Gartner、ランサムウェア攻撃への対策として国内企業が取るべき4つのアクションを発表

ビジネスおよびテクノロジのインサイトを提供するガートナージャパン株式会社 (以下Gartner) は、ランサムウェア攻撃への対策として国内企業が取るべき4つのアクションを発表しました。

国内大手企業におけるランサムウェア被害の発生を受け、セキュリティは今やIT部門の課題にとどまらず、企業の経営上の最優先事項として関心が高まっています。これらのインシデントが与えたインパクトは大きく、ひとたびランサムウェアの攻撃を受ければ、企業の基幹業務が長期にわたって停止し得るというリスクを、多くの国内企業が擬似的に体験する結果となりました。

シニア ディレクター アナリストの矢野 薫は、次のように述べています。「経営陣のセキュリティに対する感度が極めて高まっている今こそ、セキュリティに関する実効性のある議論を深める絶好の機会です。その際に重要なのは、セキュリティの問題を技術的側面のみで捉えるのではなく、『ビジネスが長期にわたって停止し得る』重大な経営リスクとして議論することです」

企業が包括的に取り組み、ビジネスの継続性を確保するためには以下の4つに特に注力すべきです。

ランサムウェアへの感染リスクを減らす

企業のIT環境が高度化するにつれ、ランサムウェア攻撃の脅威にさらされている箇所もまた、急速に拡大し続けています。また、さまざまな場所でのシステム特権管理の脆弱性も課題になっています。

エンドポイントの検知／対応 (EDR) は重要な対策の1つですが、ランサムウェア攻撃においては認証情報の悪用やクラウド環境への横展開などエンドポイントから離れたところで発生する事象も多く存在します。そのため、EDRのような「感染後の対応」に重きが置かれているソリューションに依存しすぎると予防的な対策が不足し、ランサムウェアへの感染の可能性がこれまで以上に増大することになります。

矢野は次のように述べています。「ランサムウェア対策を再考する企業は、EDRなどの攻撃検知テクノロジへの依存や過信から脱却し、さまざまな予防的アプローチを加えて、そもそも攻撃が成功しない環境を整備することが必要です」

ランサムウェア対策には、継続的な脅威エクスポージャ管理 (CTEM) による継続的な確認・対処や、アタック・サーフェス・マネジメント (ASM) や脅威インテリジェンスによる脅威エクスポージャの可視化が必要になります。また、特に重要なシステムに対しては特権アクセス管理が適用されていることを今一度確認することも重要です。

インシデントを早期に検知する

国内では多くの企業がEDRの採用とともにセキュリティ・オペレーション・センター (SOC) のようなセキュリティ・モニタリング体制を有しています。しかし、2025年に発生したランサムウェア被害は国内企業にとって、脅威検知におけるEDRの在り方を再考するまたとない機会になりました。

EDRが発するアラートは、ほとんどの場合、重要度「高」「中」「低」が自動的に付与されます。多くの企業では、多様かつ大量のアラートのすべてに対処する余裕がないため、重要度「高」のアラートにしか対処できていません。一方で、重要度「高」のアラートは、攻撃の「予兆」ではなく、既に攻撃を受けている場合もあるため、こうした企業では、予兆の検知がないままインシデントの発生に至っているケースも多く、実際には重要なインシデントを検知できないなど運用面での課題を抱えています。

矢野は次のように述べています。「サイバー脅威の早期検知のためには、重要度『低』や『中』のアラートに多く含まれている、攻撃の初期段階における試行や失敗を解釈できるようになる必要があります。また、EDRに限らずネットワークやクラウド・サービスなどのモニタリング・ポイントを横断する形で、アラートが示すさまざまな異常から攻撃者の行動を捉えることが求められます。生成AIやAIエージェントなどの新しいセキュリティ技術を適切に選択し、単体の異常を一連のコンテキストとして把握できるような運用体制にシフトすることが重要です」

緊急時にも冷静に行動できるようになる

従来のIT-BCPは、故障や自然災害時など比較的短時間のシステム停止を想定したものでした。一方、サイバー攻撃の場合は、隔離、保全、調査、修復という、固有のプロセスがあるため、システムを使えない期間がより長期化することになり、ランサムウェア攻撃への対応を従来のIT-BCPの取り組みの範囲で議論するだけでは不十分です。

ランサムウェアに感染した場合、企業は短時間のうちに事業停止に関わるいくつもの重大な意思決定を連続で行う必要があります。よって企業はランサムウェア感染に対する緊急時対応計画策定に当たっては、まずこれを従来のIT-BCPの取り組みからBCPへと格上げし、事業リスクへの対処を中心にとした緊急時対応／復旧戦略に変更する必要があります。特に対外コミュニケーションにおいては、経営陣が、誰に対し、どのチャネルと媒体を使って、経営責任を明示するかが重要になります。

矢野は次のように述べています。「企業は、ランサムウェア攻撃からの復旧には一定の時間がかかることを想定し、アナログによる代替手段でどこまで製品やサービスの提供を継続できるか、現場を巻き込んだ議論を早急に開始すべきです」

被害を受けた後、素早く正しく復旧させる

2025年9月に警察庁が発表したレポートによると、ランサムウェア被害に遭った企業のうち、90%以上がバックアップを取得していた一方で、バックアップからデータを復元できなかったケースは85.4%に上りました。

バックアップを取っていたのに素早く復旧できなかった理由としては、バックアップ・データそのものが暗号化されている、「正しい」バックアップが取られていない、あるいは、「正しい」復旧プロセスが確立できていない、などが挙げられます。

データはテクノロジで保護できますが、復旧には、システム間のデータ同士の相関性による整合が必要なため、一貫性を維持するために同じタイミングでバックアップを取る必要があります。

ランサムウェア被害からの復旧のためには、バックアップ・データの保護が不可欠です。対策として、バックアップ・イメージを複数取得し、その一部をランサムウェアから隔離する必要があります。

矢野は次のように述べています。「復旧すべきはデータではなくビジネスそのものです。復旧対象となる業務を支える複数システムの相関性、依存性を確認することで、一貫性を維持した『正しい』バックアップを行い、復旧時にそれらを『正しく』復元するプロセスを確立することが求められます」

Gartnerのサービスをご利用のお客様は、ランサムウェア攻撃に強くなるために、企業として取り組むべきことで詳細をご覧いただけます。
日本で提供しているサービスについては、こちらよりご参照ください。https://www.gartner.co.jp/ja/products