スーパーでプッチンプリンやカフェオーレを見掛けなくなって2ヶ月近くが経過しました。
我が家でも子どもが愛飲していた牛乳が手に入らなくなり、他社の牛乳に乗り換えました。江崎グリコの事例は、現代の企業が直面するセキュリティリスクの深刻さを示しています。この記事では、江崎グリコのシステム障害の詳細と、それが示す「2025年の崖」の現実について考察し、企業が取るべき対策について探ります。
「2025年の崖」とは何か
「2025年の崖」とは、2018年9月に経済産業省が指摘した日本企業が直面する古いシステムの更新問題を指します。多くの企業が古い基幹システムの更新を遅らせており、2025年に大きな障害を引き起こすリスクを抱えている、というものです。
『DXレポート ~ITシステム「2025年の崖」克服とDXの本格的な展開~』では、主に以下のような課題・問題が示されています。
(『DXレポート ~ITシステム「2025年の崖」克服とDXの本格的な展開~』をもとに作成)
「2025年の崖」は、企業のデジタルトランスフォーメーションを妨げ、重大な業務停止やセキュリティリスクを引き起こす可能性があります。これにより、企業は大きな損失を被る可能性があり、早急な対策が求められています。
江崎グリコの事例に見る「2025年の崖」の現実
江崎グリコのシステム障害は、「2025年の崖」の現実を如実に示しています。この障害は、基幹システムの切り替え時に発生し、主力商品の出荷停止が2か月以上続くという重大な影響を与えています。江崎グリコのシステム障害について、時系列で確認をしていきましょう。
江崎グリコのシステム障害の詳細
江崎グリコでは、2019年12月から基幹システムを統合し、SAP S/4HANAに切り替えるプロジェクトが始まりました。投資予定額は、215億円でしたが、342億円に膨らみ、完了予定時期も2022年12月から2024年3月に延期されました。
そして、2024年4月に基幹システムの切り替えを実施した直後に障害が発生し、受発注や出荷業務が停止しました。自社だけでなく、受託販売を行なっていたキリンビバレッジのチルド食品も出荷停止となるなど、取引先にも影響が出てしまいました。システムの復旧には多大な時間とコストがかかり、2024年12月期の連結純利益が110億円(前期比22%減)の見込みと発表されました。当初は、前期比6%増の予想でしたが、システム障害の影響で減益となりました。また、システム障害による業績への影響は、通期の営業利益は60億円減、売上高は200億円減と発表されています。
なお、障害が発生してから2ヶ月以上が経過した2024年6月25日、一部の商品の出荷が再開されました。
企業のセキュリティリスクの具体例とその対策
前述の通り、「2025年の崖」でも課題として指摘されている“セキュリティリスク”について、古いシステムは脆弱性が高くターゲットになりやすいことから、新システムへの切り替えを予定していても対策を講じておく必要があります。また、新システムについてもこれまでと同等以上のセキュリティレベルを維持しているのか、確認することが重要となります。
データ漏えいのリスク
古いシステムは、データ保護のための最新技術が導入されていないことが多く、データ漏えいのリスクが高まります。
例えば、データベースの暗号化や、適切なアクセス制御が行われていないシステムは、内部の従業員による不正アクセスや外部からの攻撃によって機密データが流出する可能性があります。顧客情報や機密情報が流出すると、企業の信用は失墜し、多大な損害が発生してしまうことがあります。
このようなリスクを軽減するには、以下のような対策が考えられます。
| ・データ暗号化 | データベースや通信経路でのデータを暗号化し、不正アクセスから保護します。 |
| ・アクセス制御 | 役割に応じたアクセス権限を設定し、必要な情報にのみアクセスできるようにします。 |
| ・定期的な監査 | システムのアクセスログを監査し、不正なアクセスを早期に検知します。 |
| ・定期的なアセスメント | 定期的にシステムのセキュリティアセスメントを実施し、脆弱性を特定し対策を講じます。 |
サイバー攻撃のリスク
古いシステムは、サイバー攻撃に対する防御力が低く、攻撃のターゲットになりやすいです。
例えば、脆弱性の修正や、近年の攻撃手法に応じたセキュリティソリューションの導入などが行われていないシステムはランサムウェアやウェブスキミングの対象となります。ランサムウェアはシステム内のデータを暗号化し、復旧のための身代金を要求します。一方、ウェブスキミングはウェブサイトを改ざんして偽の個人情報入力フォームに誘導し、ユーザーから機密情報を盗む手法です。
このようなリスクに対処するには、以下のような対策が考えられます。
| ・セキュリティパッチの適用 | システムやソフトウェアのセキュリティパッチを迅速に適用し、脆弱性を修正します。 |
| ・セキュリティソリューションの導入 | 例えばウェブスキミングであれば改ざん検知ツールなど、近年の攻撃手法に応じたソリューションを導入します。 |
| ・セキュリティ教育 | 従業員に対してフィッシング攻撃の手口や防御方法を教育し、意識を高めます。 |
まとめ:セキュリティアセスメントの重要性
「2025年の崖」に備えるためには、企業が積極的にシステムの更新とセキュリティ対策を進める必要があります。どのようなセキュリティ対策を講じる必要があるかは、企業の業務や業界水準などを考慮し定めた基準を用いたセキュリティアセスメントを実施し、リスクを特定するのが効果的です。
当社の「セキュリティリスクアセスメント」では、システムやサービスなどの評価対象に適した基準を定め、システム上およびオペレーション上の課題を洗い出します。また、課題に対してのアクションプランの立案もご支援いたします。ご利用中のシステムやサービスのセキュリティリスクの特定や切り替え予定のシステムのリスク評価など、ご希望に応じて対応いたしますので、まずはお気軽にお問い合わせください。
セキュリティアセスメントは、企業が直面するリスクを最小限に抑え、将来のビジネスチャンスを最大化するための重要な手段です。システムの脆弱性を定期的に評価し、適切な対策を講じることで、企業は安心してデジタル時代の変革に対応することができます。企業が持続的な成長を遂げるためには、セキュリティアセスメントを通じて安全性を確保し、信頼性の高いシステム運用を実現することが不可欠です。
