「ランサムウェアは防げない」前提　“隠れた経済的ダメージ”をいかに食い止めるか：侵入を想定した復旧対策とは

ランサムウェアの脅威は広く認識されているにもかかわらず、被害は後を絶ちません。こうした中、「感染を防げない」前提で復旧体制を整える重要性が増しています。

» 2026年04月12日 08時00分公開

この記事は会員限定です。会員登録（無料）すると全てご覧いただけます。

　ランサムウェア（身代金要求型マルウェア）の被害件数は依然として高水準で推移しています。その被害は医療機関や製造業、流通業など業種を問わず広がっています。ひとたび攻撃を受ければ、システム停止が長期化し、業務継続に深刻な影響を及ぼすケースも珍しくありません。

　「感染を防ぐ」ことに主眼を置いた対策だけでは、ランサムウェアによる被害を抑制し切れなくなっているのが現実です。こうした背景から、ランサムウェアの攻撃者に侵入されることを前提としたセキュリティ対策の強化に乗り出す組織もあります。

「ランサムウェア感染しても医療を止めない」病院の取り組み

　近年のランサムウェア攻撃の深刻化を受け、組織は侵入防止や不審な挙動の検知といった対策を強化してきました。それにもかかわらず、被害は減少していません。2025年9月に警察庁サイバー警察局が公表した「令和7年上半期におけるサイバー空間をめぐる脅威の情勢等について」によると、ランサムウェアの被害件数は116件に達し、半期としては過去最多水準となりました。

　この現実を踏まえると、被害を「完全に防ぐ」ことを前提とした対策には限界があると言わざるを得ません。重要性が見直されているのが、「被害に遭ったとしてもいかに早く復旧できるか」に重点を置く、サイバーレジリエンスの考え方です。

　前橋赤十字病院は、ランサムウェアの侵入を完全に防ぐことは難しいとの前提に立ち、「医療を止めない」ことを最優先にしたデータ保護と復旧体制を整備しました。

参考記事：前橋赤十字病院、「ランサムウェアは防げない」前提の“医療を止めない”データ復旧を整備

　電子カルテや診療支援システムなどの各種医療システムは、医療サービス提供に不可欠な存在です。そうしたシステムを含め、医療を止めない体制を構築するには、従来型の境界防御やバックアップ運用だけでは限界があったと同病院は判断しました。

　そこで同病院では、Cohesityのデータ保護製品と、Cisco Systemsの脅威検知を組み合わせた対策を採用しました。「Cohesity DataProtect」は、改ざん不可（イミュータブル）バックアップ機能によって、本番データが暗号化された場合でもバックアップデータを保護し、迅速に復旧できるようにするための仕組みを提供します。またバックアップおよび復旧プロセスの自動化によって、限られたIT人材でも安定した運用を可能にする体制も整えます。

　一方の「Cisco XDR」は、ネットワークやエンドポイント、クラウドなどから収集したデータを分析し、脅威の検知と可視化を担います。両製品を連携させることで、脅威スコアが一定値を超えた場合に自動でイミュータブルバックアップを取得する仕組みを構築しました。これにより、侵入初期段階でクリーンなデータを確保しつつ、検知から復旧までを連携させて医療を継続できる体制を整えたのです。

隠れたサイバー被害の実態

　感染を前提としたリカバリー体制の強化が重視されるようになっている背景には、ランサムウェア攻撃が企業・組織に与える経済的ダメージの深刻さがあります。その実態の一端は、Cohesityが2025年11月に発表した調査レポートでも明らかになっています。

参考記事：“ランサムウェア被害”の報告されない実態、8割が「平均130万ドルを支払っていた」

　日本を含むアジア太平洋、米国、欧州などの10カ国のITおよびセキュリティの意思決定者3200人を対象としたこの調査では、以下の通り、攻撃が事業に及ぼす影響の大きさが浮き彫りになっています。

攻撃を受けた後に業績や財務に関する予測（ガイダンス）を修正した上場企業が70％
自社株価に影響した企業が68％
予算をイノベーションと成長に向けた取り組みから振り替えた非公開企業が73％
罰金や訴訟などの法規制・コンプライアンス上の影響を受けた企業が92％
ランサムウェア1件当たり平均で130万ドルの身代金を支払ったと回答した企業が82％

　攻撃による財務的影響を公表している企業はごく一部にとどまるのが現実ですが、この調査から分かるのは、公表されている以上の深刻な影響が企業内部に及んでいることです。それだけに、いかに迅速に復旧できるかが、企業の経営を左右する重要な視点になっていると言えます。

復旧できない企業が85.4％　バックアップの落とし穴

　復旧の重要性が認識されている一方で、十分な対策が取られていない状況も見られます。先述の警察庁のレポートでは、約96％の企業がバックアップを取得していたにもかかわらず、そのうちの85.4％がバックアップからデータを復元できなかったという結果になっています。つまり、「バックアップがあること」と「確実に復旧できること」は別問題なのです。

　調査会社ガートナージャパン（以下、Gartner）は、ランサムウェア被害から業務を復旧させるための信頼できる唯一の方法は「堅牢（けんろう）でテスト済みの復旧能力を備えること」だとし、レジリエントなバックアップ戦略を推進するために、以下の取り組みを検討すべきだと提言しています。

イミュータブル（改ざん不可）ストレージの採用
バックアップ取得時のランサムウェア検知機能の導入
適切なリカバリーポイントを特定する機能の活用
I＆OチームとセキュリティチームとのBCP（事業継続計画）連携の強化

参考記事：ランサムウェア被害企業の85.4％が復旧失敗　Gartnerが「バックアップの見直し」を提言

　「ランサムウェア感染後の対策としてバックアップによるリカバリーが準備できている」と回答したセキュリティチームの割合は37.3％にとどまるのに対し、I＆Oチームは71.8％が「できている」と認識、組織内で対策状況の共通認識が欠如していることが示されています。

「防ぐ」から「復旧する」へ　求められる視点の転換

　ここまで見てきたように、ランサムウェア対策においては「侵入を防ぐこと」ばかりでなく、「侵入される前提でどう備えるか」も考慮することが極めて重要な視点になっています。その対策を考える上で重要となるポイントは、次の通りです。

目標復旧時間（RTO）を短縮する設計
データの完全性と可用性の確保
実践的な復旧訓練の実施
業務継続を前提としたシステム設計

　自社の対策は「侵入を防ぐこと」に偏っていないか。「復旧できる状態」を現実問題として考慮できているか。IT部門だけではなく経営層を含めて、あらためてサイバーレジリエンスの戦略を見直すことが求められています。

ランサムウェア「身代金総額は減った」が攻撃は増加、“中小”が狙われている？
ブロックチェーン分析企業Chainalysisは、2025年のランサムウェア身代金支払い総額が前年比約8％減の8億2000万ドルだったと発表した。攻撃件数は増加して過去最高を記録したが、支払い率は過去最低水準になった可能性がある。
「ゼロトラスト」を巡る3つの誤解とは――そもそも“境界型防御の代替”ではない？
近年、エンタープライズのネットワーク構成が大きく変化するにつれ、境界型防御の限界への対応としてゼロトラストセキュリティの考え方が重視されるようになりましたが、一方でその考え方が正しく理解されていない面が多いようにも見受けられます。本稿では、ゼロトラストセキュリティがそもそもなぜ必要で、何を解決しようとしているか、時折見られる誤解と正しい理解について整理します。
攻撃経路「オンプレからクラウドへ」はもう古い　インフォスティーラーが変えたセキュリティの新常識
2025年11月27日に開催された「ITmedia Security Week 2025 秋」で、多摩大学大学院特任教授の西尾素己氏が「インフォスティーラーが変えたクラウド環境のアタックサーフェス」と題して講演した。