力を高めることが、被害を防ぎ、社会的信頼を守る鍵となる。今回の事例は、企業にとって「備え続ける」ことの重要性を改めて示している。
参考:ビール各社の業績について キリンとサッポロ大幅増益 アサヒの代替需要が追い風
ビール大手3社は13日、2025年12月期の連結決算(国際会計基準)を発表した。
キリンホールディングスとサッポロホールディングスは、純利益がいずれも前期の約2.5倍に拡大。アサヒグループホールディングスのシステム障害に伴う代替需要が業績を押し上げた。
キリンHDの純利益は1475億円。南方健志社長は、代替需要により約40億円の利益押し上げ効果があったと説明した。サッポロHDは194億円で、過去最高益を更新した。
一方、サントリーホールディングスは米国での商標権を巡る減損損失の計上などにより、純利益はほぼ半減した。
なお、アサヒGHDは25年1~9月期決算を来月10日に発表予定だが、通期決算の発表日は未定としている。
コメント