EDR導入が進む裏で、基本作業を忘れていないか 企業のランサム対策：ランサムウェア攻撃と対策（2025年）／後編

ランサムウェア攻撃の急増を受けて、企業の対策はどのように変わったのだろうか。基本的な対策の抜け漏れがないだろうか。

[キーマンズネット]

　2024年6月にランサムウェア攻撃がKADOKAWAグループとニコニコ動画を襲ったニュースに衝撃を受けた企業は多いだろう。

　前編の調査結果では4割の企業がランサムウェア被害の経験を訴えていた。後編ではランサムウェア対策にどのような変化があったのか、その変化は実効的なのか、どのようなソリューションに頼っているのかを取り上げる。

企業が改善を急ぐ3つの対策とは

　企業のセキュリティ対策の実態や変化を明らかにするために、キーマンズネットは「ランサムウェア攻撃と対策」と題した読者企業向けアンケートを実施した（実施期間：2025年2月5日〜14日、回答件数：143件）。

　まずは企業や組織の対策の変化を尋ねた。すると3つの傾向が浮かび上がった。

すると、「直近1年間でランサムウェア攻撃の対策に変化があったか」という問いに対して、21.7％が「あった」と回答した（図1）。特に1001人以上の大規模企業ではほぼ半数がランサムウェアの被害経験があったことも関係してか、3割が対策に「変化があった」と全体より高い傾向がみられた（図1）。

図1　直近1年間のランサムウェア攻撃の対策の変化

　それでは、具体的にどのように対策を変えたのだろうか。フリーコメントで聞いたところ、3つに大別できた。

（1）検知ソリューションの活用
　EDRを中心とした検知ソリューションの導入や機能強化に取り組んだという声がある。

　「アンチウイルスソフトにEDR機能が追加された」や「EDR導入、セキュリティ対策全般を強化」「Active Directoryの不正検知サービス契約」など、ウイルス対策ソフトや検知ソリューションによって対策を強化している。中には「NGAV＋EDR＋SOCの導入とUTMのログ保存期間の延長」のように、専門組織（SOC：Security Operation Center）の設置と合わせ、より強固な体制に変えた企業もあった。

（2）従業員教育の強化
　2つ目は従業員教育について、次のような声があった。

　「他社でのランサムウェア被害をきっかけに、対策強化と危機意識を強める施策としてフィッシングメールの抜き打ちテストを実施するようになった」や「従業員向け訓練の回数・レベルが上がった」のように、「研修や訓練などが多くなった」「教育内容が詳細化した」との回答が多くみられた。

　前編で紹介したようにランサムウェア攻撃を発見した従業員は、セキュリティ担当部門（31.4％）よりも、（一般の）従業員（33.3％）が多い。ここを強化するのは取り組みとして有効だろう。

（3）バックアップの見直し
　バックアップの見直しとはどのような意味だろうか。（1）と（2）はランサムウェアの侵入を防いだり早期に検知・対策を講じたりする対策であったが、復旧にはバックアップが欠かせない。昨今では「APT」（Advanced Persistent Threat）と呼ばれる、組織に長期間潜伏し重要情報を窃取したり、データを改ざん・暗号化したりする標的型攻撃も増えている。

　バックアップデータやバックアップサーバ自体を暗号化する攻撃も出てきており、企業としては冗長性を確保したバックアップ体制への転換が急務となっているのだろう。寄せられた意見でも「バックアップの見直し（多重化、オフライン化）」や「ディザスターリカバリの検討」「BCPにランサムウェア被害を想定」など、いわゆる「3-2-1ルール」を意識したバックアップ体制への移行を急ぐ様子が見て取れた（図2）。

図2　バックアップ対策（複数回答）

　ただし、攻撃を受けた後にバックアップからリストアできるのかどうかは心もとない。ランサムウェア対策としての「バックアップ状況」を聞いたところ、「バックアップからの年1回以上のリストアテストの実施」（14.4％）や「3-2-1ルールまたはより厳しいルールに基づいたバックアップ」（12.0％）など、基本のルール策定が甘いからだ。テストをしていないバックアップは役に立たないことが多い上、ネットワークから切り離されたエアギャップを実現していないバックアップはPCやサーバと同時に暗号化されてしまう可能性が高いからだ。

　そもそも「リストア時の目標復旧時点の策定」（32.0％）や「リストア時の目標復旧時間の策定」（22.4％）ができていない企業は、バックアップの頻度や攻撃後の復旧に必要な時間の計算ができておらず、自社に適したバックアップにはなっているとは限らない。

組織の設置や計画の策定が進むも中小企業で遅れ

　ソリューションの導入や従業員教育、バックアップ体制の見直し以外にも対策がある。先ほどのコメントにもあったような専門組織の設置だ。

　ランサムウェア攻撃に対する予防対策として「どのような組織を置いているか」を尋ねたところ「セキュリティ対策専門の部署があり、部門長が統括している」（31.5％）という解答が最も多かった（図3）。

図3　ランサムウェア攻撃に対する予防対策として、どのような組織を置いているか

　この他、「SOCサービスを利用している」（16.8％）に加え、「セキュリティ対策専門の部署に加え、役員がCISOの任に就いている」（13.3％）や「専門部署、CISOに加えてCSIRT（インシデントチーム）を設置している」（13.3％）など、セキュリティ対策やインシデントチームといった専門組織を設置したり、外部サービスの利用によってその役割を補ったりする企業も少なくない。

　特に、1000人以上の大規模企業帯では「特に決めていない」や「全て従業員に任せている」ケースは1割以下で、大多数が専門組織を設置している。反対に100人以下の中小企業では「特に決めていない」が約7割で、企業規模により差が大きい。

　組織作りと同じぐらい大切なのが、緊急時の対応フローだ。

　対策フローについては、専門組織が設置されている企業の方が進んでいる傾向にあった。ランサムウェア対策として「どのような危機対応計画を策定しているか」を聞いたところ、「攻撃を発見した際の連絡体制」（57.3％）や「インシデント対応チームの編成」（30.8％）、「攻撃後の復旧手順」（29.4％）が上位に挙がった（図4）。こちらも大企業と中小企業では策定状況に大差があった。

図4　ランサムウェア対策として、どのような危機対応計画を策定しているか（複数回答）

　ここまでで分かったことは、中小企業では対策の遅れが目立つことだ。警察庁が2024年3月14日に発表した「令和5年におけるサイバー空間をめぐる脅威の情勢等について」によると、令和5年におけるランサムウェア被害件数197件のうち102件（52％）、つまり過半数が中小企業で発生している。

　IPA（独立行政法人情報処理推進機構）が2025年1月30日に発表した「情報セキュリティ10大脅威 2025（組織編）」では「サプライチェーンや委託先を狙った攻撃」が7年連続で取り上げられており 、直接大企業を狙うのでなく、あえて中小企業から狙うサプライチェーン攻撃がまん延している。中小企業はこうした現状をしっかり認識したうえでセキュリティ対策の検討を進めるべきだろう。

企業が導入している製品はどれか

　最後に、ランサムウェア攻撃への脅威に対し企業がどのようなセキュリティ製品を導入し、どのような対策を実行しているのか紹介しよう。

　まずは導入済みの製品を紹介しよう。セキュリティ製品では「マルウェア対策製品（アンチウイルスなど）」（63.6％）や「メールセキュリティ」（52.4％）、「EDR／XDR（エンドポイントでの脅威の検出と対応）」（37.8％）が上位にあり、実行対策では「ソリューションによらない脆弱性対策（バッチ対策」（14.7％）や「ゼロトラストセキュリティ」（14.0％）に票が集まった（図5）。

図5　現在導入しているランサムウェア攻撃向けのセキュリティ製品と実施している対策（複数回答）

　前編で触れた通り、ランサムウェア被害の原因は「フィッシングメールの開封」や「悪意のあるWebサイトへのアクセス」が多かったことに対応して、マルウェア対策やメールセキュリティ、EDR／XDRを導入している割合が高い。

　一方、被害拡大を防ぐ「ネットワークのセグメンテーション」（21.7％）や「通信ログが90日以上の保存」（13.3％）は、製品導入と比較して費用がさほどかからないにもかかわらず、あまり実行されていないのが現状だ。ここが弱点だと言えるだろう。

　次に、今後導入したいと考えている製品や対策を聞いたところ、上位には「脆弱性管理」（22.4％）や「多要素認証」（19.6％）が続いた（図6）。テレワークの普及により、社内システムに社外からアクセスする頻度が増えたことやクラウドサービスの利用増加によって、新たに懸念される漏えいリスクへの対応が急がれているようだ。

図6　今後導入したいランサムウェア攻撃向けのセキュリティ製品と対策（複数回答）

　以上、前後編にわたり、企業におけるランサムウェア攻撃の被害と対策の現状を取り上げた。長らく警戒されてきたにもかかわらず被害が増え、その規模も大きくなっている背景には、攻撃自体が日々巧妙化しているという恐ろしい現実がある。今後も動向に注視しつつ、自社で実現可能なセキュリティ対策の最適解を見いだすべく検討を進めてほしい。