「身代金を支払うかどうかは感染後に決める」企業がほとんどと判明 ガートナー調査：セキュリティニュースアラート

ガートナーは国内のランサムウェア対策状況に関する調査結果を発表した。これによると、「身代金を支払うかどうかは感染後に決める」企業が多くを占めていることが明らかになった。

[田渕聖人，ITmedia]

　ガートナージャパン（以下、ガートナー）は2024年7月1日、国内のランサムウェア対策状況に関する調査結果を発表した。

　同調査は2024年3月に、国内で従業員500人以上の組織のセキュリティリーダー400人を対象に実施したもので、ランサムウェア感染に備えた企業の準備状況について聞いた。

「身代金を支払うかどうかは感染後に決める」企業がほとんど

　ガートナーによると、「準備している」と回答した割合が最も多かったセキュリティ項目は「バックアップからの復旧体制」（36.0％）で、「ランサムウェア感染時の対応のマニュアル化」（33.5％）が続いた。

ランサムウェア感染に備えた準備（出典：ガートナーのプレスリリース）

　ガートナーの鈴木弘之氏（シニアプリンシパルアナリスト）はこの結果について「企業はランサムウェアの感染を前提とした、感染後の対処を準備している現状がうかがえる。ランサムウェア感染時の対応のマニュアル化やバックアップからの復旧体制などを準備している企業は一定数あり、『ランサムウェア対策は十分に実施済み』と考えている企業もあると想定される。しかし、最も多い『バックアップからの復旧体制』による対策でも4割弱の割合であり、備えが十分にできているとは言えない」と指摘する。

　ランサムウェアは、特定のセキュリティ対策を講じれば防御できるというわけではない他、被害発生時に準備と対策が十分に機能するとは限らない。ガートナーによると、多くの企業は準備をしているが、感染後に準備の抜けや漏れが発覚するケースもあるという。

　「可能な限り早期にランサムウェア攻撃を検知し、迅速にリカバリーできるようにするには、事前の備えを確実にすべきだ。ランサムウェア対策は事前の準備が非常に重要であり、企業は自社のランサムウェア対策の改善に取り組む必要がある」（鈴木氏）

　この他、ランサムウェア感染時の身代金要求への対応についても尋ねたところ、「身代金は支払わない方針で、ルール化している」という企業の割合は22.9％だった。身代金を支払わない方針を決めていても、ルール化していない場合（29.9％）や、「状況を踏まえてから判断する方針だが、ルール化はしていない」「決めていない」などの回答を含めると、約4分の3の企業は、ランサムウェアの感染後に具体的な判断をする予定であることが明らかになった。

ランサムウェア感染時の身代金要求への対応をルール化している企業の割合は2割強だった（出典：ガートナーのプレスリリース）

　鈴木は「ランサムウェア感染を想定して、身代金対応の方針を立てることは重要だが、方針を立てるだけでは不十分であり、方針に沿って効果的に対処するための具体的なルールを準備する必要がある。その際、対応のルール化は現場任せではなく、経営陣が関与して、ランサムウェアに感染した場合の全てのビジネスインパクトを総合的に判断した上で、ランサムウェア対応マニュアルを作成・承認することが重要だ」と話す。

　ガートナーはこれらの調査を踏まえて、以下の対策を示した。

• インシデントの全体像把握のための分析体制の確立：　インシデントの分析体制を整備するにはSIEMやSOARなどのツールを使いこなすための人員の確保と、インシデントを想定した事前訓練などが求められる。必要に応じて支援を受けられるよう、外部の専門サービス会社との連携なども考慮すべきだ
• ランサムウェア向けのバックアップ対策：　企業はバックアップデータの改ざん防止／保護と、復旧の迅速化に向けた施策の導入を進めるべきだ。自社のニーズやリスク、コストのバランスを取って、バックアップの仕組みを直ちに改修することが重要になる