当エントリは『ネクストモード フルリモート業務を実現するSaaS活用&カルチャー Advent Calendar 2024』10日目のエントリです。
こんにちは、ネクストモードのたなすけです。
11月27日、YouTubeで配信されていたアサヒグループホールディングス(以下、アサヒGHD)の記者会見を視聴しました。 今回のサイバー攻撃によるシステム障害について、経営トップが自ら説明を行うというものです。
私は普段、営業職として働いていますが、実は「情報処理安全確保支援士(登録セキスペ)」の資格を持っています。 とはいえ、バリバリのエンジニアというわけではありませんので、技術的な深い部分はまだまだ勉強中の身ですが、登録セキスペとして、今回のようなインシデントが起きた際に「企業はどう対応したのか」「なぜ防げなかったのか」という点には、人一倍関心を持っています。
今回の会見は、単なる謝罪にとどまらず、事実関係の公表から今後の対策まで非常に具体的に語られており、私のような立場の人間にとっても、本当に多くの学びがある内容でした。
今回は、この会見動画を視聴して、私が支援士として、そして一人の営業担当として感じたことを、感想文として綴ってみたいと思います。
本記事は、2025年11月に行われた記者会見の公開情報をもとに、筆者個人の見解と分析をまとめたものです。情報の正確性には細心の注意を払っておりますが、その内容を100%保証するものではありません。また、特定の企業や団体を批判する意図は一切なく、あくまでサイバーセキュリティの啓発・考察を目的としています。
「対策済みの企業」でも防げないという衝撃
会見を見ていて一番考えさせられたのは、アサヒGHDが決してセキュリティ対策を蔑ろにしていたわけではない、という点です。
勝木社長の説明によれば、NIST(米国国立標準技術研究所)のフレームワークを参照し、定期的な模擬攻撃訓練も実施していたとのことでした。私たちが教科書で学ぶような「やるべき対策」はしっかり行われていた印象です。
しかし、それでも被害は起きてしまいました。 国内グループ会社のネットワーク機器の脆弱なパスワード等が突かれ、障害発生の約10日前には侵入を許していたそうです。
「10日間」という潜伏期間。 この数字を聞いたとき、私は従来の「境界型防御」の難しさを改めて感じました。
これまでのセキュリティは「社内」と「社外」を分け、境界線に壁を作るのが主流でした。しかし、一度その壁を突破されてしまえば、攻撃者は社内ネットワークという「信頼された空間」の中で、誰にも怪しまれることなく、じっくりと管理者権限を奪う準備ができてしまう。
攻撃当時、アサヒGHDは、ネットワークのセキュリティモデルがファイアウォールを前提としたものであったこと、そしてゼロトラストセキュリティへの移行を進めている最中であったことということから、「過渡期の隙」を突かれてしまった、というのが実情のようです。
この事実は、私たちにとても大きな教訓を与えてくれています。
それは、「対策の方向性は合っていても、実装が完了するまではリスクに晒され続ける」という、考えてみれば当たり前ですが、非常に恐ろしい現実です。 アサヒGHDのような大企業でさえ、移行のスピードと攻撃のスピードの競争に勝つのは難しい。そう考えると、私たちも「いつかやろう」ではなく、少しでも早く新しい守り方へシフトしていく必要があると痛感しました。
模擬攻撃訓練をしていても、実際の攻撃者はその想定のわずかな隙間を突いてくる。防御の難しさを痛感すると同時に、壁を作るだけの守り方には限界があるのだなと、改めて勉強になりました。
IPA「情報セキュリティ10大脅威(組織編)」と照らし合わせて感じたこと
今回の事例を、私が資格試験の勉強でも何度も目にしたIPA(情報処理推進機構)の「情報セキュリティ10大脅威(組織編)」と照らし合わせてみました。すると、まさに教科書通りのようなリスクが現実のものとなっていることに気づきます。
特に気になったのは以下の点です。
ランサムウェアによる被害(1位)
事業の根幹である生産・出荷システムが停止してしまいました。ランサムウェアが単なるウイルス騒ぎではなく、事業継続を揺るがす経営リスクであることを再認識させられます。
サプライチェーンや委託先を狙った攻撃(2位)
侵入の入り口は、本社ではなくグループ会社でした。 これは普段、中小企業のお客様ともお話しさせていただく私にとって、非常に重い事実です。
「うちは大企業じゃないから狙われないよ」 商談の中で、そうおっしゃる経営者の方もいらっしゃいます。しかし、攻撃者はターゲット企業の関連会社や取引先を「踏み台」として狙うケースが増えています。あるいは、無差別に脆弱な機器を探すスキャンツールによって、企業の大小に関わらず「鍵が開いているところ」から侵入されることもあります。
インターネットに繋がっている以上、規模に関係なくリスクは等しく存在する。そのことを、今回の会見を見て改めて強く感じました。
たどり着く答えは、やはり「ゼロトラスト」
アサヒGHDは再発防止策として、「VPNの廃止」と「ゼロトラストアーキテクチャへの移行」を掲げました。
会見の中で「ゼロトラスト」という言葉が経営トップの口から明確に語られたこと。これはセキュリティ業界にとっても、非常に大きな意味を持つ出来事だと感じました。
ゼロトラストとは、単に「何も信頼しない」という意味ではなく、「暗黙の信頼を排除し、すべてのアクセスを常に検証する(Never Trust, Always Verify)」という考え方です。 かつてのような「社内ネットワークだから安全」という前提(暗黙の信頼)を捨て、データにアクセスするたびに「あなたは本当に本人ですか?」「その端末は安全ですか?」と疑ってかかります。
もし、この仕組みが整っていればどうだったでしょうか。 仮にパスワードを突破されて侵入されたとしても、サーバーからサーバーへ移動するたびに認証が求められます。そうなれば、「10日間も気づかれずに自由に動き回る」ことは極めて困難だったはずです。
感想:私たちはどう動くべきか
今回の会見を見て、私はアサヒGHDの対応に、ある種の潔さと覚悟を感じました。 起きてしまったことは取り返しがつきませんが、そこから得た教訓を「ゼロトラストへの移行」という形で経営判断に昇華させた点は、多くの企業が見習うべき姿勢だと思います。
まだ勉強中の身ではありますが、私の素直な感想としては、「もはや、境界型防御だけで守り切るのは本当に難しい時代になったんだな」ということです。
ただ、これは決して悲観的な話ではありません。 「侵入されるかもしれない」という前提に立ち、守り方を変えればいいのです。
VPNへの依存を減らし、IDベースの認証(Oktaなど)や、クラウドベースのセキュリティ(Netskopeなど)を活用して、どこからのアクセスであっても都度検証する。それが、これからの時代の「当たり前の鍵」になっていくのだと思います。
ネクストモードでは、こうした「ゼロトラスト」の導入支援を行っています。 今回のニュースを見て、「自社のセキュリティは今のままで大丈夫だろうか」と少しでも不安を感じた方がいらっしゃれば、ぜひ一度お話しさせてください。私も皆さんと一緒に最適な守り方を考えていければと思います。
.png?height=200&name=%E3%82%AB%E3%83%AB%E3%83%81%E3%83%A3%E3%83%BC%20(1).png)
