ランサムウェア対応、日本企業の「準備不足」が露呈

ガートナージャパンは2025年7月7日、「国内企業におけるランサムウェア対策の現状に関する最新調査結果」を発表しました。本調査は2025年2月に、国内の従業員500人以上の組織を対象に実施され、ランサムウェア感染への備えや、感染時の身代金対応方針の実態が明らかになりました。

企業のデジタル基盤が高度化し、サプライチェーンや社会インフラと密接に結びつく中で、ランサムウェア被害は単なるIT部門の課題にとどまらず、経営リスクそのものと捉える必要が高まっています。しかし、今回の調査では「準備を進めている」とする企業の割合が依然として低く、身代金要求への具体的な対応ルールを持たない企業も多いことが判明しました。

今回は、ランサムウェア被害に備えた企業の準備状況、身代金要求への対応の実態、さらには今後の対策強化に向けた展望について取り上げたいと思います。

ランサムウェア対策の現状と課題

Gartnerの調査によると、ランサムウェア感染に備えた「対応マニュアルの策定」に着手している企業は36.5%にとどまりました。また、「外部専門家への相談体制やインシデント・レスポンス契約の事前締結」を行っている企業は34.0%、「インシデントの公的機関への届け出体制」を整備している企業は31.8%と、準備が十分に進んでいるとは言いがたい状況です。

さらに、「インシデント発生時の顧客への公表・連絡体制」に至っては準備している企業はわずか16.8%でした。ランサムウェア被害が多重脅迫型（データ窃取や取引先への脅迫、リークサイトでの情報公開など）へと進化する中、被害を受けた後のステークホルダー対応の遅れは、企業の社会的信用を大きく揺るがすリスクとなりつつあります。

出典：ガートナージャパン 2025.7

身代金対応方針、ルール化の遅れが浮き彫りに

ランサムウェア感染時の身代金要求への対応方針についても、調査結果は懸念を抱かせるものでした。「身代金を支払わない方針を持つが、ルール化していない」との回答が31.3%と最多で、「状況を踏まえて判断する方針だが、ルール化していない」（11.0%）、「決めていない」（8.3%）を含めると、全体の半数近くの企業が具体的ルールを欠いていることがわかりました。

この状況について、Gartnerのディレクター アナリスト鈴木弘之氏は「方針の有無だけでなく、その実効性を担保するルール化と運用が重要です。ランサムウェア対策は現場任せではなく、経営層が責任を持ち、ビジネス全体への影響を見据えた意思決定が求められています」と指摘しています。

出典：ガートナージャパン 2025.7

バックアップの仕組み改修が復旧力の鍵

ランサムウェア被害の深刻化を防ぐためには、バックアップのあり方も見直す必要があります。Gartnerのディレクター アナリスト山本琢磨氏は「従来型のバックアップでは、ランサムウェアに対する有効な防御とは言えません。バックアップ自体が被害を受けない設計と運用の見直しが急務です」と述べています。

現実には、ランサムウェア攻撃によって本番データだけでなくバックアップデータまでもが棄損され、復旧に長期間を要した事例が相次いでいます。そのため、物理的・論理的に隔離されたバックアップ、変更不可なスナップショットの活用など、被害後の確実な復旧を支える仕組みの強化が不可欠となっています。

今後の展望：経営課題としての再定義とルール実装が急務に

今回の調査結果は、ランサムウェア対策が「技術課題」であると同時に「経営課題」であることを改めて示しました。被害がもたらす事業停止リスク、取引先・顧客との信頼関係への影響、社会的信用の失墜など、経営レベルでの意思決定が不可欠です。

今後、企業には次のような取り組みが求められています。
・感染を前提とした実効性あるルールとマニュアルの策定・見直し
・外部専門家との連携強化と定期的な訓練の実施
・多層的なバックアップ戦略の構築と運用の実効性検証
・経営層を含めた全社的なセキュリティガバナンス体制の確立

日本企業のランサムウェア対応力向上に向けた一歩として、経営層の主体的な関与と、計画から実行・検証まで一貫した対策が重要となるでしょう。