復旧できない「7割の企業」で何が起きている？ ランサムウェア被害からの“復旧力”を考える：「新しい乱世」を生き抜くためのIT羅針盤

ランサムウェアが猛威を振るっています。被害を受けた企業のシステム停止はなぜ長引くのでしょうか。侵入を前提とせざるを得ない時代に入った今、企業に求められる“復旧力”の構成要件とは。

[入谷光浩，株式会社アイ・ティ・アール]

この連載について

これまでどの時代でも、時代に適応した者だけが生き残ってきました。

テクノロジーの急速な進化、経済見通しの不透明さ、地政学リスクの顕在化、そして前例なき気候変動――。これまでの経験や常識が通用しにくいこの時代は、まさに「新しい乱世」と言えるでしょう。

今、企業に求められているのは、混迷の中を生き抜いていくために必要な次の一手を見極める力です。

そのための羅針盤となるのが、経営とビジネスを根本から変革し得るエンタープライズITなのです。

本連載では、アイ・ティ・アールの入谷光浩氏（シニア・アナリスト）がエンタープライズITにまつわるテーマについて、その背景を深掘りしつつ全体像を分かりやすく解説します。「新しい乱世」を生き抜くためのITの羅針盤を、入谷氏とともに探っていきましょう。

　先日、実家に帰った際、母が私の顔を見るなり、開口一番で「ランサムウェアって怖いねえ」と言いました。まさか75歳になる母から“ランサムウェア”という言葉を聞くとは思いもしませんでした。アサヒグループホールディングス（以下、アサヒGHD）が被害を受けたランサムウェア攻撃のニュースが、インターネットやSNSだけでなく、テレビや新聞でも連日報道されています。その結果、「ランサムウェア」という言葉とその脅威が、子どもから高齢者に至るまで国民全体に知れ渡ることになったのです。

　この原稿を書いている時点でアサヒGHDのシステムが復旧したという情報はなく、商品の受注や出荷に大きな影響が出ている状況です。この一件は決して特殊な事例ではありません。

　KADOKAWAがランサムウェア攻撃を受け、動画配信サービスや出版システムが長期間停止したことはまだ記憶に新しいのではないでしょうか。ドイツの自動車や精密機械向けの金属部品メーカーであるSchumag AGは2024年にランサムウェア攻撃を受け、生産ラインと基幹システムの停止が長期化し、最後は破産に追い込まれました。

　ランサムウェアは世界的に企業経営を脅かす脅威となっており、アサヒGHDのケースはその影響が消費者の生活にまで及んだ点で、より深刻な局面を示したといえます。これを契機に、企業の経営者もランサムウェアのリスクを自社の問題として捉え、サイバー攻撃への備えを経営課題として優先的に検討する必要性を強く認識したのではないでしょうか。

復旧できない「7割の企業」で何が起こっているのか

　アイ・ティ・アール（ITR）の調査によると、2024年以降にランサムウェアの感染被害を受けた企業は19％、およそ5社に1社に上ります。ランサムウェアは高度化と巧妙化を続けており、どれほど対策を講じても完全に防ぐことは難しくなっています。さらに深刻なのは、そのうちの7割がシステムを完全に復旧できていないことです。また、復旧できた企業でも、復旧までに1週間以上を要した企業は70%にも上り、そのうち3〜4週間以上かかった企業が14%、1ヵ月以上は12%となり、4分の1が半月以上を要しています。

　これほど復旧が長引くのは、「バックアップがないから」ではありません。むしろ多くの企業が定期的にバックアップを取得していました。では、問題はどこにあるのでしょうか。

　問題は、感染範囲や影響の把握に時間を要したことと、バックアップデータそのものが暗号化されてしまったことにあります。

　攻撃によってどのシステムやファイルが侵害され、どの時点のデータが安全かを確認するには膨大な調査と検証が必要になります。さらに、安全性が確認できるまでシステムを再稼働できないため、結果として復旧が遅れてしまうのです。

　つまり、復旧とは単にシステムやデータを戻す作業ではなく、被害を把握し、安全を確認し、再稼働を判断するまでの一連のプロセスです。どれか一つでも滞れば、稼働再開が大きく遅れてしまいます。

これまでのバックアップは通用しない

　多くのITリーダーは「バックアップを取っているから大丈夫」と考えがちです。ITRがコンサルティングしている企業でも、そのような認識がまだ多いです。しかし、ITRの調査では、感染した企業の47％がバックアップデータまで暗号化されていたという結果が出ています。攻撃者は本番環境だけでなくバックアップ領域にも侵入し、復旧手段を奪うことで交渉力を高めようとするのです。

　こうした事態を防ぐには、従来のバックアップ手法を見直す必要があります。まず基本である「3-2-1」ルール（「3つのコピー」「2種類の媒体に保存」「1つを物理的に離れた場所に保管」）の徹底は当然です。

　ランサムウェア対策として近年注目されているのが、イミュータブルバックアップとエアギャップバックアップです。イミュータブルバックアップは、一度保存したデータを変更や削除できない状態で保持し、暗号化や改ざんを防ぐものです。エアギャップバックアップは、バックアップデータをネットワークから物理的または論理的に切り離して保管し、攻撃者からのアクセスを遮断します。

　いずれの手法も、万が一攻撃を受けた際に“最後の砦”となるデータを守るための仕組みです。バックアップの量や頻度ではなく、いかに安全な状態でデータが保たれているかが問われます。経営層が求めるのは防御率ではなく復旧速度です。バックアップを取っているだけで満足するのではなく、復旧できることを前提にした仕組みへと再設計することが重要です。

“復旧力”強化のためにIT部門がすべきこと

　サイバー攻撃を完全に防ぐことが難しい時代において、IT部門は「システムを守る」だけでなく、「事業を立て直す」責任を担わなければなりません。復旧のスピードと確実性は、企業全体の信頼を左右します。ランサムウェア攻撃は金銭などを得ることを目的に、企業の事業継続を停止させようとします。つまり守るべきは情報そのものではなく、企業の活動そのものです。

　復旧において重要となる基準が、RTO（復旧目標時間）です。重要なシステムをどれだけ早く再稼働させられるかが事業継続の実効性を左右します。これまで多くの企業では、ハードウェアやソフトウェア障害を想定したRTOが定められてきましたが、今後はサイバー攻撃によるシステム障害も前提としたRTOを設定することが求められます。

　サイバー攻撃では被害範囲や影響の特定に時間がかかるため、従来の障害対応と同じ前提では現実的な復旧時間を見誤る可能性があります。RTOの再定義は、復旧手順や体制を見直すきっかけとなり、事業継続計画（BCP）の実効性を高める重要なプロセスといえます。

　バックアップや復旧への投資は費用対効果が見えにくく、どうしても優先度が下がりがちですが、復旧力、すなわちレジリエンスの強化は企業価値を守るための投資として捉えるべきです。攻撃を受けても事業を止めない体制を築くことは株主や顧客、社会に対する信頼の証にもなります。

今回のまとめ　サイバー乱世を生き抜くために

　ITRの調査によると感染状況の把握、システムやデータに対する影響の評価、感染していないバックアップデータの特定、リストアの安全な実行からシステム再稼働までの復旧プロセスを確立できている国内企業はまだ15％にとどまっています。

　これは非常に深刻な問題です。今後、アサヒGHDと同様、もしくはそれ以上の規模の被害を受ける企業が出てもおかしくありません。安全なバックアップ環境の整備や感染時の影響調査の確立、復旧手順の検証と訓練、IT部門と経営層が連携して迅速に意思決定できる体制の構築について平時から取り組み、継続的な評価と改善を実施することが重要となります。

　DX（デジタルトランスフォーメーション）やAIの活用が進むほど、システム停止は経営停止と直結します。バックアップや復旧は裏方ではなく、企業の信頼を守る中核の業務です。そしてITリーダーこそがそのレジリエンスを設計し、企業の事業継続を支える存在となるべきだと筆者は考えています。

　繰り返しになりますが、サイバー攻撃を完全に防ぐことはできません。侵害された時、被害を最小限に抑え、迅速に事業を立て直すレジリエンスこそが企業の競争力となり、サイバー乱世を生き抜くための鍵になるのではないでしょうか。

筆者紹介：入谷光浩（アイ・ティ・アール　シニア・アナリスト）

IT業界のアナリストとして20年以上の経験を有する。グローバルITリサーチ・コンサルティング会社において15年間アナリストとして従事、クラウドサービスとソフトウェアに関する市場調査責任者を務め、ベンダーやユーザー企業に対する多数のコンサルティングにも従事した。また、複数の外資系ITベンダーにおいて、事業戦略の推進、新規事業計画の立案、競合分析に携わった経験を有する。2023年よりITRのアナリストとして、クラウド・コンピューティング、ITインフラストラクチャ、システム運用管理、開発プラットフォーム、セキュリティ、サステナビリティ情報管理の領域において、市場・技術動向に関する調査とレポートの執筆、ユーザー企業に対するアドバイザリーとコンサルティング、ベンダーのビジネス・製品戦略支援を行っている。イベントやセミナーでの講演、メディアへの記事寄稿の実績多数。