【失敗事例で解説】ランサムウェアで事業が止まる理由とは?BCPを崩壊させない「サイバーレジリエンス」の考え方
ランサムウェア被害は年々増加しており、業種や企業規模を問わず、多くの企業が影響を受けています。近年の攻撃は、単なる情報漏えいにとどまらず、事業の停止や社会的信用の失墜、さらには取引先への影響の波及など、経営そのものを揺るがすリスクへと直結するようになりました。
このような状況を受け、ランサムウェア対策においては「侵入を防ぐこと」だけでは不十分であるという認識が広がっています。
本コラムでは、実際の現場で多く見られる失敗例を起点に、近年あらためて注目されている「サイバーレジリエンス」という考え方、そしてそれを実現するために高千穂交易がどのような支援を行っているのかをご紹介します。
関連ページ:ランサムウェア対策の基本
目次
サイバーレジリエンスとBCP
― ランサムウェア対策は「IT対策」ではなく「事業継続対策」へ ―
ランサムウェア対策を考えるうえで、近年あらためて重要視されているのが、BCP(事業継続計画)との関係性です。BCPとは、Business Continuity Plan の略で、地震や台風などの自然災害、火災や停電、システム障害、さらにはサイバー攻撃といった非常事態が発生した場合でも、事業を止めずに継続する、もしくはできるだけ早く復旧させるための計画を指します。
これまでBCPというと、自然災害や事故など、いわゆる「物理的なトラブル」への備えが中心でした。しかし現在では、ランサムウェアをはじめとするサイバー攻撃も、BCPで考慮すべき重大なリスクの一つとして明確に位置付けられています。実際にランサムウェア被害が発生すると、基幹システムが停止して業務が進まなくなることや、工場や物流が止まることにより、顧客や取引先へのサービス提供ができなくなるといった事態が起こります。これらはすべて、BCPが対策すべき『事業停止のリスク』そのものと言えます。
このように、ランサムウェア対策はIT部門だけに任せるものではなく、会社全体の事業を守るためのBCPの一部として捉えることが重要です。「サイバー攻撃だからITの問題」と切り分けるのではなく、「万が一被害に遭ったとき、事業をどのように継続しいかに迅速に復旧するか」という視点で捉えることが、これからのランサムウェア対策には欠かせません。
昨今の情勢:ランサムウェアは「事業を止める」攻撃へと変わっています
近年のランサムウェア攻撃は、単にデータを盗んだりシステムを壊したりするだけに留まらず、身代金の要求などを通じて金銭的な利益を得て、企業の活動そのものを止めることを目的とした攻撃へと変化しています。実際に、ランサムウェアの被害によって、工場の生産ラインが全面的に停止したり、物流センターから商品を出荷できなくなったり、医療機関で診療ができなくなったといった事例が、ニュースで頻繁に取り上げられるようになりました。最近では、行政サービスが一時的に停止したケースも報告されています。
こうした状況の背景には、ランサムウェアを取り巻く環境の大きな変化があります。
まず一つ目は、サプライチェーン全体を狙う攻撃が増えていることです。
たとえ自社がしっかりと対策をしていたとしても、取引先や委託先が攻撃を受けることで、その影響が自社にまで及ぶケースが増えています。自社だけ守れば安心、という時代ではなくなっています。
二つ目は、攻撃者の脅し方が多様化していることです。
以前は「データを暗号化し、元に戻したければ身代金を支払え」という単純な手口が主流でした。しかし現在では身代金要求だけではなく、暗号化する前にデータを盗み出し、「情報を公開されたくなければ金を払え」と脅す二重恐喝といった、より悪質な手法が広く横行しています。
三つ目は、RaaS(Ransomware as a Service)の普及です。
RaaSとは、ランサムウェアをサービスとして提供する仕組みで、専門的な技術がなくても、ランサムウェア攻撃を実行できてしまう環境を指します。この仕組みが広がったことで、攻撃を行う人の数が一気に増え、ランサムウェア被害が急速に拡大しています。
このように、ランサムウェアはもはや一部の企業や特殊な業界だけの問題ではありません。事業を止めるリスクとして、どの企業にとっても現実的な脅威になっていることを理解しておく必要があります。
防御だけでは足りない時代へ
現在のランサムウェア攻撃は、VPN機器の脆弱性や流出した認証情報などを足掛かりにネットワークへ侵入し、内部を偵察しながら、重要なシステムや業務を見極めたうえで計画的に実行されるケースが一般的です。攻撃者は、企業がどのような対策をしているかを研究したうえで、弱い部分を突いてきます。そのため、最新のセキュリティ製品を導入したり、社員向けのセキュリティ教育をしっかり行っていても、攻撃を100%防ぎ切ることは困難です。実際、多くの被害企業でも、一定のセキュリティ対策は行われていました。それでも被害が発生してしまったのは、防ぐことに重点を置いていたためです。
そこで重要になるのが、「侵入される可能性がある」ことを前提に、事業をどう守るかを考える視点です。この考え方を「サイバーレジリエンス」と呼びます。
サイバーレジリエンスとは、攻撃を完全に防ぐことを目指すのではなく、万が一ランサムウェアに侵入された場合でも、被害を最小限に抑え、できるだけ早く事業を立て直す考え方です。
「止めない」「長引かせない」という備えこそが、これからのランサムウェア対策に求められています。
サイバーレジリエンスはBCPを支える中核要素
― 「侵入される前提」で考えるセキュリティ対策 ―
これまでのセキュリティ対策は、「侵入させない」「感染させない」といった防御を中心に考えられてきました。しかし、ランサムウェアをはじめとする近年の攻撃は非常に巧妙で、どれだけ対策をしていても、侵入の可能性をゼロにすることは現実的ではありません。そのため現在では、「侵入される可能性がある」「被害が発生する可能性がある」という前提に立ち、事業をどう継続させるかという視点でセキュリティを考えることが重要になっています。
この考え方は、BCPの目的と非常によく似ています。BCPもまた、「事業を止めない」「止まっても早く再開する」ことを目的とした取り組みです。つまり、サイバーレジリエンスはBCPを実現するための重要な土台と言えます。海外では、サイバーレジリエンスを次のような流れで整理しています。まず、何が大切な業務・情報なのかを把握すること。次に、できる限り侵入されないように備えること。そして、異変に早く気づき、すぐに対応し、速やかに復旧することです。
ランサムウェア対策に置き換えると、重要なシステムや業務を把握し、侵入のリスクを下げ、異常を早く見つけ、被害を広げないように対応し、最後に事業を再開する、という一連の流れが欠かせません。特にランサムウェア対策では、「復旧できるかどうか」= BCPが本当に機能するかどうかと言えるでしょう。復旧の準備ができていなければ、身代金の支払いを検討せざるを得なくなったり、長期間業務が止まったり、取引先やお客様への影響が拡大したりと、BCPが形だけのものになってしまいます。そのため、バックアップの取り方や保管場所、復旧の手順、どれくらいの時間で業務を再開するのか、どの業務から優先して復旧するのか、といった点を具体的に整理しておくことが、BCPとサイバーレジリエンスを結びつける重要なポイントとなります。
よくある失敗例と必要な対策
― 技術導入だけでは防げない現実 ―
ランサムウェア被害を受けた企業へのヒアリングやインシデント分析を行うと、業種や企業規模を問わず、共通して見られる典型的な失敗パターンが存在することが分かります。
警察庁の公表データでは、ランサムウェア被害を受けた企業の8割以上がバックアップからデータを復元できなかったという実態が報告されています。これらの多くは、単なるセキュリティ製品の性能不足によるものではなく、BCPの整理不足や、復旧を前提とした運用設計が十分に行われていなかったことが要因となっているケースが少なくありません。
________________________________________
① バックアップは存在するが「復旧できない」
多くの企業では、何らかの形でバックアップは取得されています。しかし、実際のインシデント発生時に、「 想定通りに復元できなかった」「 復旧に想定以上の時間を要した」といった事態に直面するケースは珍しいことではありません。
主な原因としては、以下が挙げられます。
• バックアップデータ自体が暗号化・破壊されていた
• バックアップ環境が本番環境と同一ネットワーク上に存在していた
• 復元手順が属人化しており、担当者不在時に対応できなかった
• 最新かつ正しい業務データがどれか把握できていなかった
• 定期的な復元テストが実施されていなかった
バックアップは「取得しているかどうか」ではなく、「確実に復旧できるか」「事業再開までにどれだけの時間を要するか」が、本質的なポイントです。これを実現するには、バックアップ運用の設計、保管場所の分離、復旧手順の標準化、復旧目標時間(RTO:Recovery Time Objective)を含めたBCPと連動した実践的な運用設計が不可欠となります。
________________________________________
② 初動対応の遅れにより被害が拡大する
ランサムウェアは侵入後、短時間でネットワーク内部に拡散します。そのため、初動対応の遅れが被害規模を大きく左右します。
しかし現実には、以下の理由から対応が後手に回るケースが多く見られます。
• 誰が最終的な判断を下すのか決まっていない
• IT部門と経営層、現場部門の連携が取れていない
• インシデント発生時の連絡・報告フローが整理されていない
• 外部(ベンダー、警察、関係機関)への連絡基準が不明確
これはセキュリティ製品の性能の問題ではなく、体制・ルール・意思決定プロセスの問題です。平時から、「誰が 何を どの順番で」判断・対応するのかを明確に定義し、訓練やシミュレーションを通じてBCPとして実行可能な状態にしておくことが、被害拡大を防ぐ鍵となります。
________________________________________
③ 攻撃の兆候に気づけない
現在のランサムウェア攻撃は、侵入 → 潜伏 → 情報窃取 → 暗号化という段階的なプロセスを踏むことが一般的です。中でも、潜伏期間中に異常を検知できるかどうかが、被害を最小限に抑えられるかどうかの分かれ目になります。
しかし実際には、以下の理由で攻撃の兆候を見逃してしまうケースが後を絶ちません。
• ネットワーク内部の通信が可視化されていない
• 端末やサーバの挙動を継続的に監視できていない
• 異常を分析・判断できる人材や運用体制が不足している
検知と対応のスピードを高めるためには、単なるツール導入に留まらず、可視化・監視・分析・対応までを含めた運用プロセスの整備が不可欠です。
参考:「ランサムウェア被害の8割超がバックアップからの復元に失敗」─ガートナーがバックアップ体制の抜本的見直しを提言 | IT Leaders
参考:ランサムウェア攻撃の最新動向と高度な防御策 | 株式会社GeNEE(ジーン)
参考:【注意喚起】事業継続を脅かす新たなランサムウェア攻撃について | アーカイブ | IPA 独立行政法人 情報処理推進機構
高千穂交易がサポートできること
― 現場視点で考える、実践的なランサムウェア対策 ―
ランサムウェアは日々進化しており、攻撃者のEDR回避能力も年々高度になっています。EDRは重要な防御基盤であることに変わりはありませんが、それだけでランサムウェアを完全に防ぐことは難しいという現実が明らかになってきました。
今後の対策を検討する際には、従来のEDRを中心とした防御に加え、ランサムウェアの暗号化フェーズにも対応できる追加レイヤーを取り入れることで、よりバランスの取れたセキュリティが実現できます。
このような視点で防御を見直すことが、結果的に企業の事業継続性を高めることにつながっていくのではないかと考えます。
高千穂交易では、IT環境からOT(制御・製造)環境に至るまで、幅広い領域においてサイバーセキュリティ支援を行っています。その中で一貫して重視しているのは、「製品を導入して終わりにしない」ことです。
ランサムウェア対策において本当に重要なのは、個々の製品や技術の導入そのものではなく、製品・技術・運用・体制を組み合わせ、事業継続に資する形で機能させることです。現場の実情や業務特性を踏まえ、「事業を止めない」というゴールから逆算した支援を行っています。
________________________________________
主な支援内容
• ランサムウェア対策製品(EDR/XDR/ランサムウェア対策プラットフォーム 等)の導入支援
• ネットワークの可視化および異常通信の検知体制構築
• SOCによる監視・分析・一次対応支援
• 工場・重要インフラを止めないことを前提としたOTセキュリティ対策
________________________________________
単なる「防御の強化」にとどまらず、インシデントを未然に防ぐための対策に加え、万が一発生した場合でも事業を止めず、早期に立て直せる体制を整えることで、お客様が抱える事業継続上の課題を解決することを重視しています。
まとめ:今こそ「レジリエンス」を中心に考える時代へ
ランサムウェアは、もはや一部の大企業やIT企業だけの問題ではありません。攻撃手法の高度化やビジネス化が進んだことで、業種や企業規模を問わず、すべての企業にとって直面する「事業リスク」「経営リスク」となっています。そのため、「とにかく侵入を防ぐ」「セキュリティ製品を入れて安心する」といった考え方だけでは、十分とは言えなくなってきました。
重要なのは、被害が発生する可能性を前提に備えることです。
- 守るだけでなく、
- 早く異変に気づき、
- 被害を広げずに抑え、
- そして、できるだけ早く業務を再開する。
この一連の力、すなわち「止まらない力=サイバーレジリエンス」を高めることが、BCPを机上の計画で終わらせず、実際に機能させるための重要なポイントになります。
サイバーレジリエンスの考え方を取り入れることで、ランサムウェア対策は「ITの問題」から「事業を継続するための取り組み」へと位置づけが変わります。
攻撃されても事業を止めない企業づくりへ。
サイバーレジリエンスを軸とした第一歩を、
高千穂交易とともに踏み出してみませんか。
_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/
【おすすめ対策】
新たな世界標準!ランサムウェア対策プラットフォーム「Halcyon」
Halcyon(ハルシオン)ランサムウェア対策プラットフォーム | 高千穂交易株式会社 製品サイト
ランサムウェアに特化した「最後の砦」となるソリューションで、400社以上導入があり、専門性と実績を誇るセキュリティ業界で最も注目されている企業の1社です。
_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/