ランサムウェア被害で自信喪失…… Veeamの年次調査で分かった理想と現実：セキュリティニュースアラート

ヴィーム・ソフトウェアはサイバー脅威動向に関する年次調査結果を公開した。調査から、組織におけるランサムウェア対策の理想と現実のずれが顕著に明らかになった。このギャップを解消するための手段・方法論についても提案している。

[田渕聖人，ITmedia]

　ヴィーム・ソフトウェアは2025年6月24日、ランサムウェア攻撃を含めたサイバー脅威動向に関する最新動向をまとめた年次調査結果「From Risk to Resilience： Veeam 2025 Ransomware Trends and Proactive Strategies Report」を発表した。

　同調査は1300の組織を対象に実施され、そのうち900の組織が過去12カ月間で少なくとも1回は、暗号化またはデータ漏えいを伴うランサムウェア攻撃を経験していた。回答者は米国や欧州、オーストラリアの各地域から、CISO（最高情報セキュリティ責任者）やそれに準ずる役職の経営幹部、セキュリティ専門家、ITリーダーが含まれる。

ランサムウェアに遭うと自信をなくす人続出　2025年の調査結果

　調査によると、「ランサムウェア攻撃を少なくとも1回は受けた」と答えた企業の割合は前年の75％に対して69％とやや減少したが、依然として高い水準で推移している。

　ランサムウェア対策のギャップも浮き彫りになった。69％の企業が被害前には「自分たちは十分に備えている」と考えていたが、被害後にはその自信が20％以上も低下し、被害にあって初めて、万全だと思っていた対策が現実には通用しないことが分かった。CIO（最高情報責任者）は被害後に自社の備えに対する評価が30％低下したが、CISOは15％の低下にとどまる。これはCISOの方が組織のセキュリティ状況をより正確に把握していることを示唆している。

　この他、2025年に注目すべき主な調査結果とトレンドは以下の通りだ。

法的機関の介入により、サイバー犯罪者の手口が進化

　2024年は世界中で警察や法的機関が協力して、「LockBit」や「BlackCat」などの主要なランサムウェアグループを摘発し、犯罪集団に大きなダメージを与えた。しかしその結果、小規模グループや単独の攻撃者が増加し、今後も継続的な警戒が必要だ。

データ漏えいのみを狙った攻撃が増加傾向

　サイバー犯罪者が組織のネットワークに侵入後、データの暗号化やロックをせずに、個人情報や財務情報、知的財産などの機密情報を盗み出し、外部に持ち出す手法が増加していることが分かった。セキュリティ体制が脆弱（ぜいじゃく）な組織は特に標的になりやすく、数時間のうちに脆弱性が悪用されるケースもあるという。

身代金の支払い額は減少傾向

　2024年は身代金の支払総額が減少した。被害を受けた組織の36％が身代金の支払いを拒否した他、支払いをした組織のうち82％は金額交渉をしており、60％は半分以下の支払いで済んだ。

　新たな規制や法制度が身代金の支払いを抑制する効果をもたらしている可能性もある。例えば、ランサムウェアに対する国際連携を目指し、設立された多国間会合「カウンターランサムウェア・イニシアティブ会合」（CRI会合）では、組織が攻撃者に屈するのではなく防御力を強化するよう促している。

セキュリティとレジリエンスへの予算は増加傾向だが依然として不十分

　多くの組織がセキュリティとリカバリーにリソースを割り当てているが、脅威が拡大している状況において依然として投資が追い付いていない。

　ただ、データレジリエンスを優先する組織は攻撃からの復旧速度が最大で7倍速く、データ損失率も大幅に抑えられることが判明した。これらの組織の共通点としては、堅牢（けんろう）なバックアップやリカバリー戦略、プロアクティブなセキュリティ対策、そして、効果的なインシデント対応計画を進めていた点だ。

　ヴィーム・ソフトウェアは調査結果を踏まえて、「受け身のセキュリティ」から「プロアクティブなサイバーレジリエンス戦略」への転換を訴えている。具体的には、サイバーレジリエンスの準備段階でIT運用チームとセキュリティチーム間の連携を強化し、全てのチームに対して定期的な訓練や演習を実施。攻撃発生時およびその後の対応をスムーズに実行できる体制の構築が必要だとしている。

レジリエンス能力を可視化するフレームワークとは？

　しかしサイバーレジリエンスは包括的な対策であるため、なかなか自社の成熟度を評価するのは困難だ。さらに上記の調査の通り、現状の対策とその有効性の間にギャップがある可能性もある。このような認識のずれは極めて危険だ。

　そこで、これを解消するためにヴィーム・ソフトウェアは「データレジリエンス成熟度モデル」（DRMM：Data Resilience Maturity Model）というフレームワークも発表した。DRMMはマッキンゼー・アンド・カンパニー（以下、マッキンゼー）との共同調査や、500人以上のITやセキュリティ、運用リーダーからの知見を基に開発されたもので、試験的に導入した顧客の事例により、その有効性が実証されたという。

　DRMMは、組織が自社のレジリエンスの状態を客観的に把握することで「できていると認識していること」と「実際にできていること」とのギャップを明確にし、データを守るために必要な戦略的かつ的確なアクションを支援する。

　具体的にはサイバーレジリエンスや災害復旧（DR）、事業継続といった領域を「データ戦略」「人材とプロセス」「テクノロジー」という3つの観点から包括的に測定し、以下の4段階で評価する。

1. Basic（Reactive & Manual）：　問題が起きてから対応する、手作業中心でリスクが非常に高い
2. Intermediate（Reliable But Limited）：　ある程度の信頼性はあるが、断片的で自動化が不足している
3. Advanced（Mature & Adaptive）：　戦略的で先を見越した取り組みだが、完全な連携には至っていない
4. Best-in-Class（Self-optimizing）：　自動化およびAIを活用し、あらゆるリスクに対応できる状態

　マッキンゼーとの共同調査によれば全体の74％の企業が成熟度で言うと「Basic」または「Intermediate」の段階にとどまっていた。最も成熟度の高い「Best-in-Class」レベルの企業は、障害からの復旧が7倍速く、ダウンタイムは3分の1、データ損失は4分の1に抑えられていたという。

　なお、DRMMモデルは今後日本の顧客の間で導入する予定だ。