「身代金交渉はタブー」か? ガートナーが示したランサムウェア対応の現実:企業の7割が身代金対応ルールなし
ガートナーの最新調査で、最も実施率が高いランサムウェア対策でも4割程度にとどまり、感染後の判断や復旧体制には大きな課題が残る実態が明らかになった。さらに同社は、従来とは少し異なる「身代金交渉」の考え方も示している。
ガートナージャパン(以下、ガートナー)は2026年6月24日、国内企業のランサムウェア対策状況に関する最新調査の結果を発表した。
調査では、国内でランサムウェア被害が続く中、企業の対策は2025年の調査時から一定の改善が見られるものの、依然として十分とはいえない実態が明らかになった。最も実施率が高かった対策でも4割程度にとどまり、感染を前提とした復旧や初動対応、経営判断の準備には課題が残っている。
最も多い対策でも4割止まり 企業の備えは十分とはいえず
同調査は2026年2月、国内の従業員数500人以上の組織を対象に実施された。ガートナーによると、ランサムウェアは依然として企業活動に深刻な影響を及ぼしており、被害に遭った企業からの問い合わせや相談も絶えないという。
調査で最も回答が多かった対策は「バックアップからの復旧」で42.7%だった。次いで「ランサムウェア感染時の対応のマニュアル化」が40.3%、「インシデントの公的機関への届け出体制」が34.7%となった。いずれも感染後の復旧や初動対応に関わる取り組みだが、実施率はいずれも半数を下回っている。
ガートナーは、企業が対策強化に取り組んでいる一方で、有事を想定した備えは依然として十分に広がっていないとみている。
ガートナーの鈴木弘之氏(ディレクター アナリスト)は「多くの企業がさまざまなセキュリティ対策を講じているが、ランサムウェア被害を完全に防ぐことは難しい」と指摘する。その理由として、攻撃手法の高度化・巧妙化に加え、ゼロデイ脆弱(ぜいじゃく)性やサードパーティー、サプライチェーンに起因するリスクを挙げた。
その上で鈴木氏は、「ランサムウェア対策ではインシデントの発生を前提に、事前の備えや対応体制を整備することが重要だ」と話す。侵害を完全に防ぐことだけを目指すのではなく、被害発生後にどれだけ迅速に検知、復旧し、関係機関への届け出や経営判断につなげられるかが問われる段階に入っている。
7割の企業は身代金対応をルール化できていない
同調査では、身代金への対応方針にも課題が見られた。
ランサムウェア感染時の身代金について尋ねた設問では、「身代金の支払いはしない方針で、ルール化している」と回答した企業は29.5%にとどまった。約7割の企業では、身代金を支払わないという考えを持っていたとしても、具体的な判断基準や対応手順が明文化されておらず、実際に被害に遭った際に意思決定を迫られる可能性がある。
ガートナーは、攻撃発生後に対応方針を検討し始めるのではなく、平時から判断基準や対応プロセスを整理しておくことが、迅速な初動対応につながるとしている。
「交渉=支払い」ではない 平時から専門家と連携を
鈴木氏は、身代金交渉は必ずしも支払いを前提とするものではないと説明する。
「交渉は、被害状況や情報漏えいの範囲を調査・分析するための時間を確保する手段として考えることもできる」としており、交渉そのものを目的化すべきではないという考えを示した。一方で、インシデント発生後に初めて対応を考え始めると、時間的余裕がない極限状態で判断を迫られ、誤った選択につながるリスクが高まると警鐘を鳴らしている。
鈴木氏は、身代金交渉が不要で済むことが望ましいとした上で、万一必要になった場合に備え、専門ベンダーへ相談できる体制を平時から整えておくことが重要だと述べた。攻撃者と直接交渉することはリスクが大きく、避けるべきだとしている。
また、有事に場当たり的な判断を避けるには、経営層を含めた机上演習やシミュレーションを継続的に実施し、自社で想定される被害や対応策を検証した上で、判断基準を明確にしておく必要があるという。
今回の調査は、企業のランサムウェア対策が技術面では一定の前進を見せる一方で、有事に誰が何を判断し、どのように復旧や交渉を進めるのかといった運用・ガバナンス面の備えが十分に整っていない現状を浮き彫りにした。侵害を完全に防ぐことが難しい時代だからこそ、問われているのは「防ぐ仕組み」だけではなく、「侵害された後に適切な意思決定ができる組織」を平時から構築できているかどうかだ。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
ランサムウェア犯も失敗したくない ホワイトハッカーが明かす“身代金ビジネス”の実態
ランサムウェア被害企業は「支払うか、拒否するか」という難しい判断を迫られるが、その交渉の舞台裏では、被害企業だけでなく攻撃者側にも見逃せない事情がある。ホワイトハッカーが解説する“攻撃者の論理”を知れば、インシデント対応の見方が変わるかもしれない。
「ランサムウェア」侵入手順を徹底解説 もう知ったかぶりからは卒業しよう
“ランサムウェア”と聞くと、ある日突然データが暗号化されると思いがちだ。しかし攻撃者は、そのはるか前から静かに侵入し、社内を調査し、重要データを探し出している。泥棒の犯行になぞらえながら、ランサムウェア攻撃の全体像を分かりやすく解説しよう。
パスキー神話崩壊 Google Password Managerの同期機能を狙う新攻撃手法
パスワードに代わる認証手段として普及が進むパスキー。しかし、研究者が公表した新たな攻撃手法は、その安全性を支える“別の仕組み”に着目していた。暗号技術そのものを破らず、Google Password Manager利用者の認証情報に到達する手法とは。
インシデント0件は良いニュースとは限らない? 報告の質をちょい上げするコツ
インシデント発生件数0件――多くの企業で「良いニュース」として受け止められる数字です。しかし、その結果を手放しで喜んでよいとは限りません。攻撃を防いだからゼロだったのか、そもそも見えていなかったのか。その違いは報告書からは見えません。見落としがちな“ゼロの意味”と、報告の質を高めるヒントを紹介します。
パッチ適用後も標的に? 32万台超のFortiGateを襲った「FortiBleed」の正体
FortiGateを狙った大規模な認証情報収集キャンペーンの存在が明らかになった。対象となった機器は32万台超。その中には比較的新しい更新プログラムが適用された装置も含まれていたという。攻撃者は何を狙い、どのように侵入経路を確保していたのか。
世界中のWebサーバが影響 Apacheが危険な脆弱性を一斉修正
Apache HTTP Serverに大規模な修正が入った。最新版ではHTTP/2処理をはじめ、プロキシやSSL、認証機能など広範囲に及ぶ脆弱性に対処している。サービス停止やメモリ破壊につながる恐れがある問題も含まれていたため急ぎ修正してほしい。