2025年9月に発生したランサムウェア被害を受けたアサヒグループホールディングス（HD）が、徹底的な調査と分析に基づき、再発防止策を発表しました。今回の対策では、情報セキュリティを管轄する独立組織の設置やガバナンス体制の強化など、抜本的な見直しが行われます。

被害状況と経緯

2025年9月29日午前7時頃、アサヒグループのシステムに障害が発生。調査を進めた結果、約10日前に外部の攻撃者がネットワークに侵入し、パスワードの脆弱性を突いて管理者権限を奪取していたことが判明しました。攻撃者はネットワーク内部を探索し、主に業務時間外に複数のサーバーへの侵入と偵察を繰り返していたとみられています。

9月29日にはランサムウェアが実行され、ネットワークに接続する範囲で起動中のサーバーやクライアント端末のデータが暗号化されました。一部のクライアント端末からはデータの流出も確認されており、データセンター内の個人情報についても流出の可能性が指摘されていますが、現時点ではインターネット上への公開は確認されていません。被害は日本国内のシステムに限られています。

緊急措置と復旧状況

被害拡大を防ぐため、アサヒグループはリモートアクセス用VPN、拠点間ネットワーク、クラウド間接続回線などを遮断。データセンターを完全に隔離し、業務システムへのアクセスを停止しました。バックアップデータの健全性確認のため、一時的にバックアップシステムも停止しています。

商品供給に影響が出た受注・出荷システムは、手作業での対応を続けてきましたが、アサヒビールとアサヒ飲料では電子受発注システム（EOS）による受注を2025年12月3日から、アサヒグループ食品では同12月2日から再開。2026年2月までに配送のリードタイムも通常化し、物流業務全体は正常に戻っています。

再発防止策の柱：ガバナンス体制の強化

アサヒグループHDは、サイバー攻撃のリスクを経営上の最重要リスクの一つと位置付け、グループ全体でサイバーセキュリティ基準を制定・運用してきました。今回の攻撃を踏まえ、以下の対策を強化します。

• IT資産の管理徹底：ネットワーク機器、サーバー、クライアント端末などの管理を強化
• セキュリティツールの最新化と高度化：エンドポイント脅威検知対応（EDR）を含むセキュリティツールを最新化
• 情報管理規程の周知徹底：全従業員への情報管理規程の周知を徹底
• 独立組織と専任担当役員の設置：情報セキュリティを管轄する独立した組織と専任の担当役員を設置
• 情報セキュリティ委員会の設置：情報セキュリティリスクの可視化、対応策の計画・実行状況のモニタリング
• 規程の改定と監視・監査の強化：「情報管理・情報セキュリティ規程」の改定と順守状況の監視・監査を強化
• 取締役会の監視機能強化：「取締役会スキルマトリックス」の見直し、取締役会と情報セキュリティ委員会、内部監査機能、外部専門家との連携強化

アサヒグループHDは、これらの対策を通じて、情報管理・セキュリティ管理を高度化し、万が一の事態が発生した場合でも影響を最小限に抑える体制を構築していく方針です。