LASSIC Media らしくメディア
ランサムウェア対策と復旧計画の要点
LASSIC IT事業部|元請(プライムベンダー)としてシステム保守・運用を受託
この記事のポイント
- ランサムウェアによる被害は組織の情報セキュリティ脅威で長年上位に位置し、二重恐喝という手口が被害の大半を占めています。
- 予防・検知・復旧・対応計画の4つを経営として整備することが、事業停止リスクを抑える土台になります。
- バックアップの設計と復旧手順の確認は、対策の実効性を左右する重要な要素です。
目次
ランサムウェアが経営リスクである理由 — 事業停止と二重恐喝
ランサムウェア対策と復旧計画とは、データを暗号化して身代金を要求する不正プログラムの被害を防ぐ予防策と、被害発生後に事業を早期に立て直すための準備を経営として整備する取り組みを指します。IPA(情報処理推進機構)が公表した「情報セキュリティ10大脅威2026」では、組織向け脅威の1位に「ランサム攻撃による被害」が選ばれており、11年連続11回目の選出です*1。
ランサムウェアの被害は、システムが暗号化されて業務が止まるだけにとどまりません。近年主流の手口は「二重恐喝」と呼ばれ、データを盗んだうえで暗号化し、復号の身代金に加えて情報公開の脅迫まで行うものです。警察庁がまとめた令和7年の報告では、ランサムウェアの被害報告件数は226件にのぼり、二重恐喝の手口が被害の大半を占めています*2。
被害が発生すると、自社の業務停止だけでなく、取引先への納品遅延や個人情報の漏えいにも波及しかねません。委託元・委託先の双方が関わるサプライチェーン全体への影響も、経営が想定すべきリスクの一つと言えるでしょう。ランサムウェア対策と復旧計画を経営課題として位置づける必要性は、脅威ランキングの結果からも裏付けられます。
侵入経路と手口 — VPN・RDPの脆弱性と二重恐喝の構図
ランサムウェアの侵入経路として指摘されることが多いのが、VPN(仮想プライベートネットワーク。拠点間や社外から社内網へ暗号化して接続する仕組み)機器の脆弱性や、RDP(リモートデスクトッププロトコル。外部端末から社内のパソコンを遠隔操作する仕組み)の認証情報の窃取です。テレワークの普及に伴い、これらの外部接続口が攻撃者に狙われやすくなっています。
二重恐喝の流れ — 窃取と暗号化を組み合わせた脅迫
攻撃者はまず社内ネットワークに侵入し、機密データや個人情報を外部へ持ち出します。そのうえでファイルサーバーやパソコンのデータを暗号化し、復号のための身代金を要求するのが典型的な流れです。支払いを拒むと、盗んだデータを公開すると脅す点が二重恐喝の特徴になります*2。
RaaSによる攻撃の裾野拡大
被害拡大の背景には、RaaS(Ransomware as a Service。ランサムウェアの開発者が攻撃実行者にツールを提供し、身代金の一部を受け取る分業の仕組み)の広がりがあると指摘されています*2。攻撃を実行する側の専門知識が乏しくても攻撃を仕掛けられる状況が生まれており、被害の裾野が広がりやすい構図と言えます。
予防の実務 — 多層防御・資産管理・EDR・アクセス制御
予防の基本は、単一の対策に頼らず複数の防御層を重ねる多層防御にあります。侵入を防ぎきるのは難しいという前提に立ち、侵入後の被害拡大を抑える設計が欠かせません。
資産・脆弱性管理 — 攻撃対象を把握し穴をふさぐ
社内のサーバー・パソコン・ネットワーク機器を棚卸しし、どこにどんなソフトウェアが稼働しているかを把握することが出発点になります。VPN機器やOSの既知の脆弱性は速やかに修正パッチを適用し、放置しないことが重要です。パッチ適用の遅れは、攻撃者に侵入の機会を与える結果につながりかねません。
EDR(Endpoint Detection and Response)による検知
EDR(エンドポイント検知・対応。パソコンやサーバーの不審な挙動を監視し、侵入後の異常を検知する仕組み)を導入すると、ウイルス対策ソフトだけでは見つけにくい侵入後の不審な動きを早期に把握しやすくなります。侵入そのものを防ぎきる手段ではないからこそ、検知の仕組みを組み合わせる発想が求められます。
アクセス制御と多要素認証
VPNやリモートアクセスの認証には、パスワードだけでなく多要素認証を組み合わせることが望まれます。管理者権限を持つアカウントは必要最小限に絞り、権限を持つ人数を制限することで、侵入後に攻撃者が使える範囲を狭められます。
従業員教育 — 不審メール・添付ファイルへの警戒
標的型メールの添付ファイルやリンクを起点にした侵入も依然として見られる手口です。従業員がどのような文面や送信元に注意すべきかを定期的に周知し、不審なメールを開かない・報告する習慣を組織に根づかせる必要があります。
バックアップ設計 — 3-2-1ルールとオフライン保管
ランサムウェア対策の要となるのがバックアップです。暗号化されたデータを復元できる状態にしておけば、身代金を支払わずに事業を再開できる可能性が高まります。
3-2-1ルール — コピー3つ・媒体2種・1つはオフサイト
バックアップ運用の考え方として広く知られているのが「3-2-1ルール」です。データのコピーを3つ保持し、そのうち2種類は異なる媒体に保存し、さらに1つは離れた場所(オフサイト)またはネットワークから切り離した環境に置くという設計を指します。同一ネットワーク上にのみバックアップを置くと、そのバックアップ自体も暗号化される恐れがあるためです。
オフライン・イミュータブルな保管の重要性
バックアップデータをネットワークから物理的に切り離す、あるいは一定期間書き換え・削除ができないイミュータブル(不変)な設定で保存することも有効な手段とされています。攻撃者が社内ネットワークに侵入しても、書き換えられないバックアップが残っていれば復旧の足がかりになるでしょう。
復旧テストの実施 — 「取れているはず」を検証する
バックアップを取得していても、実際に復元できるかを定期的に検証していなければ、いざというときに使えない事態が起こりえます。復旧手順の通りにデータを戻せるか、どの程度の時間を要するかを事前にテストしておくことが、復旧計画の実効性を左右します。
復旧計画とインシデント対応 — 初動から復元までの流れ
ランサムウェア被害が発生した際の対応は、初動対応・封じ込め・クリーンな復元・再発防止という順序で進めるのが基本です。手順を事前に定めておくかどうかで、被害拡大の抑制と復旧までの時間が大きく変わります。
初動対応 — 感染端末の隔離と証拠保全
感染に気づいた時点で、対象端末をネットワークから切り離し、被害の拡大を止める必要があります。同時に、原因究明のためのログや証拠を保全しておくことも欠かせません。慌てて端末を初期化してしまうと、感染経路の特定が難しくなってしまうでしょう。
封じ込めと感染経路の特定
侵入経路や被害範囲を特定しないまま復元作業を進めると、同じ経路から再び侵入され、復旧したデータが再度暗号化される事態にもなりかねません。封じ込めが完了し、感染経路の特定と是正が済んだ段階で、初めて復元作業に着手するという順序が重要です。
クリーンな端末での復元
復元は、マルウェアが残っていないことを確認したクリーンな端末・環境に対して行う必要があります。バックアップデータ自体に問題がなくても、復元先の端末に不正なプログラムが残っていれば、被害が再発するおそれがあるためです。
身代金を支払わない前提と当局への連携
身代金を支払っても、データが復号される保証はなく、支払いが攻撃者への資金供給につながるという指摘もあります。警察庁など関係機関への相談・通報を前提とした対応方針を、平時のうちに経営として決めておくことが望まれます。
IT-BCPとの接続 — 事業継続計画に組み込む
ランサムウェア対応の手順は、既存のIT-BCP(情報システムに関する事業継続計画)と切り離さず、一体のものとして整備することが望ましいでしょう。誰が意思決定を行い、どの部門がどう動くかを平時から明確にしておくことで、緊急時の混乱を抑えられます。
外部の専門パートナーを活用する視点
ランサムウェア対策を内製だけで完結させるには、脆弱性診断・EDR運用・バックアップ設計・インシデント対応という複数の専門領域を同時に確保する必要があります。情報システム部門の担当者が通常業務と兼務でこれらすべてに対応するのは、負荷の大きい体制と言えます。
EDRは導入するだけでなく、検知したアラートを24時間体制で監視し、異常時に迅速に判断する運用が伴って初めて効果を発揮します。バックアップについても、取得後の世代管理や復旧テストの継続的な実施まで含めて設計しなければ、いざという場面で機能しない可能性が残ります。
外部の専門パートナーに診断・監視・バックアップ運用を委託した場合、自社で体制を一から構築するのに比べて、既存の運用ノウハウやインシデント対応の知見を活用できる点が違いになります。平時の予防・監視と、有事の初動対応を切り分けて外部に委ねる選択肢も検討に値するでしょう。
LASSICのようにシステムの受託開発・運用保守を担う事業者では、稼働監視やバックアップ運用を日常業務として担う中で、障害発生時の初動対応や復旧手順の整備に関する知見を蓄積しやすい面があります。ランサムウェア対策と復旧計画の体制構築を検討する際は、運用保守を担える外部パートナーの活用も選択肢に入れておくとよいのではないでしょうか。
まとめ:ランサムウェア対策と復旧計画の3つの判断軸
本稿では、ランサムウェア対策と復旧計画を経営視点で整理しました。要点を3つに集約すると次の通りです。第一に、ランサム攻撃による被害は組織向け脅威で長年上位にあり、二重恐喝という手口を前提にした備えが必要です。第二に、多層防御・資産管理・EDR・アクセス制御による予防と、3-2-1ルールに基づくバックアップ設計が対策の土台になります。第三に、初動対応から封じ込め・クリーンな復元・再発防止までの復旧計画を、IT-BCPと一体で平時から整えておくことが被害の抑制につながります。
よくある質問
ランサムウェアに感染した場合、身代金は支払うべきですか。
身代金を支払っても、データが復号される保証はありません。支払いが攻撃者への資金供給につながるという指摘もあり、警察庁など関係機関への相談を前提に対応することが望ましいでしょう。個別の判断は専門家に確認しながら進めることをおすすめします。
バックアップさえ取っていればランサムウェア対策は十分ですか。
バックアップだけでは十分とは言えません。バックアップ自体が暗号化される被害も想定されるため、オフラインでの保管や復旧テストと組み合わせる必要があるでしょう。あわせて侵入を防ぐ予防策と早期検知の仕組みも欠かせません。
復旧計画はどの程度の頻度で見直せばよいですか。
システム構成や委託先の変更があった際、また年に1回程度を目安に見直すことが望ましいと考えられます。復旧手順が最新の環境と合っているかを定期的に確認しなければ、有事に手順が機能しないおそれがあります。
EDRの導入と運用は自社だけで対応できますか。
導入自体は可能ですが、検知したアラートを常時監視し適切に判断する運用体制が伴わないと効果を発揮しにくいと考えられます。24時間の監視体制を自社で維持するのが難しい場合は、外部の運用支援を活用する選択肢があります。
ランサムウェア対策の体制構築を外部に依頼することはできますか。
脆弱性診断・EDR運用・バックアップ運用・インシデント対応支援を専門とする事業者に依頼することが可能です。複数の専門領域を自社だけで揃えるのが難しい場合、外部パートナーの知見を活用する選択肢があります。
著者:テレリモ総研編集部 鈴木 亮佑
ご不明な点はお問い合わせフォームからもご連絡いただけます。
- *1 出典:IPA(情報処理推進機構)「情報セキュリティ10大脅威2026」(2026年)https://www.ipa.go.jp/security/10threats/10threats2026.html
- *2 出典:警察庁「令和7年におけるサイバー空間をめぐる脅威の情勢等について」(2026年)https://www.npa.go.jp/publications/statistics/cybersecurity/data/R7/R07_cyber_jousei.pdf