IT技術者が自社セキュリティで考えること
2025年9月29日、アサヒグループホールディングス(以下、アサヒGHD)でランサムウェアによる大規模なシステム障害が発生し、物流の停止や個人情報の漏えいにつながりました。2026年2月18日、同社は調査完了内容と再発防止策・ガバナンス体制の強化を公表しています。本記事では、アサヒGHDが公表した一次ソースを基に、事象の最大の瑕疵(根本原因)をセキュリティ専門家の視点で整理し、再発防止策の評価と、IT技術者が自社のセキュリティをどう考えればよいかの示唆までを、事実と解釈を区別しながらまとめます。
関連記事: 境界防御の限界とゼロトラストの考え方はファイアウォールだけではもう守れない——2026年、攻撃者が「中から」入る時代に備える5つのこと、文化・風土の重要性は技術だけでは防げない——アスクル事例が教えるセキュリティ文化と風土の重要性、日本企業の実態はNRIセキュア調査が示す日本企業のセキュリティ実態——技術者が押さえる5つのポイントで扱っています。
事象の概要——何が起きたか
攻撃の流れと被害
アサヒGHDの公表によれば、障害発生の約10日前に、外部の攻撃者がグループ内の拠点にあるネットワーク機器を経由して社内ネットワークに侵入したとされています。データセンターへ入り込んだのち、パスワードの脆弱性を突いて管理者権限を奪取し、主に業務時間外に複数のサーバーへの侵入・偵察を繰り返したうえで、9月29日にランサムウェアを一斉実行。複数のサーバーやゼロトラストモデルへ移行前の一部の従業員用PCのデータが暗号化され、一部端末からのデータ窃取も確認されています(サイバー攻撃被害の再発防止策とガバナンス体制の強化について)。
被害を食い止めるため、同社はリモートアクセスVPN・拠点間ネットワーク(約300拠点)・クラウド間接続を遮断し、さらにインターネット回線の遮断とデータセンターの完全隔離を行いました。その結果、業務システムへのアクセス不可や、受注・出荷の手作業対応が長期化しました。あわせて個人情報については、お客様相談室等の問い合わせデータ(約152.5万件)をはじめ、漏えいのおそれがある件数が公表され、従業員・取引先情報の漏えいも確認されています(同リリース「5. 個人情報の漏えいについて」)。
こうした事態を受け、同社は調査完了内容とあわせて再発防止策を公表しています。
公開された調査結果の要点
攻撃経路の特定、ゼロトラストモデル対応端末への完全移行、リモートアクセスVPN装置の全面廃止、EDR(エンドポイント検知・対応)の強化、情報セキュリティを管轄する独立組織・専任役員の設置など、技術面・ガバナンス面の具体的な方針が示されています。これらの方向性は、次節で整理する「最大の瑕疵」と照らし合わせると、業界のベストプラクティスに沿った内容となっていることがわかります。
最大の瑕疵——「信頼済みネットワーク」前提が招いた侵入
では、なぜこのような事態に至ったのか。公表されている事実に基づき、セキュリティ専門家の視点で根本原因(最大の瑕疵)を次の三つに整理します。いずれも公表内容と整合する解釈として読んでください。
拠点ネットワーク機器を経由した一次侵入
公表によれば、攻撃者はグループ内の拠点にあるネットワーク機器を経由してアサヒグループのネットワークに侵入し、データセンターのネットワークへ到達したとされています(サイバー攻撃被害の再発防止策とガバナンス体制の強化について、情報漏えいに関する調査結果と今後の対応について(2025年11月27日))。つまり、拠点の機器が境界の「内側」として扱われ、外部からのリモート経路や機器の管理画面が攻撃の足がかりになり得る状態だった、と専門家の分析では指摘される構図です。
そのうえで、経路や権限をめぐっては、もう一つの要素が再発防止策から読み取れます。
リモートアクセスVPNの廃止と管理者権限の脆弱性
公表では侵入経路は 「拠点にあるネットワーク機器を経由」 したこととされています。一方、再発防止策の一つとして 「ネットワーク機器からの再侵入を防ぐためのリモートアクセスVPN装置の全面廃止」 が明記されており(同リリース「6. 再発防止策とガバナンス体制の強化」)、VPN経由のアクセスが経路や再侵入リスクの一要素として想定されていたと読み取れます。いずれにせよ、パスワードの脆弱性を突いた管理者権限の奪取が公表どおり確認されています。この構造は、「VPNでつないだ端末=社内ユーザー」として内側を広く信頼する、いわゆる 「トラスト・ザ・ネットワーク」 型の前提に陥っていると、攻撃経路と再発防止策から専門家の解釈として指摘される典型パターンに合致します。
三つ目は、被害の及んだ範囲から浮かび上がる構成上のギャップです。
ゼロトラスト移行「途中」のハイブリッド構成
公表では、被害を受けたPC端末が 「ゼロトラストモデルへ移行前の一部の従業員用パソコン端末」 と明記されています。つまり、ゼロトラストへの移行は進めていたが完了しておらず、移行済みと未移行の端末が混在するハイブリッド状態だったと考えられます。攻撃者にとっては、古い境界(VPN・拠点ネットワーク)を突けば、まだゼロトラストで守られていない端末や経路に容易に到達できる「セキュリティのギャップ地帯」が残っていたことになります。
以上の公表事実を踏まえ、専門家の視点で総合すると、最大の瑕疵は次のように整理できます。
- 「拠点のネットワーク機器やリモートアクセス経路(再発防止策で廃止・再構築の対象とされたもの)を前提に、内側のネットワークを“安全”と見なす設計思想」
- 「ゼロトラストへの移行が完了しておらず、移行前・移行後の構成が混在し、ギャップが生じていたこと」(被害端末が「ゼロトラストモデルへの移行前の一部の従業員用パソコン端末」と公表されている事実に基づく)
大規模企業であっても、既存の「信頼済み内部ネットワーク」という前提を改めず、ゼロトラスト移行を完了させないままにすると、セキュリティ投資の多くが“紙の上の対策”に終わりかねない——本件はそのことを如実に示す事例として、専門家から指摘され得る構図です。では、こうした瑕疵を踏まえ、同社が打ち出した再発防止策はどのように評価できるでしょうか。
再発防止策の評価——方向性と、押さえておきたい点
アサヒGHDが公表した再発防止策は、技術・ガバナンスの両面で、現在の業界ベストプラクティスに沿った方向性です。ここでは、評価できる点と、IT技術者が自社に当てはめて考えたい点を簡潔にまとめます。
技術・アーキテクチャの評価
評価できる点として、リモートアクセスVPN装置の全面廃止、古い通信経路の排除・再構築、ゼロトラストモデル対応端末への完全移行、全端末でのEDR強化、ネットワークの分離・接続制限、ペネトレーションテストやスレットハンティングの継続実施などが挙げられます。「何も信用しない」設計と境界の再定義に向けた転換として妥当です。
押さえておきたい点としては、ゼロトラスト移行が 「デバイス更新」だけで終わらないかが重要です。誰が・どのサービスに・どの条件でアクセスできるかというポリシー設計と、レガシーシステム・物流・製造系との接続で「例外ルール」が増えすぎていないかの可視化が求められます。また、ネットワークの分離・接続制限の範囲が、クラウド・サプライチェーン・外部パートナー連携まで含めたエンドツーエンドの構成として明確になっているかも、再発防止の実効性に直結します。
技術面と並んで、権限とガバナンスの強化も公表の柱の一つです。
権限・ガバナンスの評価
全システムでのパスワード変更と認証・権限管理の強化、アカウント作成・変更・削除の自動化、情報セキュリティの独立組織・専任役員の設置、情報セキュリティ委員会の設置、取締役会スキルマトリックスの見直しなどは、サイバーリスクを「IT部門の課題」から「経営リスク」に据え直すうえで妥当な内容です。
一方で、 特権アクセス管理(PAM) や 多要素認証(MFA) の適用範囲、最小権限の原則をどこまで具体的に適用したかが公表ではやや抽象的に留まっています。実務では、ゼロトラストを成立させるうえでこれらの要素は必須であり、自社で同様の取り組みをする際は「権限の最小化」と「特権操作の可視化」を数値やスコープで示せるようにしておくと、説明責任と改善の両方に効きます。
内容の妥当性に加え、実行がどの程度まで進んでいるかを測る視点も重要です。
実行の整合性とKPIの可視化
再発防止策の「内容」は妥当でも、実行の速度と構成の整合性、そして計測可能な目標が揃っているかが、長期的な評価の鍵になります。例えば、初動対応完了までの時間、攻撃の検知・封じ込めまでの時間、復旧の平均時間(MTTR) といったKPIを内部で定義し、必要に応じて経営層や監査に示せるようにしておくと、「やっている感」ではなく「効いている証拠」を残しやすくなります。また、外部セキュリティ監査や第三者評価をどの頻度で受けるかも、ガバナンスの透明性を高めるうえで検討の余地があります。
以上が、公表された再発防止策の評価の要点です。最後に、この事例からIT技術者が自社にどう活かせるかを整理します。
自社のセキュリティをどう考えるか——IT技術者への示唆
本件は、大企業でも「古い前提」を放置すると、大規模被害につながることを示しています。他山の石として、自社のセキュリティを考えるうえで次の三つを意識すると、対策の優先順位と抜け漏れを整理しやすくなります。
境界と「内側は安全」の前提を見直す
まず、境界の前提からです。「社内ネットワークだから信頼する」「VPNでつながっているから社内ユーザー」といった暗黙の前提が、拠点機器やVPN経路を足がかりにした侵入を許す構造になっていないか、一度あらためて点検する価値があります。2026年サイバーリスクへの準備でも触れたとおり、境界防御だけに頼らず、ID・振る舞い・資産の可視化に重心を移すことが、現代の脅威には有効です。リモートアクセス経路や拠点機器の管理画面が、本当に必要最小限の強度と監視になっているかも、棚卸しの対象に含めるとよいでしょう。
次に、ゼロトラストの進め方です。
ゼロトラストは「デバイス更新」で終わらせない
ゼロトラストは 「端末を買い替えた」だけでは成立しません。アクセス制御ポリシー(誰が・何に・どの条件でアクセスできるか)の設計と、例外ルールの可視化・定期見直しがセットになって初めて意味を持ちます。移行が途中のあいだは、「移行前の端末・経路が攻撃者にとっての格好の足がかりになる」 というリスクを認識し、移行計画のスピードと、移行前資産の暫定対策(パッチ、ネットワーク分離、監視の強化など)のバランスを取ることが重要です。
三つ目は、ガバナンスと目標の見え方です。
ガバナンスと計測可能な目標を据える
セキュリティを「経営リスク」として扱うには、独立した担当組織・役員と委員会によるモニタリングに加え、「何をもって改善したとするか」 を数値やスコープで示せるようにしておくとよいです。初動時間、検知・封じ込め時間、MTTR、あるいはペネトレーションテストの結果や是正率など、利害関係者が納得できるKPIを決め、定期的に振り返る仕組みがあると、再発防止策が形骸化しにくくなります。技術だけでは防げない——アスクル事例が教えるセキュリティ文化と風土の重要性で触れたように、報告しやすく、例外を隠さない文化と組み合わせることで、ガバナンスの実効性が高まります。
まとめ——三つのアクション
本記事の内容を整理します。アサヒGHDの事例で公表されている事実から読み取れる最大の瑕疵は、拠点のネットワーク機器を経由した一次侵入と、再発防止策で全面廃止が明記されたリモートアクセスVPNに代表される経路、「内側は安全」という前提、そしてゼロトラスト移行途中のハイブリッド構成が重なり、防御の前提と設計思想にギャップが生じていた、と専門家の分析で指摘される構図です。再発防止策の方向性は妥当であり、今後の評価は実行速度と構成の整合性、KPIの達成度が鍵になります。
この教訓を自社に活かすなら、次の三つを行動に移すとよいでしょう。
第一に:「内側は安全」前提の点検
拠点機器・VPN・管理用経路が攻撃の足がかりになっていないか、資産の棚卸しとアクセス経路の可視化から始めるとよいです。
第二に:ゼロトラストを「ポリシーと例外」まで含めて設計する
デバイスやツールの更新だけでなく、アクセス制御ポリシーと移行途中のギャップを意識した暫定対策をセットで進めましょう。
第三に:ガバナンスとKPIをセットで据える
独立組織・委員会に加え、初動時間・検知・封じ込め・復旧時間など、計測可能な目標を決め、定期的に振り返る仕組みを持つと、再発防止の実効性が高まります。
事象の概要から最大の瑕疵、再発防止策の評価、そして自社への示唆まで一通り見てきました。自社が「同じ前提の罠」に陥っていないか、いま一度、境界・経路・権限の三つの軸で点検してみることをおすすめします。
作成日: 2026年3月1日