Gartner、ランサムウェア対策の4つのアクションを提示
ガートナージャパン(以下、ガートナー)は、国内企業におけるランサムウェア被害の発生を受け、ランサムウェア攻撃への対策として企業が取るべき4つのアクションを発表した。セキュリティはIT部門だけの課題ではなく、事業そのものを停止させる可能性のある「経営リスク」として捉え、改めて議論する必要があると指摘している。
セキュリティは「経営リスク」として再定義すべき
国内大手企業でランサムウェア被害が発生したことを受け、セキュリティは企業の経営上の最優先事項として関心が高まっている。こうしたインシデントは、ひとたび攻撃を受ければ企業の基幹業務が長期間停止する可能性があることを多くの企業に認識させる結果となった。
ガートナーのシニア ディレクター アナリストの矢野 薫 氏は、「経営陣のセキュリティに対する関心が高まっている今こそ、実効性のある議論を深める好機である」と指摘する。その際には、セキュリティを単なる技術的課題としてではなく、「ビジネスが長期にわたり停止し得る重大な経営リスク」として議論する必要があるとしている。
ガートナーは、企業がビジネスの継続性を確保するためには、包括的な対策として4つの領域に重点的に取り組むことが重要であると説明している。
感染リスクを減らすための予防的アプローチ
第一のアクションは、ランサムウェアへの感染リスクそのものを低減することである。企業のIT環境が高度化するにつれ、ランサムウェア攻撃の対象となり得る領域も急速に拡大している。また、システム特権管理の脆弱性が存在するケースも課題となっている。
エンドポイントの検知・対応(EDR)は重要な対策の一つとされているが、ランサムウェア攻撃では認証情報の悪用やクラウド環境への横展開など、エンドポイントから離れた場所で発生する事象も多い。そのため、EDRのような感染後の検知・対応に重点を置いたソリューションに過度に依存すると、予防的な対策が不足し、結果として感染の可能性が高まると指摘している。
矢野氏は、ランサムウェア対策を見直す企業は、攻撃検知テクノロジーへの依存や過信から脱却し、攻撃が成功しない環境を整備する予防的アプローチを取り入れる必要があると述べている。
そのための取り組みとして、継続的な脅威エクスポージャ管理(CTEM)による継続的な確認と対処、アタック・サーフェス・マネジメント(ASM)や脅威インテリジェンスを活用した脅威エクスポージャの可視化などが挙げられている。さらに、特に重要なシステムに対しては特権アクセス管理が適切に適用されているかを確認することも重要であるとしている。
早期検知のための運用体制の見直し
第二のアクションは、インシデントの早期検知である。国内企業の多くはEDRの導入とともに、SOCなどによるセキュリティモニタリング体制を構築している。しかし、2025年に発生したランサムウェア被害は、EDRによる脅威検知のあり方を再考する契機になったとガートナーは指摘する。
EDRが発するアラートには通常、「高」「中」「低」といった重要度が付与されるが、多くの企業では対応可能なリソースが限られているため、重要度「高」のアラートのみに対応しているケースが多いという。
しかし、重要度「高」のアラートはすでに攻撃を受けている状態を示す場合もあり、その前段階にある攻撃の試行や失敗は重要度「低」や「中」のアラートとして現れることが多い。このため、こうした兆候を解釈できない場合、攻撃の初期段階を見逃す可能性があると指摘する。
矢野氏は、ネットワークやクラウドサービスなど複数のモニタリングポイントを横断的に分析し、アラートの背後にある攻撃者の行動を把握する運用体制への転換が必要であると述べている。また、生成AIやAIエージェントなどの新しいセキュリティ技術を適切に活用し、個々の異常を一連のコンテキストとして捉える運用へのシフトが重要であるとしている。
緊急時に迅速な意思決定を可能にする体制
第三のアクションは、緊急時に冷静に対応できる体制を整備することである。従来のIT-BCPは、システム障害や自然災害による比較的短時間の停止を前提としていた。しかし、サイバー攻撃では隔離、保全、調査、修復といった固有の対応プロセスが必要となるため、システム停止期間はより長期化する可能性がある。
このため、ランサムウェア対策は従来のIT-BCPの枠組みだけで議論するのではなく、事業リスクへの対処を中心としたBCPとして位置付け直す必要があるとしている。
ランサムウェア感染時には短時間のうちに複数の重大な経営判断が求められる。特に対外コミュニケーションでは、経営陣が誰に対してどのチャネルを通じて説明責任を果たすかを明確にすることが重要になる。
さらに、復旧には一定の時間がかかることを前提に、アナログ手段を含めて製品やサービス提供をどこまで継続できるかについて、現場を巻き込んだ検討を早急に進める必要があるとしている。
被害後の迅速かつ正確な復旧体制
第四のアクションは、被害発生後に迅速かつ正確に復旧できる体制の構築である。警察庁が2025年9月に公表したレポートによると、ランサムウェア被害を受けた企業の90%以上がバックアップを取得していたにもかかわらず、バックアップからデータを復元できなかったケースは85.4%に上った。
復旧できなかった理由としては、バックアップデータ自体が暗号化されていたケースや、「正しい」バックアップが取得されていないケース、復旧プロセスが確立されていないケースなどが挙げられている。
また、復旧ではシステム間のデータの相関性や依存関係を踏まえた整合性が求められるため、同じタイミングでバックアップを取得するなどの一貫性確保が重要になる。
矢野氏は、復旧すべき対象はデータではなくビジネスそのものであると指摘する。業務を支える複数システムの依存関係を確認し、一貫性を保った「正しい」バックアップと、それを正しく復元するプロセスを確立することが求められるとしている。
