ガートナーが提言 身代金支払いルールを決めるときに注意すべきこと：セキュリティニュースアラート

ガートナーは国内企業のランサムウェア対策に関する調査結果を発表した。多くの企業が対応マニュアルの整備や外部専門家との契約を進めているが、身代金対応方針のルール化が不十分な企業も多いことが分かった。

[後藤大地，有限会社オングス]

　ガートナージャパン（以下、ガートナー）は2025年7月7日、国内企業のランサムウェア対策に関する最新調査結果を発表した。同調査は従業員500人以上の国内の組織を対象に2025年2月に実施された。企業の対策状況については、対応マニュアルの整備や外部専門家との契約が比較的進んでいることが明らかとなった。

身代金支払いルールを決めるときに注意すべきことは何か？

　ランサムウェア感染への備えについて調査した結果、「準備している」と回答した割合が多かった項目は「ランサムウェア感染時の対応のマニュアル化」（36.5％）で、「外部専門家への相談体制、インシデント・レスポンス、リテーナー・サービスの事前契約」（34.0％）だった。

　ガートナーの鈴木弘之氏（ディレクターアナリスト）はこの結果に対し、「全体的にランサムウェア対策に取り組んでいる企業の割合は、2024年の調査時からは若干ながら増えています。セキュリティ対策を強化しても完全に防御するのは不可能になっていることから、企業はランサムウェアの感染を前提に、感染後の対処を準備していることがうかがえます」と述べた。

　「ランサムウェア対策は事前準備が重要です。十分に対策を取っていると考えている企業もありますが、実際の被害発生時に、準備していた対策が十分に機能しないケースも見受けられるため、自社のランサムウェア対策がいざというときに機能するかどうかを、改めて確認する必要があります」（鈴木氏）

　ランサムウェア感染時の身代金対応方針に関しては、「身代金は支払わない方針だが、ルール化していない」という企業が最多（31.3％）であり、「身代金は支払わない方針で、ルール化している」（27.3％）と具体的な対応をあらかじめ文書化・手続き化している企業が少ないことが分かった。

　鈴木氏は「ランサムウェア対策は感染を想定して、身代金要求への対応の方針を立てるだけでなく、方針に沿って効果的に対処するための具体的なルールを準備する必要があります。身代金を払わず、システム障害などに伴う業務の中断やダメージを許容することは、経営に関わる重要な判断です。ランサムウェア対応のルール化は、現場任せではなく経営陣がビジネスの状況や、取引先、社会に与える影響などを総合的に判断した上で、対応マニュアルを作成・承認する必要があります」と語った。

　ランサムウェアは従来の暗号化による攻撃を超えて、情報窃取や公開、関係者への脅迫など多層的な攻撃へと変化している。そのため、被害の範囲を迅速に特定し、適切に対応するための分析体制の確立が不可欠とされている。どの経路から侵入され、何が盗まれたのかを把握するための調査・報告体制を整備するよう推奨している。

　復旧力の強化についてはバックアップ体制の見直しが急務だ。通常のバックアップだけでは不十分であり、ランサムウェアに備えたバックアップ対策が不可欠とされている。

　ガートナーの山本琢磨氏（ディレクターアナリスト）この問題に対して次のように述べる。

　「普通にバックアップするだけでは、ランサムウェア対策になっていません。少なくともバックアップしたデータを毀損させないために、ランサムウェアに備えたバックアップ対策が必要です。ランサムウェア被害に遭った場合、バックアップからの復旧は最後の砦です。データ復旧のために、自社のニーズやリスク、コストのバランスを取ってバックアップの仕組みを早急に改修する必要があります」

　調査結果からは、国内企業がランサムウェア対策として事前のマニュアル整備や外部専門家との連携を進めているものの、身代金要求への明確な対応方針のルール化はまだ不十分なことが浮き彫りとなった。ガートナーは、ランサムウェアの多層化する脅威に対し、感染を前提とした具体的な準備と、経営層がビジネスへの影響を考慮した上での対応ルールの策定が不可欠だと強調する。企業はランサムウェアの進化する脅威に対し、より実効性の高い対策へと移行することが求められている。