「全部やり直し」が最適解？ ランサムウェア被害で突き付けられる3つの地獄：ジレンマから見るサイバーセキュリティの要点

ランサムウェアにより業務が突然停止――。払うか、復旧するか、それとも全てを作り直すか。どの選択も正解とは言い切れず、判断が遅れるほど損失は膨らむ。なぜサイバーセキュリティの現場はここまで過酷な“板挟み”に陥るのか。その構造と現実に迫る。

[三好一久，日本タタ・コンサルタンシー・サービシズ]

　ランサムウェアにやられた。地震や火事でもないのに、突然、業務が停止。社内は各所で怒号が飛び交い、大混乱となっている。一刻も早く復旧させなければ、膨大な損失が積みあがってしまう。

　身代金を要求されている。払えない額ではない。しかし、払ったからと言って復旧できる確証はない。そもそも反社会的勢力に対する送金など外為法上許されるのか。バックアップから復旧できるか。

　しかし、そもそも戻す先は安全と言えるのだろうか。戻しても再びやられるだけではないか。ネットワークから全て再構築する以外に手段はないのか。また、その間の業務はどう維持・継続すべきか。

　そうこう迷っているうちにも損失は膨らんでいく――このように企業を取り巻くサイバーセキュリティの世界では、どうにもならない板挟み、正解がなく究極の判断を迫られるようなジレンマが多数存在する。

　デジタル技術を駆使し、社会を発展させる上で、サイバーセキュリティはもはや全ての人々にとって社会的な課題だ。しかし、なぜサイバーセキュリティは難しいと言われるのか。

　われわれに損害を与える外部からの攻撃や地政学上のリスク、新たな技術に対する課題など、対応しなければならない脅威や課題、被害に関する情報は、世の中にうんざりするほどあふれている。しかし一般の人からすれば、次から次とニュースで語られる事象や被害の情報により、リスクや不安はひたすらに煽られる一方で、いったい何が難しいのか、なぜ解決できないのかはなかなか想像しにくい。

　なぜならそれは当事者として実際に業務に携わる、あるいはセキュリティに責任を負う立場として真剣に悩むことがなければ見えてこない問題であり、忙殺される立場としては、なかなかそれをアピールする時間も余裕もないからだ。

　また、サイバーセキュリティは既に社会課題である一方で、わが国における専門人材の有効求人倍率は既に40倍以上の前例のない人材不足にある。だからこそ、その現場の困難を広く知ってもらうことには一定の価値があるのではと考えている。

　そこで本連載では、冒頭に上げたような現場の“ジレンマ”に焦点を当て、実際に対策に携わる人々が抱える苦悩、そしてサイバーセキュリティならではの構造的な問題を解説しつつ、世の中の広い理解と共通認識の醸成を図っていこうと思う。

ジレンマまみれのランサムウェア対応　最良の選択肢は何か？

　本連載で語るジレンマとは、単なる“1つの課題”ではなく、“ジレンマ”の語源（di-lemma：「di-：2つ」の「lemma：前提」）が示す通り、“板挟み状態”（いずれも好ましくない前提条件での二者択一）を指す。サイバーセキュリティの領域には、他のビジネス領域における投資やマーケティング、コンペ、改善活動などには見られない、特有のジレンマが多数存在する。

　その根底には、こちらに明確な損害を与えてくる「敵」という存在がもたらす対立構造や、ビジネスの成長と安全対策という、そもそも二律背反に陥りやすい構造であったり、そして常に不安にさらされるが故に生じるさまざまな認知バイアスとの戦いがある。それらについても具体的な事例を交えて徐々に解説する。

　さて、冒頭のランサムウェアの被害時に見られる板挟み状態は、深刻かつ切迫した状況において厳しい選択を迫られるジレンマの典型であり、セキュリティの責任者が最も体験したくない悪夢のシナリオだ。

　ランサムウェアによってサーバ類が暗号化され利用できなくなってしまった際、まずは以下の大きな選択を迫られる。

• 選択肢A：　攻撃者に身代金を支払い復号する
  • 問A-1：　払ったからといって復旧できる確証はあるのか？
  • 問A-2：　反社会勢力に利益供与してよいのか？
• 選択肢B：　自力で復旧する
  • 問B-1：　そもそも自力で復旧できるのか？

　選択肢Aを考えるにしても複数の疑問が生じる。

　まず、お金を払ったからと言って、復旧させてもらえる確証があるのか（問A-1）。これについては、昨今の攻撃者は金銭の取得という目的が明確であり、高度にビジネス化された集団だ。

　身代金ビジネスを発展させるためには、彼らにも信用が重要だ。お金を払ってくれた以上、復旧させてくれないという可能性は低いと言える。むしろ今後の対策などを指南するサービスまでおまけで用意してくれることもある。

　ただし、もちろん100％の確証はない。それよりも反社会的勢力に対して利益を供与して良いのか（問A-2）という点の方が企業にとっては深刻だ。

　支払ったお金が慈善活動にでも使われるのであればマシだが、相手が反社会的勢力であることはおおよそ間違いない。そのような相手に利益を供与することは、外為法上も厳しく制限されている。

　レピュテーション上は攻撃による被害者であり、緊急措置的に許されるかもしれないが、損害は自社の不備不徳によるものでもあり、反社会的勢力を利する理由にはならないだろう。

「自力で復旧」も言うほど簡単ではない、苦しい状況は続く……

　次に選択肢Bを採用するなら「そもそも自力で復旧できるのか？」という問いを早急に検討しなければならない。この際には以下のような点が焦点となる。

• システムのバックアップが存在するか
• バックアップもやられていないか（安全に保管されているか）
• バックアップからの差分を埋めることができるか
• 復旧にどれくらい時間と工数がかかるのか

　このように書くと、一見大したことないように見える。しかし被害が広範囲に及んでおり、複数の業務システムが使えなくなっている場合、バックアップについてもそれぞれ個々の状況を確認しなければならない。さらにシステムが複雑に連携しており、依存関係がある場合は、どれかが復旧できないと全体が機能できない可能性もある。

　これらを確認しつつ、可能な限り早くバックアップを戻して業務を復旧させたいところだが、ここでもう一つ大きな難関がある。果たして「戻す先のネットワークは安全か」という点だ。バックアップを戻したところで再び被害に遭う可能性は捨てきれない。単体のPCではなくネットワーク侵入を伴う大規模な被害に遭えば、ネットワークのどこかにまだマルウェアが潜んでいたり、通信経路が残されていたりすると、被害箇所だけを復旧してもまた同じことが繰り返される。

　このようなケースでは、侵入経路や根本原因を特定し、ネットワークが安全であるという「安全宣言」をしてから復旧作業に取り掛かるのが一般的だ。しかし組織が大きく、ネットワークが大規模で複雑であればあるほど、大規模インシデントにおける侵入経路や根本原因の特定は非常に困難で時間を要する。そして結果的に、ネットワーク全体が汚染されており、かつ詳細な調査をする時間的余裕もない場合、残念ながらネットワークごと全てのシステムを再構築する他ない。

　このような状況に陥ってしまったケースにおいて、上記で示した選択肢をもう少し具体化すると、非常に苦しい状況であることが分かる。

• 選択肢A：　攻撃者に身代金を支払い復号する（外為法違反のリスクあり）
• 選択肢B-1：　ネットワークが安全ではないと知りつつ、だましだましシステムを復旧させる（またやられる可能性がある）
• 選択肢B-2：　膨大なコストと要員を投入しネットワークから全てを再構築する

　これはジレンマどころか、どれをとってもうれしくない“トリレンマ”（三者択一）となっているが、業務停止によって刻一刻と売上損失、信用の失墜、顧客離れなどが積みあがる中、コストなども踏まえて究極の判断をしなければならない。大規模なインシデントでは被害額は数十億円〜数百億円に上るケースもある。

　インシデント対応においては、調査と復旧のため、往々にして現場では連日徹夜が続き、人がバタバタと倒れるような状況も珍しくはない。システム管理者にとっても経営者にとっても地獄とも言える状況だ。

　実際に筆者自身も過去に幾度となく目の当たりにしてきており、2025年に話題になった大規模なランサムウェア被害でも同様だったはずだ。部外者として「身代金を払うなんてとんでもない」ということはたやすいが、実際に当事者になった場合果たして簡単に割り切れるだろうか。なお、結論から言うと国内企業では、現実的には選択肢B1を採りつつ、並行してB2を実行するケースが多く、選択肢Aを採るケースはほとんど聞かない。一方で海外では選択肢Aを採る企業も多い。少なからず身代金を払う企業がいるからこそ攻撃者にとってもランサムウェアビジネスが成り立つのだ。

　ランサムウェア対策については、もちろん大規模なインシデントを被る前に事前対策を徹底することが最重要だが、このような極限の事態を想定した上で、テストや訓練をしておくことが、真の自信の獲得にもつながる。自社の事業継続にとって最低限必要な機能（MVE：Minimum Viable Enterprise）を定義し、それを確実に守るとともに、実際に一から再構築した場合にどれくらいの時間と工数を要するのか、優秀な企業ではそこにカオスエンジニアリングの要素なども取り込みながら、まさに有事の運用を日常のセキュリティ運用の中に訓練として組み込むケースも増えている。

　いかがだろうか。ケーススタディーという観点においても、実際に当事者が苦悩するジレンマを具体的に知っておくことは、サイバーセキュリティに対する解像度を高める上で有意義だと筆者は考えている。

　次回はビジネスとセキュリティ現場のジレンマについて考えていこう。

筆者紹介：三好一久（日本タタ・コンサルタンシー・サービシズ株式会社　最高情報セキュリティ責任者《CISO》兼 サイバーセキュリティ統括本部長）

イリノイ大学アーバナシャンペーン校卒業後、サーバー、ネットワーク、データベースと幅広い領域でエンジニアとしてのキャリアを積む。大手コンサルティングファームにて上流コンサルティングを経験。その後、大手セキュリティ関連企業にてコンサルティング部隊を立ち上げ、CISOを務めたのち、欧米企業2社においてカントリーマネージャーおよびAPAC統括を歴任。2023年、日本TCSに入社。現在はCISOを務めながら、サイバーセキュリティ部門を率いている。