- TOP
- レポート・書籍・動画
- コラム
- サイバー攻撃は“経営の試練”となるのか?アサヒGHDが示した現代の危機対応
サイバー攻撃は“経営の試練”となるのか?アサヒGHDが示した現代の危機対応
日本企業にとってサイバー攻撃は、もはや“想定外の災害”ではない。日々起こり得る経営リスクであり、避けて通れない課題だ。しかし、多くの企業ではサイバーリスクを依然として「IT部門の問題」として扱いがちで、その本質に踏み込めていないことが多い。
今回、アサヒグループホールディングス(以下、アサヒGHD)が受けたサイバー攻撃と、11月27日に開かれたアサヒGHDの勝木社長による記者会見は、この認識をあらためて問い直す重要な機会となった。
このコラムでは、アサヒGHDの記者会見を基に、リスクマネジメントの視点から、リスクマネジメント、事業継続性、ガバナンス、といった経営課題の本質について考えてみたい。
1.アサヒGHDにおける本事案のタイムラインとリスクマネジメント
|
|
公表事実 |
リスクマネジメントと経営判断 |
|---|---|---|
|
フェーズ1: |
・9/29に国内システム障害を確認。受注・出荷・問い合わせ業務を停止。 ・同日中に緊急事態対策本部を設置。 ・即日公表し、システム遮断で封じ込めを実施。 |
情報の即日開示と遮断により「透明性」と「情報保護」を最優先。短期のオペレーション継続より、安全性確保と原因究明、周辺リスクの低減を優先する経営判断が機能。初動の迅速性から、事前のインシデント対応体制が有効に働いていたことが示唆される。 |
| フェーズ2: 混乱と代替オペレーション(9/30〜10月上旬) |
・工場稼働が大幅に制約。 ・手作業による受注・出荷を開始し、限定的に供給を再開。 ・10/2以降、順次工場再開。 |
BCPの「実働フェーズ」に移行し、現場の柔軟性により供給維持を図る。手作業などの運用により、現場負荷・オペレーションリスクも増大する一方、組織レジリエンスが機能し供給断絶を防止。経営は現場の健全性への配慮を明確にして、人的リスク管理を優先した。 |
| フェーズ3: 段階的開示と影響把握(10月上旬〜10/14) |
・流出疑いのデータを確認 ・10/14に個人情報流出の可能性を発表。 ・決算発表延期を公表。 |
不確実性の中でも段階的に情報公開し、説明責任を果たす姿勢を示したフェーズ。サイバー攻撃が財務報告に直接影響を及ぼす「経営リスク」となる。社内従業員も含めたステークホルダー配慮に基づくガバナンスが強く意識された。 |
| フェーズ4: 最終状況公表と記者会見実施 (11/21〜11/27) |
・11/27にHD勝木社長が会見し、個人情報流出を公表。 ・経営計画は維持と説明。 ・物流復旧を翌年2月と取引先に通知。
|
経営トップが「倫理・透明性・戦略継続性」を外部に明示・強調。サイバーリスクを経営アジェンダとして再定義し、ERM・BCPの高度化にコミット。これから信頼回復と経営レジリエンスを構築する段階といえる。 |
※アサヒグループHDや各種公表情報を基に筆者作成
まず注目したいのは、アサヒGHDが決して無防備だったわけではないという点だ。ゼロトラストへの移行、NISTフレームワークに基づく成熟度診断、ホワイトハッカーの模擬攻撃……いずれも日本の大企業としては高いレベルの取組みであり、本来なら「十分な対策」が整っていたと判断してよい内容だといえる。それでも攻撃を受け、被害が生じた。ここには多くの企業が見落としている“盲点”がある。
リスクコンサルタントの視点で見ると、今回の本質的な教訓は「高度な事前対策」よりも、「破られた後にどう立ち向かうか」という“組織の余力”に関わる部分だといえる。どんなに優れたセキュリティでも、攻撃者が本気で狙えば突破される可能性はゼロではない。重要なのは、セキュリティが突破された瞬間、組織がどう振る舞えるかという点である。アサヒGHDが手作業で出荷を続けることができたのは、現場の柔軟性やオペレーション能力の高さに支えられていた。
また、今回の事案はアサヒGHDのERM(全社的リスクマネジメント)にも大きな影響を与えたように思う。同社はこれまでも、自然災害やサイバーリスクといった「中長期経営方針」の戦略遂行や目標達成を阻害し得る「重大リスク」を選定し、必要な投資を行いながら管理を進めてきた。しかし、それでも攻撃を食い止められなかったという事実は、「重大リスクを個別に列挙して管理する」という従来の手法だけでは限界があることを示しているのかもしれない。リスクは互いに影響し合いながら企業へ影響を及ぼすため、個別最適にとどまらない、横断的かつ全体最適を視野に入れたマネジメントが求められる。
さらに、勝木社長が語った「経営者はITに興味があるだけでは足りない」という言葉には、多くの日本企業が直面している本質的な課題が凝縮されているように思う。サイバー攻撃はシステムの話ではなく、サプライチェーン、ブランド、財務・金融、人的資本まで巻き込む“経営そのもの”の問題である。つまり、セキュリティはITの専門領域ではなく、経営者が深く理解し、判断し、優先順位を付けなければならない経営課題なのだ。
また興味深いのは、「脆弱性はないと思っていたところにあった」という点である。これは単にシステムの穴があったという意味ではなく、「組織として見えていなかった領域があった」という広い意味で捉えるべきだ。多くの企業は、想定した範囲の中でリスクを管理しようとするが、実際の脆弱性は“見えていない部分”に潜んでいることがほとんどである。今回の事案は、視野の広さこそが最大の防御力であることを再認識させる出来事となった。
最後に、今回のインシデントをアサヒGHDは単なる“被害”として捉えていない。外部の支援提案を受け入れ、自社の知見が広がったと評価している点に、成長する企業の姿勢が見える。危機は痛みを伴うが、組織に変革の火をつける契機にもなる。企業の強さとは、危機を完全に防ぐことではなく、危機を成長に転換する力にこそ宿る。
2.今回のアサヒGHDによる記者会見から見えてきたリスクマネジメントのポイント
- サイバー対策の事前状況と攻撃評価
既存対策はNIST準拠の診断やホワイトハッカーの模擬攻撃など一定水準を満たしていたが、今回の攻撃はそれらを上る想定外のものだった。 - 従業員負荷と健康への配慮
復旧に伴う手作業の長時間対応で現場負荷が増大する中、経営トップとして「無理をしない」方針を繰り返し発信し、社員と外部ベンダー双方の健康を最優先した。 - BCPの評価と改善方針
手作業ながら出荷継続できた点は一定評価した一方、復旧の長期化は明確な課題であり、今後は迅速かつ強靭に回復できるBCPへの構造的な見直しが不可欠となった。 - ERM全体の課題と教訓
トップリスクとしてサイバー攻撃を挙げて対策も進めていたが被害が発生した。自然災害を含む重要リスク全体を再点検し、ERMの高度化を進める必要性が生じた。 - ガバナンスと経営者の姿勢
脆弱性の想定不足や対策の最適化不足を反省し、経営者自身がIT知見を深めてガバナンスに積極的に踏み込み、組織のセキュリティ実効性を高める必要性を痛感した。
3.まとめ
アサヒGHDの事案は、サイバー攻撃の“怖さ”を示したのではなく、企業のガバナンスや組織文化、経営の覚悟が問われる時代の到来を象徴している。これを単なる他社事例として片づけるのではなく、自社の“見えていない脆弱性”に目を向ける契機としてほしい。サイバーリスクは技術の問題ではない。企業の意思、文化、人材、ビジネスの存続といった経営と事業継続そのものの課題なのだ。
経営リスク、組織、ガバナンスに関するご相談
このコンテンツの著作権は、SOMPOリスクマネジメント株式会社に帰属します。
著作権法上、転載、翻案、翻訳、要約等は、SOMPOリスクマネジメントの許諾が必要です。
※コンサルタントの所属・役職は掲載当時の情報です。