アサヒビール公式サイトより
●この記事のポイント
・DX先進企業のアサヒGHDがランサムウェア被害を受け、グローバル統合ERPが停止。効率化の裏に潜む「集中リスク」が露呈した。
・ERP一本化は業務効率を高める一方で、障害時に全体停止の危険を伴う。企業は防御より「継続」を前提にしたBCP設計が急務に。
・今後はERP集中から分散型アーキテクチャへ転換が進む可能性。DX成功企業ほど脆弱になるという逆説が突きつけられた。
2025年9月、国内外のビール事業を展開するアサヒグループホールディングス(以下、アサヒGHD)が、サイバー攻撃を受けて基幹システムが停止した。攻撃の影響は物流や販売システムにまで波及し、一部商品――特に看板ブランド「スーパードライ」が一時的に店頭から姿を消す可能性も指摘されるほどだ。
アサヒGHDは「グローバル統合ERP(基幹業務システム)」を導入し、調達から製造、販売までの全業務を一本化していた。DX(デジタルトランスフォーメーション)先進企業として名高い同社が、なぜ深刻な被害を受けたのか。この事件は、ERP一本化という「効率化の象徴」が、いかにしてリスクの集中点になり得るのかを示す警鐘ともなった。
世界をつなぐシステムが「世界を止めた」
アサヒGHDの説明によれば、今回の攻撃はランサムウェアによるものとみられ、影響は日本国内にとどまらず、ヨーロッパやオーストラリアなど海外子会社の業務にも波及した。グローバルで統合されたシステムを採用していたことが裏目に出た形だ。
同社は近年、SAPベースの統合ERPを中核に据え、グローバルサプライチェーンの一元管理を推進してきた。これにより、部門間のデータ共有や意思決定のスピードは飛躍的に向上したが、単一の障害が全社に波及する「集中リスク」を抱えることにもなった。
実際、サプライヤーとの発注、物流指示、販売データの更新といった日常的な業務が滞り、商品の供給が一時停止。国内小売業界では「スーパードライが棚から消える」といった声も上がった。
「グローバル一体型システムは、効率化と標準化の切り札だが、攻撃を受けた瞬間、それが『単一障害点(Single Point of Failure)』になる」(セキュリティ専門家)
ERP統合は“善”か? いま再び問われるDXの方向性
近年、多くの大企業がERP統合を進めてきた。NEC、花王、トヨタ、そしてアサヒGHDもその代表例だ。目的は明確で、業務の標準化・見える化・迅速化による生産性向上である。しかしその一方で、ERP化の進展は、サイバー攻撃による業務停止の「スケール」を拡大させるリスクをはらむ。
ERPは、調達・生産・販売といった企業の“神経網”を1本化する。つまり攻撃者にとっては「中枢神経を断つ」ことと同義だ。ランサムウェア攻撃のターゲットが、近年、製造業やインフラ企業に集中しているのはそのためである。
今回、アサヒGHDのようなグローバルDX先進企業が狙われたことは、「DX推進企業ほどリスクが高い」という逆説を浮き彫りにした。
セキュリティ専門家の間では、攻撃者がアサヒを選んだ理由として「経済的な打撃力」と「ブランド価値」を挙げる声が多い。
「アサヒは国際的に知名度の高い上場企業であり、世界のビール市場でも存在感があります。攻撃が成功すれば、企業側は信用失墜やサプライチェーンの混乱を恐れ、身代金(ランサム)を支払う可能性が高い。つまり“費用対効果”の高いターゲットといえます」(ITジャーナリスト・小平貴裕氏)
さらに、アサヒは社内外のIT基盤を連携させた「グローバル統合DX」を進めており、社内ネットワークの複雑性が増していた。このような構造では、セキュリティパッチや監視体制のわずかな隙間を突かれる可能性が高まる。
「100%防げない」時代の前提…事業継続計画の再設計へ
今回の事件を受けて、多くの企業で議論が高まっているのが「防御ではなく、持続可能な復旧」への発想転換である。
どれほど堅牢な防壁を築いても、ゼロデイ攻撃や内部不正など、100%の防御は存在しない。むしろ重要なのは、被害を前提に業務を継続できる「レジリエンス型のシステム設計」だ。
たとえば、
・ERPとは別にオフラインで動くバックアップ発注システムを保持する
・クラウドとオンプレミスを併用した「二重系構成」にする
・社内BCP訓練に「システム停止時の手作業シナリオ」を組み込む
といった“システム断絶前提の運用設計”が求められる。
経営層の間でも、BCP(事業継続計画)を「防災対策」ではなく「サイバー防災」として再定義する動きが加速している。
アサヒ事件を機に、ERP一本化を進めてきた企業の間で「分散アーキテクチャ」への回帰が話題となっている。
クラウドネイティブな時代においては、業務ごとに独立したマイクロサービスを連携させる「疎結合型システム」がトレンドだ。これにより、1つのシステムが攻撃されても全体が止まることを防げる。
一方で、ERP一本化はデータ整合性や統治性を担保できるという利点がある。効率か、分散か――DXの次なる焦点は「冗長性設計」に移っていくだろう。
クラウド事業者やSIerの間では、今回の事件を受けて「モジュール単位の独立復旧が可能なERP」や「オフライン復元機能付き基幹システム」への問い合わせが増えているという。
DXの「光」と「影」
DXは、業務効率化とスピードをもたらすが、同時に「依存構造」を強化する。そのため、真のDXとは「集中」ではなく「分散」をいかにデザインできるかにかかっている。
経営層に求められるのは、IT投資を「成長コスト」ではなく「生存コスト」として捉えることだ。セキュリティ対策費を「コスト削減の敵」とみなすのではなく、事業継続性を維持するための“生命保険”として位置づける発想転換が必要である。
アサヒGHDの一件は、DX成功企業にとって他人事ではない。むしろ「DXが成功すればするほど、攻撃リスクも増大する」という構造的現実を、経営戦略としてどう受け止めるかが問われている。
アサヒグループのサイバー攻撃は、単なるIT障害ではなく、デジタル経営そのものの“脆さ”を突かれた事件だった。グローバル化と効率化の果てに、システムが一点に集中した構造――それが、ランサムウェアという“新たな戦場”において最大のリスクになった。
この事件が残した教訓は明確だ。
DXの未来は、スピードではなく「耐久性」で測られる。どれだけ止まらないか――それが、次世代経営の競争力である。
(文=BUSINESS JOURNAL編集部)
