ランサムウェア被害額は平均6.4億円、事業停滞54日――パロアルトの調査で分かった国内企業のセキュリティ実態

パロアルトネットワークスは、国内のセキュリティ実態調査「State of Cybersecurity Japan 2026」を公開した。ランサムウェア攻撃の被害総額が平均6.4億円に達し事業停滞が長期化する中、セキュリティ投資をIT予算から独立した経営基盤として再定義する動きが進んでいる。

[松林沙来，ITmedia]

　パロアルトネットワークスは2026年4月17日、国内の民間企業、公共機関を対象とした調査レポート「State of Cybersecurity Japan 2026」の結果を発表し、報道関係者向け記者発表会を開催した。

　本調査は、サイバーセキュリティに関する決裁権者、意思決定権者752人を対象に実施されたものだ。身代金要求型攻撃（ランサムウェア）の甚大な事業影響の実態とともに、企業がセキュリティツールの「集約、統合」へと向かう新しい潮流が明らかになった。

ランサムウェア被害が深刻化　事業停滞は平均54日、被害総額は6.4億円超に

　2025年にサイバー攻撃の被害を経験した組織は全体の55％に上り、そのうちの約半数（45％）が業務プロセスに直接影響を及ぼすランサムウェア攻撃を受けている。

　サイバー攻撃の被害は甚大だ。インシデントが原因の事業停滞期間は、全体平均の44日間に対し、身代金要求型攻撃を受けた組織では平均54日間で、そうでない場合の1.5倍に長期化している。経済的影響額についても全体平均が約3.9億円であるのに対し、身代金要求型攻撃の場合は平均約6.4億円に膨れ上がり、非身代金要求型の約2.2倍に達する。

パロアルトネットワークスの染谷征良氏（チーフサイバーセキュリティストラテジスト）（右）と東洋紡の矢吹哲朗氏（執行役員 CDO《最高デジタル責任者》兼 TX・業務革新総括部長）（筆者撮影）

　同社の染谷征良氏（チーフサイバーセキュリティストラテジスト）は、「システムやデータが使い物にならなくなるという事態が上位を占めており、組織の深層部を止める手口によって事業に影響が出ている」と現状を分析する。

被害経験で変わる意識　データ復旧の壁と「身代金支払い」を巡る葛藤

　ランサムウェア被害の過酷さは、「身代金要求への対応方針」のデータに表れている。全体としては「支払わない方針」が44％で最多を占める。しかし、被害経験の有無によって現場の意識には大きなギャップが存在する。

身代金要求の対応方針は組織の被害の有無で大きく分かれる（出典：記者発表会投影資料）

　身代金要求なし、不明の組織では「支払うことはやむをえない」が3％、「状況になってみないと分からない」が32％に留まるが、実際に被害を受けた組織ではそれぞれ16％、49％と急増する。染谷氏は「復旧には膨大なコストや工数がかかってくる。だからこそ、いかに被害を未遂にするかに注力すべき」と語り、データ復旧の困難さが企業を追い込んでいる実態を指摘した。

ツール乱立　88％が「集約・統合」を志向する理由

　これまでの企業におけるセキュリティは、脅威ごとに新たなツールを追加する「個別最適」のアプローチが主流だった。しかし、その結果として運用監視がバラバラになり、運用負荷の増大や脅威の見逃しといった課題が顕在化している。調査では、全体の88％が「セキュリティベンダー、製品の削減、最適化が必要」と回答しており、これは2024年調査の55％から大幅に増加している。

ベンダーや製品の数の多さが企業を悩ませている（出典：記者発表会投影資料）

　企業が「ベンダー、製品の集約、統合」（プラットフォーマイゼーション）に期待しているのは、「運用・外部委託コストの最適化」（50％）といったコスト効率化だけではない。「インシデント対応力の強化」（44％）や「脅威検出力の強化」（42％）といった実効性の向上が上位に挙がっており、単なるコスト削減を超えたセキュリティ基盤の再構築に動き出している。

　一方で、移行における最大の懸念事項は「特定ベンダーによる囲い込み（ロックイン）」（19％）ではなく、「既存ツールごとに異なる契約満了時期」（48％）や「既存ツールからの移行に伴う工数」（43％）ということも分かった。

　本発表会にユーザー企業として登壇した東洋紡の矢吹哲朗氏（執行役員 CDO《最高デジタル責任者》兼 TX・業務革新総括部長）は、自社の取り組みについて「複数の道具をバラバラに使うよりも、1つに統合して移行する方が手法として確立しやすい」と語る。

経営課題としてのサイバーセキュリティ　求められる「独立予算」と実効性

　サイバーリスクが経営に直結する中、国内組織のセキュリティ予算は年々増加しており、2026年現在は平均でIT投資の15％を占めている。回答者の75％が、2026年度にこの予算をさらに増加させる予定だという。

　しかし、染谷氏はセキュリティ投資を「ITの付帯機能」としてIT予算枠内で捉えるのではなく、事業継続を守るための「独立した設備投資」として位置付けるべきだと強く提言する。この考え方について前出の矢吹氏も、「自社でもセキュリティ費用をITコストから分離し、会社のリスクに対する独立した費用として用意する動きを進めている。その方が事業の活動量に応じた対策として分かりやすい」と実体験を交えて同調した。

企業におけるセキュリティ投資の位置付け（出典：記者発表会投影資料）

　予算が増加する一方で、対策の「質」には依然として課題が残る。ネットワークセキュリティなどの防御、検出には投資が集中しているものの、被害の局所化を図る「アタックサーフェスマネジメント」（実施済みが45％）や、有事を想定した「サイバー攻撃を想定したBCP整備」（同49％）、「インシデント対応の演習実施」（同47％）といった、組織的対策の実効性を上げる動きに遅れが見られる。

　染谷氏は最後に、「セキュリティ投資に対する組織の意識がコスト最適化と実効性向上の両立という、『量』から『質』に移行しつつある」と総括した。事業継続を根底から支えるため、単なるツールの導入から脱却し、全体最適化されたセキュリティ基盤の確立と実効性ある体制整備が急務となっている。