もしいま身代金を要求されたら、自社は「払わない」と言い切れるだろうか。そして払わずに、事業を復旧できるだろうか。 JIPDEC(日本情報経済社会推進協会)が公表した「企業IT利活用動向調査2026」では、ランサムウェアの感染経験がある企業が45.8%——およそ2社に1社にのぼった。一方で、身代金の支払い率は**57.0%(前回)→43.8%(今回)**へと低下し、「払わない」を選ぶ企業が増えている。
本記事では、特定の被害事例ではなく統計データを起点に、「身代金は払わない」前提に立ったとき、復旧力(バックアップ+事業継続計画)をどう設計すべきかを整理する。
この記事の要点
JIPDEC「企業IT利活用動向調査2026」(ITRと共同・有効回答1,107社)では、ランサムウェアの感染経験がある企業が45.8%。これは「過去1年」ではなく「感染を経験したことがある」割合である点に注意。
業種別では製造業が57.1%で最多。規模別でも従業員299名以下で37.0%と、中小企業も例外ではない。
身代金の**支払い率は57.0%→43.8%**へ低下(感染企業ベース・3年連続で低下)。「払わない」が主流になりつつある。
ただし**払わずに復旧できなかった割合は10.5%→13.0%**へ上昇。「払わない」を選ぶなら、払わなくても復旧できる仕組み(バックアップ・BCP)が前提になる。
対策の軸は「侵入を100%防ぐ」から「侵入されても払わず復旧できる」へ。
データが示す現実:感染は「特別な不運」ではない
JIPDEC「企業IT利活用動向調査2026」(株式会社ITRと共同、有効回答1,107社、2026年1月調査)から、押さえておきたい数字を整理する。
指標 数値 補足 ランサムウェア感染経験のある企業 45.8% 「過去1年」ではなく「感染経験」の割合 製造業の感染経験率 57.1% 業種別で最多 情報通信業 50.0% — 従業員299名以下 37.0% 中小企業も広く被害 身代金 支払い率 57.0% → 43.8% 感染企業ベース・低下傾向 払わず復旧できなかった割合 10.5% → 13.0% 上昇 まず押さえたいのは、45.8%は「感染を経験したことがある企業」の割合であり、「毎年45.8%が感染している」という意味ではない点だ(前回調査からはわずかに低下している)。それでも、約2社に1社が感染を経験しているという事実は、「感染は特別な不運ではなく、起こりうる前提」であることを示している。
そして、中小企業も例外ではない。製造業の57.1%という最多値や、従業員299名以下でも37.0%という数字は、「うちは小さいから狙われない」という思い込みを否定する。被害の影響としては、データの消失・破損による復旧不能、事業の停止・中断、機密情報の漏えいが上位を占める。侵入経路としては、警察庁の公表でもVPN機器やリモートデスクトップ経由が多くを占めるとされ、外部に面した機器の管理が要になる。
「払わない」が主流に。ただし条件がある
注目すべき変化は、身代金の支払い率が57.0%→43.8%へ低下したことだ(感染企業ベース)。法執行機関や専門家が「支払いは推奨されない」と繰り返してきたこと、支払っても完全復旧の保証がないこと、支払い自体が次の標的化につながりうることなどから、「払わない」という判断が主流になりつつある。
しかし、ここに見落とせない数字がある。払わずに復旧できなかった割合は10.5%→13.0%へ上昇しているのだ。つまり、
「払わない」を選ぶなら、払わなくても自力で復旧できる仕組みが前提になる。 身代金を払わない方針は正しい。だが、復旧手段(健全なバックアップと、それを使って事業を戻すBCP)がないまま「払わない」を選べば、データも事業も戻らないという最悪の結末になりうる。「払わない」という意思決定と、「払わなくても復旧できる」という備えは、セットでなければならない。
身代金支払いの是非と法務・実務の論点はランサムウェア身代金 支払い判断フレームワーク(法務・FBI・保険)で整理している。
「払わない前提」で設計する3つの軸
統計が示す現実をふまえると、対策の重心は「侵入を100%防ぐ」から「侵入されても、払わず、復旧できる」へ移る。設計すべきは次の3軸だ。
1. 復旧できるバックアップ(3-2-1ルール)
ランサムウェアはバックアップごと暗号化しにいく。だからこそ、オフライン/イミュータブル(改ざん不可)なコピーを分離して持つことが要になる。「バックアップを取っている」と「バックアップから戻せる」は別物だ。復元テストまで含めて設計する。考え方は3-2-1ルールで実践するランサムウェア対策バックアップで詳説している。
2. 事業を戻すBCP
データが戻っても、業務が回らなければ事業は止まったままだ。どの業務を・どの順で・いつまでに戻すか(RTO/RPO)を決め、代替手段まで含めて計画する。中小・中堅向けの考え方はBCP(事業継続計画)策定ガイド(中小企業向け)で扱っている。
3. 侵入を前提とした検知・対応
防御だけでなく、侵入された前提で早期に検知し、封じ込め、復旧する体制を持つ。製造業の現場を想定したチェックは製造業のサイバー攻撃対策チェックリストが参考になる。緊急時の体制づくりはインシデント対応リテイナーの費用と相場も合わせて確認したい。
この3軸を、自社のシステム構成と業務に合わせて設計・実装するのが、セキュリティ事業の役割だ。
「もし今、身代金を要求されたら」を一緒に試算しませんか
GXOでは、現状のバックアップが本当に復旧に使えるかの確認から、BCP(復旧の優先順位・目標時間)の設計、侵入を前提とした検知・対応体制づくりまで支援しています。「バックアップは取っているが、戻せるか不安」という段階のご相談を歓迎します。
※ 営業電話はしません | オンライン対応可 | 構想段階の相談だけでもOK
RETAIL & EC DX
実店舗とECの在庫分断、1本のOMSで解消しませんか?
POS/自社EC/モールを統合するオムニチャネル基幹。同規模小売・D2Cの概算費用・導入期間・事例をその場で確認できます。
実務判断のポイント
この記事を読むべきなのは、経営者、CIO、情シス、セキュリティ担当、開発責任者です。単に情報を把握するだけでなく、脆弱性管理、外部公開資産棚卸し、月次セキュリティ運用、インシデント対応の相談に進めるべきかを判断するための材料として整理する必要があります。
GXOが重視するのは、話題性の高さよりも「自社の業務、データ、権限、予算、運用責任にどう影響するか」です。ランサムウェア感染「経験」45.8%・身代金は払わない時代へ|データで設計する復旧・BCPに関する検討では、担当者だけで判断を閉じず、経営、現場、情シス、外部パートナーの役割を早い段階で分けることが重要です。
放置した場合と整備した場合の違い
| 観点 | 放置した場合 | 整備した場合 |
|---|---|---|
| 業務影響 | 属人的な判断が増え、対応の優先順位がぶれやすい | 影響範囲、期限、責任者を決めて進められる |
| 投資判断 | ツール導入や外注費だけが先行し、効果測定が曖昧になる | 売上、工数削減、リスク低減の指標にひも付けられる |
| 現場運用 | 例外処理や承認フローが残り、定着しにくい | 権限、ログ、教育、改善サイクルまで設計できる |
| 経営報告 | 問題が発生してから説明資料を作ることになる | 月次で状況、課題、次の打ち手を説明できる |
導入・改善前のチェックリスト
- 対象業務、対象部門、対象データを明文化しているか
- 現在の課題を、売上機会、原価、工数、リスクのいずれかに分解しているか
- 既存システム、SaaS、Excel、手作業の依存関係を棚卸ししているか
- 例外処理、承認、差し戻し、監査証跡まで確認しているか
- 社内で判断できる範囲と外部支援が必要な範囲を分けているか
- 初期費用だけでなく、保守、運用、教育、改善費用を見積もっているか
- 成功指標を、問い合わせ数、商談数、削減時間、停止リスクなどで定義しているか
- 実装後の責任者、更新頻度、レビュー会議の持ち方を決めているか
- セキュリティ、法務、個人情報、契約条件の確認ポイントを洗い出しているか
- 既存の問い合わせ、商談、障害、運用ログから優先順位を決めているか
- 経営判断に必要な資料を1枚で説明できる状態にしているか
- 次の90日で検証する範囲と、やらない範囲を明確にしているか
GXOの見解
セキュリティニュースは読むだけでは価値がなく、自社資産、影響判定、対応期限、経営報告に変換して初めて防御力になる。
GXOは単発診断よりも、月次の棚卸し、優先順位付け、証跡管理、改善実行までを運用化すべきだと見る。
GXOは、脆弱性診断、インシデント対応、月次運用、開発保守の改善まで接続できる形で支援します。記事のテーマを単なる情報収集で終わらせず、相談、診断、要件定義、実装、運用改善に接続することで、診断、監査、保守契約、月次レポート、緊急対応支援へ接続。さらに、チェックリスト型診断を入口に、継続監視・改善支援へ展開。
相談につながる進め方
- 現在の業務、データ、ツール、担当者を棚卸しする
- 売上拡大、工数削減、リスク低減のどれに効くテーマかを決める
- 初期対応、90日以内の改善、半年以上の投資を分ける
- 必要な社内体制、外部支援、予算、セキュリティ確認を整理する
- 小さく検証し、効果測定後に本番化や横展開を判断する
よくある質問(FAQ)
Q1. 「感染経験45.8%」は毎年これだけ感染しているという意味ですか?
いいえ。JIPDEC「企業IT利活用動向調査2026」の45.8%は「ランサムウェアに感染した経験がある企業」の割合で、「過去1年で45.8%が感染した」という年率ではありません。前回調査からはわずかに低下しています。それでも約2社に1社が感染を経験しているという事実は重く受け止めるべきです。
Q2. 身代金は払うべきですか、払わないべきですか?
調査では支払い率が57.0%→43.8%へ低下し、「払わない」が主流になりつつあります。支払っても完全復旧の保証はなく、再標的化のリスクもあるため、一般に支払いは推奨されません。ただし「払わない」を選ぶには、払わなくても復旧できる仕組み(健全なバックアップとBCP)が前提です。最終的な判断は法務・保険・専門家を交えて行うべきです。
Q3. 中小企業でもそこまで備える必要がありますか?
あります。調査では従業員299名以下でも37.0%が感染を経験しており、製造業は57.1%で最多です。規模の小ささは「狙われない理由」にはなりません。むしろ復旧体制が手薄なほど、被害が事業停止に直結しやすくなります。
Q4. まず何から始めればよいですか?
(1) 現状のバックアップが「復旧に使えるか」(オフライン/改ざん不可の分離コピーがあるか、復元テストをしているか)を確認する、(2) 止められない業務と復旧目標時間(RTO/RPO)を洗い出す、(3) 侵入経路になりやすいVPN・リモートデスクトップ等の外部公開機器を棚卸しする——この3点から始めるのが現実的です。
まとめ:対策の重心は「防ぐ」から「払わず復旧できる」へ
JIPDEC「企業IT利活用動向調査2026」は、ランサムウェアが「特別な不運」ではなく「起こりうる前提」であることを数字で示した。感染経験45.8%、製造業57.1%、中小企業も37.0%。一方で身代金支払い率は43.8%まで低下し、「払わない」が主流になりつつある。だが払わず復旧できなかった割合は13.0%へ上昇している。
結論はシンプルだ。「払わない」を選ぶなら、払わなくても復旧できる仕組み——健全なバックアップと、事業を戻すBCP、侵入を前提とした検知・対応——をセットで持つこと。対策の重心を「100%防ぐ」から「侵入されても払わず復旧できる」へ移すことが、データが示す現実への答えになる。
GXOは、バックアップ・BCP・インシデント対応を、貴社のシステムと業務に合わせて設計・実装まで支援している。詳細はセキュリティ事業・セキュリティ運用伴走・インシデント対応支援をご覧いただきたい。
「払わない前提」の復旧力、設計から相談しませんか
バックアップの復元可否チェックから、BCPの優先順位設計、侵入を前提とした体制づくりまで、現状把握を起点に整理します。被害事例の不安を、具体的な備えに変えましょう。
ランサムウェア対策の現在地を相談する → GXO お問い合わせ
参考情報
-
一般財団法人 日本情報経済社会推進協会(JIPDEC)「企業IT利活用動向調査2026」(株式会社ITRと共同・有効回答1,107社・2026年1月調査)プレスリリース:https://www.jipdec.or.jp/news/pressrelease/20260327.html
-
同調査 報告書・関連ページ(感染経験45.8%/製造業57.1%/支払い率57.0%→43.8%/払わず復旧できなかった割合10.5%→13.0%):https://www.jipdec.or.jp/library/it-resarch/it-resarch2026.html
-
警察庁「サイバー空間をめぐる脅威の情勢等について」(ランサムウェア被害は中小企業にも広く及び、侵入経路はVPN機器・リモートデスクトップ経由が多いとされる。最新の件数等は公表資料を参照):https://www.npa.go.jp/publications/statistics/cybersecurity/
-
※ 本記事の感染率・支払い率等はJIPDEC調査の公表値に基づく。一部に流布する「21.8%→28.4%」等の数値はJIPDEC公式で確認できなかったため本記事では用いていない。







