事業停滞54日・被害額6億円超 ランサムウェアがもたらす「経営の致命傷」：身代金支払いか事業停止か

パロアルトネットワークスの調査から、ランサムウェア攻撃による国内企業の事業停滞期間は平均54日、経済的損失は約6.4億円に達すると分かった。この大規模な被害を前に企業はセキュリティ対策や予算をどう再考すればいいか。そのヒントを探る。

[田渕聖人，＠IT]

　パロアルトネットワークスは2026年4月17日、「国内民間企業・公共機関のサイバーセキュリティ施策と投資動向2026年度版」の調査結果を発表する記者説明会を開催した。同調査は、国内の民間企業・公共機関のセキュリティ決裁権者752人を対象とした大規模なものだ。

パロアルトネットワークスの染谷征良氏（チーフサイバーセキュリティストラテジスト）

　同説明会に登壇した同社のチーフサイバーセキュリティストラテジスト、染谷征良氏は、冒頭で強い危機感をあらわにした。「昨今、サイバー攻撃によって生産活動や物流が止まり、社会経済全体に影響が波及する事象が頻発している。これを受け、われわれはサイバー攻撃のビジネスインパクトが具体的にどの程度の規模に達しているのか、そして国内企業はどう変わるべきなのかを改めて整理した」と語る。

　本稿では、ランサムウェアの事業への影響や現状を踏まえた企業のセキュリティ対策のトレンドをユーザー企業の視点も交えて深掘りする。

ランサムウェアがもたらす「54日間」の停滞と「6.4億円」の損失

　同調査結果で最も衝撃を与えたのは、ランサムウェア攻撃による実害の数値化だ。2025年にサイバー攻撃を受けた組織のうち、45％がランサムウェアを経験していることが分かった。

　特筆すべきは、その影響の「長さ」と「重さ」だ。インシデントによる事業停滞期間は全体平均で44日間だが、ランサムウェア被害に限定すると平均54日間にまで長期化する。非ランサムウェア攻撃（37日間）の約1.5倍だ。「半年間も影響が続く事象も実際に起きている」と染谷氏が指摘するように、一度心臓部を突かれれば、復旧の道のりは果てしなく険しい。

　経済的打撃も企業の存続を脅かすレベルに達している。ランサムウェア被害による経済的影響額は平均6億3509万円で、これは非ランサムウェア攻撃（約2.9億円）の2.2倍、民間企業に限定すれば3.9倍だ。「違約金や損害賠償といった、二次的なコストが絡むケースが長期化と高額化を招いている」と染谷氏は分析する。

　こうした被害を前に、身代金支払いという究極の選択についても議論が及んだ。

　染谷氏は「専門家の大半は『払うべきではない』と主張するが、実害を受けた責任者ほど『支払いはやむを得ない』『どう対応するか分からない』と苦渋の決断を迫られている」と明かした。パロアルトネットワークスの立場としては「ビジネスデシジョン（経営判断）」としつつも、「犯罪者に身代金を支払っても復旧の確証はない。理想は、いかに被害を『未遂』にするかに注力することだ」とくぎを刺した。

立ち遅れる「実効性」――バックアップ頼みの限界

　今回の調査では日本企業の対策が「量」には偏っているが、「実効性」において課題があることも浮き彫りになった。

　技術的な対策を見ると、多くの組織が「防御・検出」や「バックアップ」には注力している。しかし染谷氏は「バックアップはセキュリティの手段ではなく、万が一の解決手段にすぎない」と話す。

　「重要なのは被害を未然に抑える、あるいは最小限に局所化することだ。アイデンティティーの要塞化や、アタックサーフェスマネジメント（ASM）による資産把握、ネットワークのセグメント化といった『攻撃面を減らす具体策』が、依然として手薄な傾向にある」（染谷氏）

　組織面でも有事への備えの甘さが指摘された。同調査から、サイバーBCP（Business Continuity Plan：事業継続計画）を整備できていない、あるいはインシデント対応演習を一度も実施していない組織が多いことも分かっている。

　「事故が起きた瞬間に、どの専門家に連絡すべきか考えている余裕はない。外部の専門家と即座に連携できる体制を事前に整えている組織は半数に満たない。これが、復旧の遅れと損失の拡大を招く要因となっている」（染谷氏）

「88％」がベンダー削減を志向　プラットフォーム化への急旋回

　今回の調査で最も劇的な変化が見られたのが、セキュリティツールの「集約・統合（プラットフォーム化）」に対する意識だ。2024年の調査では「ベンダー削減（集約）が必要」と答えた割合は55％だったが、2026年には88％へと急増した。

　染谷氏によると、日本企業はこれまで新しい脅威が現れるたびに個別のソリューションを導入してきた。その結果、運用が複雑化してコストが膨れ上がる一方で、防御の実効性が低下するパラドックスに陥っているという。プラットフォーム化はこの課題の解消を担うものとして期待が高まっているようだ。

　「過去のインシデント分析では、9割近いケースでログに攻撃の兆候が残っている。しかし、監視体制がバラバラであるためにリアルタイムで気が付けていない。これは単純なコスト削減の問題ではなく、検出力と対応力を高めるための必然的な動きだ」（染谷氏）

　この他、同調査で聞いたところ、プラットフォーム化によって期待できるコスト削減効果は平均で20％だった。潤沢なセキュリティ予算を持つ企業は少ないため、プラットフォーム自体の価格に左右されるものの、運用費用の低減には一定のコストメリットも見込めるようだ。

　一般的にプラットフォーム化で特に障壁となるのが「ベンダーロックイン」だ。しかし同調査では意外な結果も明らかになった。染谷氏によると、最も多くの回答を集めたのは「既存ツールごとに異なる契約満了時期（48％）」という、実務的・物理的な契約上のハードルだった。染谷氏はこの問題をいかに解消し、全体最適に導くかがCISO（最高情報セキュリティ責任者）の腕の見せどころになると示唆した。

東洋紡が語る「プラットフォーム化」の現実と経営判断

　同説明会の後半では、東洋紡のCDO（最高デジタル責任者）であり、2026年4月からはCIO（最高情報責任者）・CISOを兼務する矢吹哲朗氏をゲストに迎え、ユーザー企業の視点で深掘りがあった。

　東洋紡は過去にランサムウェア被害を経験している。矢吹氏は「全く経験のない会社に比べれば、セキュリティ投資への理解はある方だったが、当初は20以上のツールがパッチを当てるように乱立していた」と振り返る。

　矢吹氏が主導したのは、この「個別最適」の徹底した排除だ。

　「ツールの更新時期が来るたびに一つ一つ見直すのではなく、プラットフォームとしての思想を持つベンダーに統合すべきと判断した。もし一部の機能が他社より劣っていても、全体としての整合性と管理性を重視している」

　矢吹氏がプラットフォーム化のロジックとして経営陣に示したのは、単なるライセンスコストの比較ではない。

　「グローバル全拠点を24時間365日、属人的な体制で同じ品質で守ろうとすれば、人件費は膨大になる。プラットフォーム化によるAI自動化で人件費を抑制し、浮いたコストを実効的な防御に回す。この差分でコストメリットを出すというロジックで投資を引き出した」（矢吹氏）

　この他、議論は組織のガバナンスと権限に及んだ。染谷氏は日本企業に特有の課題として「CISOに責任はあるが判断する権限が与えられていないケース」を挙げた。これに対し矢吹氏は、東洋紡における「権限の明文化」という解決策を提示した。

　「過去のインシデントでは、外部SOC（Security Operation Center）から夜中に連絡が来ても『詳細を調査中』と言われ、その間に被害が拡大する事象があった。それなら一度止めて朝からゆっくり対策を考えた方がいい。私は社長に対し、『インシデントの際は私の独断で通信を遮断し、エンドポイントを隔離する』という了解を得ている。社長の判断を待っていては間に合わないからだ」（矢吹氏）

　さらに東洋紡ではセキュリティ体制をIT部門から分離し、社長直轄の「リスクマネジメント」の枠組みへと移管している。

　「2027年以降は、セキュリティ予算をITコストから切り離し、自然災害と同様のリスクマネジメント費用として計上する予定だ。売上高に対する何％という基準で、事業継続を確保するための『設備投資』として捉える方が、経営としての費用の持ち方として分かりやすい」（矢吹氏）

2026年度、セキュリティ投資は「量から質」へ

　染谷氏は最後に、同調査の総括として日本企業が進むべき3つの方向性を示した。

1. 経営責任の明確化と設備投資化：セキュリティをIT部門のコストセンターとしてではなく、事業継続を支える「設備投資」として経営層がコミットする。責任と権限をCISOに集約し、有事の際の迅速な決断を可能にする
2. プラットフォーム化による全体最適：「ポイントプロダクトの乱立」という負の遺産を清算し、ベンダー集約を進める。これにより、運用コストを最適化しつつ、分断された監視体制を統合して検出力を高められる
3. AI・自動化へのシフトと有事の連携：もはや人が全ての脅威に判断を下す限界は超えている。AIによる自律的な防御を軸に据えつつ、万が一の際は外部の専門家（インシデントレスポンスチーム）と即座に連携できる「実効性のあるBCP」を構築することが重要だ

　「国内組織のセキュリティ投資はIT予算の15％に達したが、重要なのはその金額以上に『何にどう使うか』という質の問題だ」と染谷氏は締めくくった。

　ランサムウェアによる「54日間の停滞」という冷酷な現実は、日本企業に抜本的な変革を迫っている。矢吹氏が体現したような、経営直結型のガバナンスと、プラットフォーム化による複雑性の排除。これこそが、2026年度のサイバーセキュリティ戦略における真の勝機となるだろう。

〜記者の目：ニュースをちょっと深掘り〜

多くの企業はこれまで、脅威の出現に応じて個別の対策製品を積み上げてきた。しかしその結果、運用は分断され、ログは散在し、検知できるはずの兆候を見逃し、コストが増大するという“管理不能状態”に陥っている。

プラットフォーム化は、この構造を是正する有力な選択肢だ。監視や分析を統合し、AIによる相関分析や自動対応を可能にすることで、検知と初動対応のスピードを高められる点は大きなメリットだ。パロアルトネットワークスの調査では大きな障壁とはなっていなかったものの、ベンダー依存のリスクや、単一障害点の増大といったデメリットも無視できない。特に日本企業では契約や組織の縦割りが障壁となり、理想的な統合が進まない現実もある。

さらに見逃せないのが、セキュリティ予算の位置付けだ。従来のようにITコストの一部として扱う限り、投資はどうしても短期的な効率性に引きずられる。しかしランサムウェアが事業停止やサプライチェーン断絶を引き起こす現実を踏まえれば、セキュリティは明確に「事業継続のための設備投資」として再定義すべき段階に来ている。売上比率で一定水準を確保し、経営判断としてリスクを引き受けるという発想が不可欠だ。

結局のところ、日本企業が直面しているのは「何をどれだけ導入するか」ではなく、「どう全体最適を設計し、誰が最終責任を持つのか」という問題である。ランサムウェアの脅威は、その曖昧（あいまい）さを許さない段階に入った。セキュリティに真正面から向き合うべきフェーズが今来ている。（田渕聖人）