記者会見を行うアサヒグループホールディングスの勝木敦志社長(中央)ら=東京都千代田区(相川直輝撮影)
This post is also available in: English
サイバー攻撃を受けた飲料・食品大手アサヒグループホールディングスで、システム障害に伴う被害実態が明らかになった。
物流業務が正常化するのは来年2月までかかり、顧客や社員らの個人情報191万4千件が漏洩(ろうえい)した疑いがあるという。
アサヒは個人情報に関する専用窓口を設置した。漏洩の恐れがある個人情報は氏名や住所、電話番号などで、クレジットカード情報は含まれていないとしているが、顧客からの問い合わせや相談には丁寧に対応してもらいたい。
アサヒに対するサイバー攻撃は身代金要求型コンピューターウイルス「ランサムウエア」によるものだった。教訓とすべきは、システム障害が発生する約10日前に侵入を許していながら検知できなかったことだ。
グループ拠点のネットワーク機器から侵入を許した後、管理者権限が乗っ取られ、そのアカウントを利用して不正アクセスが繰り返されていた。侵入に気づかなかったことで、被害を拡大する結果となった。
アサヒのシステムのセキュリティーは米国の外部機関の診断で基準を満たしていたという。不正アクセスを検知する仕組みも導入していた。それでも侵入を許し、検知までに時間を要したことは、どれだけ対策を取ったとしてもサイバー攻撃による被害が生じる恐れがあることを示している。
企業は、サイバー攻撃に対する防護を最重要の経営課題と認識する必要がある。自社システムを点検し、脆弱(ぜいじゃく)性の高い機器を入れ替えるなどの対策を進めるのは当然だが、それ以上に重要になるのは侵入を許した後の対応策を講じておくことだ。
アサヒは今後の改善点について、システムごとに独立した仕組みにすることや、データのバックアップを細かくとることなどを挙げている。事業継続計画(BCP)も再設計する。基本的なことではあるが、早急に取り組むべき対策として、他社も参考にしてもらいたい。
サイバー攻撃の手段は巧妙になっており、どれだけ有効な対策を導入したとしても時間が経(た)つにつれて脆弱性が高まることは避けられない。対策したからといって安心することなく、不断の見直しが必要になると銘記したい。
◇
2025年12月6日付産経新聞【主張】を転載しています
This post is also available in: English
