品薄になった「スーパードライ」──サイバー被害が突きつけた「統治」の空白

2026.02.12

「ビールがない日」は、意外に重い

たまたまYahooニュースで、「アサヒグループHDがランサムウェア被害を受け、スーパードライなどが品薄になった」という記事を見ました。サイバー攻撃という言葉は、どこか“画面の向こう”の出来事に聞こえがちです。でも品薄は、こちら側に出てくる。棚の前で一瞬止まる、あの感じは、理屈より先に体に残ります。

しかも今回は、個人情報の漏えい懸念やデータ公開の報道も併走していました。供給の混乱と情報の不安が重なると、企業の信用は数字以上に揺れやすい。ここまでは想像がつく話です。問題は、その先にある「やっていたのに」という部分です。

ランサム被害は「暗号化」で終わらない

ランサムウェアは、端末やサーバーのデータを暗号化し、復号と引き換えに金銭を求める攻撃として知られます。ただ、実害は暗号化の先にあります。業務が止まる。復旧に時間がかかる。取引先への説明が必要になる。情報漏えいの疑いが残る。そして最後に、「うちの会社は大丈夫だったのか」という静かな不信が、外にも内にも沈殿していきます。

厄介なのは、攻撃が“ITの部品”だけを狙うわけではない点です。受注、出荷、請求、問い合わせ。どれか一つが欠けるだけで、事業の流れは細くなっていく。ビジネスは、部品の集合体だからです。止まるのはサーバーではなく、だいたい人間の段取りの方だ、という身もふたもない真実がここにあります。

工場が無事でも、供給が乱れる理由

今回の報道では、工場の制御システム自体は大きな被害がなく、製造再開も比較的早かった趣旨が語られました。それでも品薄が起きた。ここに、現代の企業活動の“盲点”が出ます。工場が動くことと、商品が店頭に並ぶことは、同じではない。

受注が止まる。在庫の引当ができない。配送の指示が出せない。取引先との照合ができない。一つひとつは地味ですが、それらがつながって“供給”になります。つまり、周辺業務が揺れるだけで、供給は簡単に細ります。工場の強さより、業務のつなぎ目の弱さが先に露呈する。そこが、いちばん痛い。

記事には、電話・FAX・紙・Excelで出荷業務を回した記述もありました。ここは、遅れを嘲笑する箇所ではなく、止めないための冗長性として読む方が誠実です。デジタルが止まったとき、最後に残るのは、人が回せる手段だからです。笑い話に見える場面ほど、実は体力が出ています。

「やっていたのに破られる」時代の入口

社長のコメントとして、NISTに沿った対策、模擬攻撃訓練、EDR導入など、“進めていた”ことが語られた上で、十分ではなかったと振り返られています。この部分は、いちばん重い。なぜなら、ここに“安心の逃げ道”がないからです。「対策していなかったからだ」と言えない。「これを入れれば解決する」とも言えない。

つまり私たちは、対策の有無ではなく、対策を回し続ける力で問われる局面へ入った。そういう印象があります。EDRは典型です。導入した瞬間に安心してしまう。しかし、検知してからが本番です。誰が分析し、誰が隔離し、誰が復旧を決めるのか。体制がなければ、アラートは“鳴るだけ”になります。

フレームワークや訓練も同じです。実施したという記録は残る。けれど現場が忙しくなれば、例外が増え、抜け道が増え、“形だけ”が増える。その速度は、思っているより速い。そして不思議なことに、その「例外」はだいたい善意の顔をしています。忙しいから、急ぎだから、今回は特別。そうやって穴は拡張していく。

ゼロトラストより前に「統治」がある

報道では、VPNの見直しからゼロトラストへという方向性も語られました。ゼロトラストは簡単に言えば、「社内だから安全」「一度認証したから安全」という前提を置かず、都度確認し、最小権限でつなぐ考え方です。

ただ、ここで誤解してはいけないのは、ゼロトラストが“導入すれば勝ち”ではない点です。運用の積み上げが前提になります。認証、端末管理、権限、ログ、例外処理。地味な管理が、地味に効く。その積み重ねが、結局は統治です。

社長が述べた「セキュリティは結局ガバナンス」という言葉は、その地味さを、真正面から言い当てています。ルールを作る。しかしそれだけでは足りない。守られているか。例外が常態化していないか。先送りが習慣化していないか。誰が監督し、誰が改善を回すのか。

セキュリティ投資は成果が見えにくい。うまくいっている時ほど、「何も起きない」という形でしか現れません。だから後回しになりやすい。ここで意思決定が弱いと、穴は静かに残ります。そして組織の力学もあります。デジタル推進は便利さとスピードを求める。守りは足を止める役回りになりやすい。だから推進と抑制の間に、緊張と牽制が必要になる。統治とは、善意を疑う冷たさではなく、現実に耐える仕組みのことだと思います。

次に備えるための短いチェックリスト

大企業でも被害が起きるなら、規模だけで安心はできません。最後に、最小限の観点を置きます。怖がるためではなく、問いを手元に残すために。

  • 例外の棚卸し:例外運用が“いつの間にか標準”になっていないか。
  • 端末とデータの置き場所:重要データが端末に残りっぱなしになっていないか。
  • 権限の整理:管理者権限が必要以上に放置されていないか。
  • 検知の先(対応):検知後に誰が判断し、誰が隔離し、誰が復旧の段取りを回すのか。
  • 止まったときの代替手段(BCP):デジタルが止まっても、受注・出荷・顧客対応を続ける手段があるか。

結局のところ、「破られる前提」を引き受けた上で、続けられる仕組みを作れるか。今回の出来事は、技術の事件でありながら、経営の事件でもあった。その境界を、生活の側にまで引き寄せた。そう受け止めています。

そして最後に、鏡だけ置きます。私たちは本当は、どこかで「これをやれば大丈夫」と言ってほしいだけではないのか。けれど現実は、誰かが保証してくれる世界ではない。だからこそ統治が要る、という話なのだと思います。

コメント