従来型BCPの“限界”とは？アサヒGの事例からひもとく、実効性の高い「次世代BCP」

ありがとうございます！
いいね！した記事一覧をみる

会員（無料）になると、いいね！でマイページに保存できます。

企業の事業活動を根底から揺るがすサイバー攻撃。不測の事態に備え、多くの企業が事業継続計画（BCP）を策定しているが、その前提が「地震や風水害などの自然災害」に偏っている場合、新たな脅威の前では機能しないリスクをはらんでいる。システム障害が長期化したアサヒグループホールディングスの事例を交えながら、自然災害を前提とした従来型BCPの「盲点」を明らかにし、現代の企業に求められるサイバー特化型「次世代BCP」の構築アプローチを解説する。

これまでのBCPでは足りない、サイバー攻撃対応に備えたBCPの構築方法

（画像：Gemini/Nano Banana）

そのBCP、本当に使えますか？

　近年、企業の事業活動を根底から揺るがすサイバー攻撃の被害が後を絶たない。生産ラインが1カ月以上停止する事態や、物流システムが停止し巨額の赤字に転落する事例も発生しており、経営層の危機感はかつてないほど高まっている。

　多くの企業は、こうした不測の事態に備えてBCPを整備しているはずだ。しかし、そのBCPは本当にサイバー攻撃という「見えざる脅威」に対して実効性を持っているだろうか。多くの企業が策定しているBCPは、主に地震や津波、風水害などの「自然災害」を想定して作られている。

　しかし、自然災害とサイバー攻撃とでは、両者は被害の性質が根本的に異なる。自然災害は機器の物理的破壊など「可用性の喪失」が主であり、何が起きたか誰の目にも明らかで、代替手段や復旧作業への移行や事業再開判断が明瞭である。

　一方、サイバー攻撃は自社のみを狙い撃ちにし、いつ侵入されたかさえ気づきにくい。さらに、社内データを暗号化して使用不能にしたり、機密情報を外部へ漏えいさせたりといった、深刻な二次被害を引き起こす。

　こうした「論理的な被害」の恐ろしさを如実に物語っているのが、2025年9月に被害を受けたアサヒグループホールディングスの事例だ。攻撃者グループ「Qilin」はインシデント発覚の約10日前にVPN経由で侵入されたとされており、後にダークウェブで同社の利益予測などに言及する犯行声明を公表。全社的なリスク体制を敷いていた同社でさえ、完全復旧に至らぬまま2カ月が経過する事態に陥った。

　これは論理的被害であり、原因が特定されたとしても、感染範囲の特定が困難なこともあり、システム復旧への判断が慎重になりやすく、事業停止が長期化するリスクをはらんでいる。サイバー攻撃のリスクが日に日に高まる中、企業はどうすればよいのか？

この記事の続き＞＞