ランサムウェア対策、何から始める？ 悩める中小企業を救うIPAの"神ツール"

ランサムウェア攻撃やサプライチェーンを狙った攻撃など、サイバー攻撃の脅威は日に日に増している。本稿では、サイバーセキュリティの動向と対策の全体像を確認した上で、これから対策を進める企業が活用できるセキュリティ診断手法やセキュリティサービスを紹介する。

[キーマンズネット]

　企業リスクマネジメントの一環として、サイバーセキュリティ対策の重要性が高まっている。しかし、具体的にどこから手を付けるべきか分からないという企業もあるだろう。

　本稿では、独立行政法人情報処理推進機構（IPA）の江島将和氏による講演を基に、サイバーセキュリティの動向と対策の全体像を把握するために役立つ内容を紹介する。

本稿はアイティメディア主催のオンラインイベント「変わる情シス」における、江島氏の講演「企業におけるサイバーセキュリティの動向と対策・支援策」の内容を基に構成した。

サイバーセキュリティの最新動向と主な脅威

　IPAは、日本のIT国家戦略を技術面および人材面から支える独立行政法人だ。誰もが安心してITのメリットを実感できる「頼れるIT社会」の実現を目指し、サイバーセキュリティのマネジメントからオペレーションまでトータルな施策および対応を実施している。

　2006年からは、情報セキュリティ対策の普及を目的に毎年「情報セキュリティ10大脅威」という資料を発行している。2025年版の同資料の中で、10大脅威選考会により選出された組織向けの10の脅威の1位は「ランサムウェア攻撃による被害」で、2位は「サプライチェーンや委託先を狙った攻撃」だ。

ランサムウェア攻撃による被害

　ランサムウェア攻撃による被害とは、PCやサーバといった端末をランサムウェアに感染させ、端末のロックおよびデータ窃取、暗号化により、業務を継続困難な状態にすることを指す。攻撃者は複数の脅迫を組み合わせて、被害組織が金銭の支払いを検討せざるを得ない状況を作り出そうとする。

　RaaS（Ransomware as a Service）という、サービスとして開発および提供されたランサムウェアによる攻撃や、ランサムウェアを用いずに金銭を要求するノーウェアランサムによる攻撃、「DDoS攻撃を仕掛ける」と脅迫するランサムDDoS攻撃も存在する。

　ランサムウェア攻撃の手口には、脆弱（ぜいじゃく）性を悪用してネットワークから感染させるものや、不正アクセスによりネットワークから感染させるもの、Webサイトや電子メールから感染させるものがある。

　昨今の事例の傾向としては、ランサムウェア感染による被害と、サービスの停止や個人情報の漏えいといった二次被害が同時に発生するケースが多い。

　江島氏は「警察庁のデータによると、ランサムウェア被害企業の63％は中小企業だ。感染経路は、VPN機器やリモートデスクトップからの侵入が86％に上る。復旧に1週間以上を要する企業が49％以上であり、また半数の企業は調査および復旧に1000万円以上を要していた」と述べる。

サプライチェーンや委託先を狙った攻撃

　サプライチェーンや委託先を狙った攻撃では、調達から販売、業務委託などの一連の商流において、セキュリティ対策が甘い組織が攻撃の足掛かりとして狙われる。ほかには、ソフトウェア開発のライフサイクルを狙うソフトウェアサプライチェーン攻撃も存在する。

　攻撃の手口としては、取引先や委託先が保有する機密情報を狙うものが多い。ソフトウェア開発元やMSP（マネージドサービスプロバイダー）などを攻撃し、標的組織を攻撃するための足掛かりとするものもある。

　昨今の事例の傾向としては、業務委託先業者からの顧客情報の漏えいや、委託先への攻撃に起因するサービス停止が発生するケースが多い。

　サプライチェーンにかかわる脅威は、不正機能などの埋め込みや部品およびサービスの提供途絶、機密情報の漏えい、取引先などを踏み台とした不正侵入などの性質の異なる複数のリスクを包含しているため、それぞれに対策が必要だ。

サプライチェーンにかかわる脅威の全体像（出典：イベント講演資料）

　IPAのデータによると、2023年にサイバーインシデントの被害を受けた企業のうち、約7割が「取引先に影響があった」と回答している。

　江島氏は「さまざまな脅威があるが、攻撃の糸口は似通っている。ソフトウェアの更新やセキュリティソフトの利用、パスワードの管理および認証の強化、設定の見直し、脅威や手口の把握という基本的な対策の重要性は長年変わっていない点を改めて認識してほしい」と語る。

サイバーセキュリティ対策　どこから始めたらいいのか？

　江島氏の元には、サイバーセキュリティ対策をどこから始めたらよいか、どこまで実施すればよいかという質問が多く寄せられるという。

　これらの疑問を持った場合、IPAが運用している「SECURITY ACTION」という制度が参考になる。

SECURITY ACTION

　SECURITY ACTIONとは、中小企業自らが情報セキュリティ対策に取り組むことを自己宣言する制度であり、「中小企業の情報セキュリティ対策ガイドライン」の実践をベースに2段階の取り組み目標が用意されている。

　1段階目では、「情報セキュリティ5か条」に取り組むことを宣言することで、一つ星のロゴマークを利用できる。また2段階目では、「5分でできる！情報セキュリティ自社診断」で自社の状況を把握し、情報セキュリティ基本方針を定め、外部に公開したことを宣言する必要がある。

　江島氏は「ロゴマークをWebサイトに掲載することで、顧客や取引先との信頼関係に役立ったり、公的補助や民間の支援を受けやすくなったりするだろう。実際にてSECURITY ACTIONの取り組みを申請や加点の要件としている補助金や助成金も存在する」と説明する。

二つ星の取り組み目標

　「5分でできる！情報セキュリティ自社診断」は、25項目の設問に答えるだけで、自社のセキュリティの問題点を容易に把握できる。内容は、基本的対策5項目、従業員としての対策13項目、組織としての対策7項目に分かれている。

　診断結果は、次の図のようなレーダーチャートで表示される。

診断結果のレーダーチャート（出典：イベント講演資料）

　結果を確認し、問題があった項目は解説編を参考にして対策を決定する。付録の「情報セキュリティハンドブック（ひな形）」を編集して、従業員への周知に活用可能だ。

　従業員への周知に役立つコンテンツとして、IPAは合計34本の動画を「YouTube」に公開している。10分ほどのドラマ仕立ての映像なので周知に活用しやすいという。

情報セキュリティ対策　さらなる強化への進め方

　さらにセキュリティ対策を進めたいと考えた場合、中小企業の情報セキュリティ対策ガイドラインが役立つ。本編2部と付録で構成されており、経営者が認識すべき3原則、経営者が実行すべき重要7項目の取り組みなどが記載されている。

　できるところからセキュリティ対策を始めて、段階的にステップアップしていくことが推奨される。

セキュリティ対策の段階的な取り組み（出典：イベント講演資料）

　江島氏は「これからセキュリティ対策に取り組むのであれば、まずはステップ1とステップ2に取り組んでほしい」と強調する。

　ステップの後半に差し掛かるほど、セキュリティ対策は自社に特化した内容になっていく。ステップ3には、経営者が回避したいと考える重大事故から対応すべきリスクを特定する工程がある。法律や規制などの外部状況と、経営方針や管理体制などの内部状況からリスクを特定し、リスクが大きなものを優先して対策を実施する。

　対策の一環として情報セキュリティ規定を作成する場合に備え、IPAは「情報セキュリティ関連規程（サンプル）」も用意している。

高度化するサイバー攻撃に対応するには

　ここまでサイバーセキュリティの動向と対策の進め方を確認してきたが、サイバー攻撃は日々高度化している。講演の最後に、江島氏は「サイバーセキュリティお助け隊サービス」を紹介した。

サイバーセキュリティお助け隊サービス

　サイバーセキュリティお助け隊サービスは民間事業者から提供されるサービスであり、見守りおよび駆け付け、保険などのサービスをワンパッケージで安価にまとめている。

　ユーザーからの相談を受け付ける窓口が設置されており、ネットワークまたは端末を24時間見守る。インシデント発生などの緊急時には対応支援を受けることができ、インシデント発生時の駆け付け費用などを補償するサイバー保険が付帯されている。ネットワーク監視型であれば月額1万円以下（税別）、端末監視型であれば1台当たり月額2000円以下（税別）で利用可能だ。

　サイバーセキュリティお助け隊サービスにおける異常監視の仕組みは次の図の通り。

異常の監視の仕組み（出典：イベント講演資料）

　「1拠点で事業を営んでいる場合は、インターネットと社内ネットワークの間に監視装置（UTMなど）を設置し、社内ネットワークを包括的に監視する方法がお勧めだ。一方、社外にPCを持ち出したり、リモートで業務をしたりする場合は、各端末に監視ソフトウェアをインストールして、不審な動きを検知し、迅速な対処につなげる必要がある」（江島氏）

　IT導入補助金2025 (2026年受付名称はデジタル化・AI導入補助金2026)のセキュリティ対策推進枠の活用により、中小企業や小規模事業者がサイバーセキュリティお助け隊サービスを導入する際の経費の一部に対して補助を受けることができる。中小企業の補助率は2分の1以内で、小規模事業者の補助率は3分の2以内だ。

サイバーセキュリティ対策に取り組むには

　サイバーセキュリティの動向として、ランサムウェア攻撃や、サプライチェーンおよび委託先を狙った攻撃が続いており、中小企業にも被害が発生している。

　サイバーセキュリティ対策に取り組む場合は、中小企業の情報セキュリティ対策ガイドラインを参考にして、段階的に対策を強化していこう。

　高度化するサイバー攻撃への対策として、サイバーセキュリティお助け隊サービスを活用する選択肢もある。IPAは企業組織向けに、セキュリティに関する総合的な相談窓口を設けている。セキュリティインシデントが発生した場合などに、活用してほしい。