title: "アサヒGHDのランサム被害が通期業績を直撃|営業利益の下方修正に学ぶ事業継続(BCP)コストと経営の備え" description: "アサヒグループHDが2026年6月11日に公表した通期業績予想の下方修正(営業利益255,000→185,000百万円)と、2025年9月のランサムウェア攻撃による生産・出荷停止、約11.5万件の情報漏えいを整理。セキュリティを「コスト」ではなく事業継続・株主価値の問題として捉え、経営層が今すぐ確認すべき投資判断・BCP・ガバナンスのチェックリストを提示します。" keyword: "アサヒ ランサムウェア 営業利益 700億円 事業継続 BCP 経営" slug: "asahi-ransomware-operating-profit-impact-20260625" date: "2026-06-25" updatedAt: "2026-06-25" category: "セキュリティ" tags: ["ランサムウェア","事業継続","BCP","経営リスク","インシデント対応"] author: "GXO株式会社" lead_summary: "アサヒGHDの業績下方修正は、セキュリティが事業継続と株主価値の問題であることを示した。経営が直視すべき事業継続コストを整理する。"
アサヒGHDのランサム被害が通期業績を直撃|営業利益の下方修正に学ぶ事業継続(BCP)コストと経営の備え
結論:セキュリティは「コスト」ではなく、事業継続と株主価値の問題である
2026年6月11日、アサヒグループホールディングス(アサヒGHD)は、2025年12月期の通期連結業績予想を下方修正したと公表した。営業利益の予想は修正前の255,000百万円から185,000百万円へと70,000百万円(約700億円・△27.5%)、親会社の所有者に帰属する当期利益は167,500百万円から120,000百万円へと47,500百万円(約475億円・△28.4%)引き下げられた。
ここで経営層が押さえるべき重要な点が一つある。この下方修正は、サイバー攻撃の影響「だけ」によるものではない。アサヒGHDの適時開示では、修正理由として日本事業のサイバー攻撃によるシステム障害などの影響に加え、原材料費の想定以上の高騰など複数の要因が複合的に挙げられている。各要因の金額内訳は開示されておらず、「サイバー攻撃の損害=700億円」と単純化することはできない。
それでも、この事例が経営に突きつける論点は明確だ。1件のランサムウェア攻撃が、上場企業の通期業績予想を修正させ、株主・取引先・消費者への説明を必要とするレベルの経営インパクトを生むという事実である。
押さえるべき1点:セキュリティ投資の議論を「いくらかかるか」だけで判断すると、止まったときの「いくら失うか」を見落とす。経営は両方を並べて判断する必要がある。
セキュリティを止めないための「事業継続投資」として平常時から備える体制づくりは、セキュリティリテイナー(継続的なセキュリティ支援体制)で相談できる。自社の備えの濃淡を先に俯瞰したい場合は、DX・IT成熟度診断で現在地を把握するところから始められる。
本記事は、取締役・CISO・経営企画・財務担当を想定読者とし、公表された事実をもとに「事業継続コスト」をどう経営の議題に載せるかを整理する。なお本記事は他社の対応の巧拙を論評するものではなく、公開情報から経営が学べる論点を抽出することを目的とする。
FREE CONSULTATION
この記事の内容について、専門家に相談できます
AI・DX・セキュリティに関するご質問やお見積もりなど、お気軽にお問い合わせください。
何が起きたか:時系列で見るアサヒGHDのランサムウェア被害
公表情報および報道をもとに、経営判断に関係する事実を時系列で整理する。
| 時期 | 公表されている主な事実 |
|---|---|
| 2025年9月中旬(報道) | ネットワーク機器を経由した侵入があったとされる |
| 2025年9月29日 | システム障害を検知し、ランサムウェア攻撃を確認。ネットワーク遮断・データセンターの隔離を実施 |
| 2025年9月29日以降 | 受注・出荷システム、コールセンター等の業務が停止。FAXなどによる手動対応へ切り替え |
| 2025年10月上旬 | 主要工場で製造を順次再開。攻撃グループ(Qilin/チーリン)が犯行を主張したと報じられる |
| 2025年11月27日 | 内部調査結果を公表。個人情報の漏えい可能性(報道では最大約190万件規模)に言及 |
| 2026年2月18日 | 漏えいが確認された取引先・従業員の情報が約11.5万件であることと、再発防止策・ガバナンス強化を公表 |
| 2026年6月11日 | 通期業績予想を下方修正(サイバー攻撃の影響などを理由として明記) |
ここで重要なのは、被害が「一日でシステムが止まって終わり」ではなかったことだ。検知から物流・出荷の正常化、そして業績への反映まで、影響は数か月単位に及んでいる。攻撃そのものよりも、事業が止まっている期間の長さが経営インパクトを決める。
注:上表のうち、侵入経路や攻撃グループに関する一部の事実は報道に基づく。金額・件数・公表日はアサヒGHDの開示および報道で確認できた範囲で記載している。
なぜ「事業継続」の問題なのか:止まったのは"システム"ではなく"事業"
ランサムウェアの本質的な脅威は、データの暗号化や漏えいそのものだけではない。事業の中核プロセスが止まることにある。アサヒGHDの事例で止まったのは、次のような「事業そのもの」だった。
- 受注:取引先からの注文を受ける仕組み
- 出荷・物流:商品を倉庫から小売・卸へ届ける仕組み
- コールセンター:顧客・取引先からの問い合わせ対応
- 生産計画:需要に合わせた製造の調整
これらが止まると、たとえ工場が物理的に無事でも、「作れない」「届けられない」「受けられない」という状態が生まれる。手動(FAX等)対応への切り替えはあくまで応急処置であり、平常時の処理能力には戻らない。結果として、売上機会の損失、調査・復旧費用、システムの減損といった形で、財務諸表に影響が表れる。
これは情報システム部門だけの問題ではない。サプライチェーン全体、売上、ブランド、株主価値に直結する経営リスクである。だからこそ、セキュリティ投資の判断主体は情シスではなく経営でなければならない。
事業継続コストの内訳:経営が見積もるべき5つの費目
セキュリティを経営の議題に載せるとき、「対策にいくらかかるか」と同時に「止まったときに何が発生するか」を費目に分けて把握しておくと、投資判断がぶれない。一般にランサムウェア被害で発生しうる費目は次のように整理できる。
| 費目 | 内容 | 性質 |
|---|---|---|
| 売上機会の損失 | 受注・出荷停止による販売機会の逸失 | 復旧が遅れるほど拡大 |
| 復旧・調査費用 | フォレンジック調査、システム復旧、応急対応、外部専門家 | 初動の体制で増減 |
| システム関連損失 | 機器の入れ替え、再構築、減損損失 | 構成によっては多額化 |
| 対外対応費用 | 取引先・顧客対応、コールセンター増強、通知、補償検討 | 漏えい規模に連動 |
| 経営・信用コスト | 業績修正に伴う説明責任、ブランド毀損、株価・取引関係への影響 | 定量化が難しいが大きい |
重要なのは、これらの多くが攻撃を受けた瞬間ではなく、復旧までの時間に比例して膨らむことだ。投資判断では「防げる確率」だけでなく、「止まった場合に何時間・何日で戻せるか」という復旧目標(RTO)が費用を左右する。
押さえるべき1点:事業継続コストは「攻撃の有無」より「停止時間の長さ」で決まる。だから経営の問いは「絶対に防げるか」ではなく「止まっても、どれだけ早く戻せるか」になる。
セキュリティ投資を「保険」ではなく「事業継続投資」として捉える
セキュリティ投資はしばしば「効果が見えにくいコスト」として扱われ、コスト削減の対象になりやすい。しかし、事業が止まったときの損失と並べて見れば、それは事業を止めないための投資、すなわち事業継続投資である。
経営として整理すべきは、概ね次の三つの観点だ。
| 観点 | 経営が決めること |
|---|---|
| 予防(止まりにくくする) | 入口対策、認証強化、資産・通信経路の把握、社外接続の棚卸し |
| 検知・初動(早く気づく) | 監視体制、検知の仕組み、連絡網、初動の意思決定者 |
| 復旧(早く戻す) | バックアップの分離・即時復旧性、代替手段、復旧目標時間(RTO)の合意 |
この三つのうち、日本企業では「予防」に偏り、「検知・初動」と「復旧」の継続的な体制が手薄になりがちだ。攻撃は一度きりのイベントではなく、対策は導入して終わりではない。継続的に監視・更新・訓練する体制こそが、停止時間を短くし、事業継続コストを下げる。GXOではこの継続体制を、セキュリティリテイナー(継続的なセキュリティ支援体制)として整理している。
経営が今すぐ確認すべきチェックリスト
ここからは、取締役会・経営会議で使える形で、確認すべき論点をチェックリスト化する。自社で「はい」と即答できない項目があれば、それが優先的に投資・体制整備を検討すべき領域である。
投資判断のチェック
- 主要事業が一定期間停止した場合の「失う金額」を、売上・利益ベースで試算しているか
- セキュリティ予算を「コスト」ではなく「事業継続投資」として、停止時の損失と並べて議論しているか
- コスト削減の対象に、事業継続に直結するセキュリティ・IT基盤が無自覚に含まれていないか
- 予防だけでなく、検知・初動・復旧の各段階に予算が配分されているか
事業継続(BCP)のチェック
- 受注・出荷・生産・問い合わせなど、中核プロセスごとに復旧目標時間(RTO)を経営として合意しているか
- バックアップが本番環境から分離され、攻撃時にも復旧可能な状態に保たれているか
- システム停止時の代替手段(手動運用等)を、平常時に訓練しているか
- サプライチェーン(取引先・委託先)の停止リスクも事業継続計画に含めているか
ガバナンスのチェック
- セキュリティを所管する責任者(CISO相当)が経営に直結する形で位置づけられているか
- 取締役会にセキュリティリスクが定期的に報告され、対応状況がモニタリングされているか
- インシデント発生時の意思決定者・連絡網・対外公表方針が事前に決まっているか
- ネットワーク機器・社外接続(VPN等)・IT資産の棚卸しが定期的に行われているか
これらは特別な専門知識がなくても、経営として「答えられるかどうか」で自社の備えの濃淡が見える設計になっている。チェックリストやテンプレート類はお役立ち資料ダウンロードからも入手できる。
レガシー環境・統合環境では「把握できていない接続」が起点になりやすい
大企業・グループ企業では、買収や事業統合を経て、ネットワーク・IT資産・社外接続が複雑化していることが多い。古いVPN装置、放置された通信経路、管理が行き届かない子会社・拠点のネットワーク機器などは、攻撃の侵入起点になりやすい。
アサヒGHDが2026年2月18日に公表した再発防止策でも、リモートアクセスVPN装置の全面廃止や通信経路の再構築、IT資産管理の徹底、EDR等のセキュリティツールの高度化、そして情報セキュリティ専任役員(CISO相当)と情報セキュリティ委員会の設置によるガバナンス強化が挙げられている。
経営の観点でいえば、これは「攻撃を100%防ぐ」発想ではなく、侵入されうる前提で、起点を減らし、止まっても早く戻せる体制を作るという方向への転換である。自社のIT資産・社外接続を棚卸しし、構成上の弱点を可視化することは、その第一歩になる。社外接続やネットワーク構成に不安がある場合は、ランサムウェア対策(侵入起点の可視化・防御強化)の観点から現状を点検することが有効だ。
FAQ:経営層からよくある問い
Q. うちは上場していない中堅企業だが、関係あるか。 A. ある。むしろ復旧体制が手薄な企業ほど、停止時間が長引きやすい。中堅企業でも、受注・出荷・生産が止まれば取引先への供給責任を問われ、信用を失う。事業継続の問題に企業規模は関係しない。
Q. セキュリティにいくらかければ十分なのか。 A. 一律の「正解額」はない。判断基準は、自社の中核事業が止まったときに失う金額(売上・利益)と、それを許容できる停止時間(RTO)である。失う金額と止められる時間を先に決めれば、必要な投資水準は見えてくる。
Q. すでにセキュリティ製品を導入している。それで足りないのか。 A. 製品の導入は「予防」の一部に過ぎない。検知・初動・復旧を継続的に回す体制(監視、訓練、更新、責任者の明確化)が伴って初めて、停止時間を短くできる。導入して終わりにせず、継続運用できているかを点検したい。
Q. ランサムの身代金は払うべきか。 A. 身代金の支払いは復旧を保証せず、犯罪組織への資金提供にもつながるため、各国当局も支払わない方針を推奨している。経営として備えるべきは「払うかどうか」ではなく、「払わなくても事業を戻せるバックアップ・復旧体制」である。
Q. 何から着手すべきか。 A. まず中核プロセスごとの「止まったときの損失」と「許容できる停止時間」を経営として決め、その上でバックアップの分離・復旧性、検知・初動体制、社外接続の棚卸しを順に点検する。優先順位は本記事のチェックリストで把握できる。
この記事を読むべき人
- 取締役・経営会議メンバーで、セキュリティ投資の判断に責任を持つ立場の方
- CISO・情報セキュリティ責任者で、経営にリスクと投資の必要性を説明したい方
- 経営企画・財務担当で、事業継続リスクを業績・株主価値の観点から整理したい方
- 製造・物流・小売など、受注・出荷・生産の停止が即座に売上に直結する業種の経営層
GXOに相談すべきタイミング
次のいずれかに当てはまる場合は、現状の点検と体制整備を検討する段階にある。
- 主要事業が止まったときの損失額や復旧目標時間(RTO)を、経営として把握できていない
- セキュリティ対策が製品導入止まりで、検知・初動・復旧の継続的な体制になっていない
- 買収・統合でネットワークやIT資産が複雑化し、社外接続や構成を把握しきれていない
- 取締役会や株主・取引先に、セキュリティリスクと投資の妥当性を説明する必要が出てきた
GXOでは、ランサムウェアをはじめとするインシデントへのインシデント対応(検知・初動・復旧支援)、平常時から備えるセキュリティリテイナー(継続的なセキュリティ支援体制)、そしてセキュリティ対策全般を組み合わせ、「止まりにくく、止まっても早く戻せる」事業継続の体制づくりを支援する。 → 相談はこちら
関連記事・特集
- Check Point VPN認証バイパス(CVE-2026-50751)をQilinが悪用|侵入起点になるVPNの点検
- FortiGate認証情報8.6万件流出|認証基盤の棚卸しで侵入起点を断つ
- 特集:セキュリティ失敗図鑑(インシデントから学ぶ12類型)
参考資料
- アサヒグループホールディングス「サイバー攻撃被害の再発防止策とガバナンス体制の強化について」(2026年2月18日) https://www.asahigroup-holdings.com/newsroom/detail/20260218-0101.html
- アサヒグループホールディングス「サイバー攻撃による情報漏えいに関する調査結果と今後の対応について」(2025年11月27日) https://www.asahigroup-holdings.com/newsroom/detail/20251127-0104.html
- アサヒグループホールディングス ニュースルーム(各種公表) https://www.asahigroup-holdings.com/newsroom/
本記事は2026年6月25日時点の公開情報をもとに作成。金額・件数・日付はアサヒGHDの開示および報道で確認できた範囲で記載しており、業績下方修正はサイバー攻撃以外の要因(原材料費高騰等)を含む複合的なものである。各要因の金額内訳は開示されていない。最新かつ正確な情報は各社の公式開示を確認すること。
「止まったときの損失」と「止まらない体制」を経営の議題にしませんか
GXOでは、中核事業が止まったときの損失と復旧目標時間(RTO)の整理から、検知・初動・復旧の継続的な体制づくり、社外接続・IT資産の点検までを支援します。
※ 取締役・CISO・経営企画・情シスの同席歓迎 | 現状の体制点検からご相談いただけます
