アサヒビールとアスクルへのサイバー攻撃から考える － ゼロデイ時代に必要なトータルセキュリティ戦略レポート

2025年9月末に アサヒグループホールディングス が受けたサイバー攻撃は、企業のシステム基盤を直撃し、ゼロデイ脆弱性の脅威を浮き彫りにしました。
また10月にはアスクルもサイバー攻撃を受けており、受注・出荷・生産システムの停止、新製品発売の延期など企業活動に直接的な影響を及ぼしたこれらの事件は、従来のセキュリティソフトでは防げない攻撃が現実化し、企業には「攻撃を前提とした設計」と「全社的なセキュリティ総合力」が求められています。

今回のアサヒグループへの攻撃は、未発見の脆弱性（ゼロデイ脆弱性）が悪用された可能性が指摘されています。
ゼロデイ攻撃とは、ソフトウェアの欠陥が公表・修正される前に利用される攻撃手法であり、既存のセキュリティソフトやウイルス定義ファイルでは検知・防御が難しいのが特徴です。

そのため、「セキュリティソフトを導入しているから安心」という従来の考え方は通用しません。
未知の攻撃に備えるためには、多層的・多段階的な防御体制と、攻撃を受けた後の被害最小化までを含む「トータルセキュリティ」の視点が欠かせません。

アサヒグループの事案では、複数の業務システムが連鎖的に停止しました。
これは、システム間の依存関係が強く、侵入後の被害拡大を防ぐ“区画整理（セグメンテーション）”が十分に行われていなかったことを示唆しています。

今企業に求められているのは、「導入したセキュリティソフトの強度」ではなく、以下のような組織全体でのセキュリティ総合力（アーキテクチャ・運用・意識）の高さです。これらが相互に機能することによって、初めて“守れる組織”になります。

• ネットワークの区画化と通信制御
• 権限管理とアクセス制御
• 監視・検知体制の自動化
• インシデント発生時の封じ込め設計

サイバー攻撃に対して“ダウンしない”仕組みを実現するには、アーキテクチャ設計段階からのセキュリティ構築が不可欠です。
しかし多くの企業では、機能性や利便性を優先するあまり、セキュリティ層の分離や冗長構成が後回しにされがちです。

アサヒグループの被害では、業務基盤が一部停止したことで、物流・販売・生産がすべて影響を受けました。これは「多段階システム構成」や「被害分離構造」が十分に取られていなかったことを示唆します。
攻撃を受けても業務全体が止まらないよう、各層を論理的に分離する設計が、今後必要不可欠です。

ランサムウェアやゼロデイ攻撃による被害金額は、年々増加傾向にあります。
直接的なシステム復旧コストだけでなく、以下のような経営全体への波及リスクが極めて大きい点が特徴です。

• 生産・販売の停止による損失
• ブランド信頼の低下
• 顧客対応・報告体制への人的コスト

つまり、セキュリティはもはや「IT部門だけの課題」ではなく、企業のサステナビリティを左右する経営課題となっています。
経営層を含めた全社的な意識改革と、リスクマネジメントの体系化が急務です。

サイバー攻撃は「いつ起こるか」ではなく、「いつ気づけるか」「どこまで耐えられるか」の時代に変わりつつあります。
したがって、今、企業が取るべき方向性は次の4点です。

1. 攻撃を前提としたシステム分離・冗長化設計
   被害を受けても業務が継続できるアーキテクチャを整備する。
2. 多層防御による侵入経路の最小化
   入口・内部・出口それぞれで防御を配置し、段階的に封じ込める。
3. EDR（Endpoint Detection and Response）の導入と活用
   端末レベルでの振る舞い監視と、異常検知・自動隔離を行う。
4. セキュリティ運用の標準化と教育
   ヒューマンエラーや構成ミスを減らすため、組織全体で“運用力”を磨く。

今回のアサヒグループの事案は、「セキュリティをどこまで設計に組み込めるか」が企業の強さを決めることを改めて浮き彫りにしました。
未知の脅威（ゼロデイ）を完全に防ぐことはできません。
しかし、攻撃を受けても止まらない設計、被害を最小化する区画整理、そして全社的なセキュリティ意識があれば、被害の広がりを食い止めることは可能です。

「セキュリティ＝総合力」
これからの企業は、この前提に立ったシステムと組織づくりが求められています。