ランサムウェア感染「経験」45.8%・身代金は払わない時代へ｜データで設計する復旧・BCP

もしいま身代金を要求されたら、自社は「払わない」と言い切れるだろうか。そして払わずに、事業を復旧できるだろうか。 JIPDEC（日本情報経済社会推進協会）が公表した「企業IT利活用動向調査2026」では、ランサムウェアの感染経験がある企業が45.8%——およそ2社に1社にのぼった。一方で、身代金の支払い率は57.0%（前回）→43.8%（今回）へと低下し、「払わない」を選ぶ企業が増えている。

本記事では、特定の被害事例ではなく統計データを起点に、「身代金は払わない」前提に立ったとき、復旧力（バックアップ＋事業継続計画）をどう設計すべきかを整理する。

この記事の要点

• JIPDEC「企業IT利活用動向調査2026」（ITRと共同・有効回答1,107社）では、ランサムウェアの感染経験がある企業が45.8%。これは「過去1年」ではなく「感染を経験したことがある」割合である点に注意。
• 業種別では製造業が57.1%で最多。規模別でも従業員299名以下で37.0%と、中小企業も例外ではない。
• 身代金の支払い率は57.0%→43.8%へ低下（感染企業ベース・3年連続で低下）。「払わない」が主流になりつつある。
• ただし払わずに復旧できなかった割合は10.5%→13.0%へ上昇。「払わない」を選ぶなら、払わなくても復旧できる仕組み（バックアップ・BCP）が前提になる。
• 対策の軸は「侵入を100%防ぐ」から「侵入されても払わず復旧できる」へ。

データが示す現実：感染は「特別な不運」ではない

JIPDEC「企業IT利活用動向調査2026」（株式会社ITRと共同、有効回答1,107社、2026年1月調査）から、押さえておきたい数字を整理する。

まず押さえたいのは、45.8%は「感染を経験したことがある企業」の割合であり、「毎年45.8%が感染している」という意味ではない点だ（前回調査からはわずかに低下している）。それでも、約2社に1社が感染を経験しているという事実は、「感染は特別な不運ではなく、起こりうる前提」であることを示している。

そして、中小企業も例外ではない。製造業の57.1%という最多値や、従業員299名以下でも37.0%という数字は、「うちは小さいから狙われない」という思い込みを否定する。被害の影響としては、データの消失・破損による復旧不能、事業の停止・中断、機密情報の漏えいが上位を占める。侵入経路としては、警察庁の公表でもVPN機器やリモートデスクトップ経由が多くを占めるとされ、外部に面した機器の管理が要になる。

「払わない」が主流に。ただし条件がある

注目すべき変化は、身代金の支払い率が57.0%→43.8%へ低下したことだ（感染企業ベース）。法執行機関や専門家が「支払いは推奨されない」と繰り返してきたこと、支払っても完全復旧の保証がないこと、支払い自体が次の標的化につながりうることなどから、「払わない」という判断が主流になりつつある。

しかし、ここに見落とせない数字がある。払わずに復旧できなかった割合は10.5%→13.0%へ上昇しているのだ。つまり、

「払わない」を選ぶなら、払わなくても自力で復旧できる仕組みが前提になる。

身代金を払わない方針は正しい。だが、復旧手段（健全なバックアップと、それを使って事業を戻すBCP）がないまま「払わない」を選べば、データも事業も戻らないという最悪の結末になりうる。「払わない」という意思決定と、「払わなくても復旧できる」という備えは、セットでなければならない。

身代金支払いの是非と法務・実務の論点はランサムウェア身代金 支払い判断フレームワーク（法務・FBI・保険）で整理している。

「払わない前提」で設計する3つの軸

統計が示す現実をふまえると、対策の重心は「侵入を100%防ぐ」から「侵入されても、払わず、復旧できる」へ移る。設計すべきは次の3軸だ。

1. 復旧できるバックアップ（3-2-1ルール）

ランサムウェアはバックアップごと暗号化しにいく。だからこそ、オフライン／イミュータブル（改ざん不可）なコピーを分離して持つことが要になる。「バックアップを取っている」と「バックアップから戻せる」は別物だ。復元テストまで含めて設計する。考え方は3-2-1ルールで実践するランサムウェア対策バックアップで詳説している。

2. 事業を戻すBCP

データが戻っても、業務が回らなければ事業は止まったままだ。どの業務を・どの順で・いつまでに戻すか（RTO／RPO）を決め、代替手段まで含めて計画する。中小・中堅向けの考え方はBCP（事業継続計画）策定ガイド（中小企業向け）で扱っている。

3. 侵入を前提とした検知・対応

防御だけでなく、侵入された前提で早期に検知し、封じ込め、復旧する体制を持つ。製造業の現場を想定したチェックは製造業のサイバー攻撃対策チェックリストが参考になる。緊急時の体制づくりはインシデント対応リテイナーの費用と相場も合わせて確認したい。

この3軸を、自社のシステム構成と業務に合わせて設計・実装するのが、セキュリティ事業の役割だ。

よくある質問（FAQ）

Q1. 「感染経験45.8%」は毎年これだけ感染しているという意味ですか？

いいえ。JIPDEC「企業IT利活用動向調査2026」の45.8%は「ランサムウェアに感染した経験がある企業」の割合で、「過去1年で45.8%が感染した」という年率ではありません。前回調査からはわずかに低下しています。それでも約2社に1社が感染を経験しているという事実は重く受け止めるべきです。

Q2. 身代金は払うべきですか、払わないべきですか？

調査では支払い率が57.0%→43.8%へ低下し、「払わない」が主流になりつつあります。支払っても完全復旧の保証はなく、再標的化のリスクもあるため、一般に支払いは推奨されません。ただし「払わない」を選ぶには、払わなくても復旧できる仕組み（健全なバックアップとBCP）が前提です。最終的な判断は法務・保険・専門家を交えて行うべきです。

Q3. 中小企業でもそこまで備える必要がありますか？

あります。調査では従業員299名以下でも37.0%が感染を経験しており、製造業は57.1%で最多です。規模の小ささは「狙われない理由」にはなりません。むしろ復旧体制が手薄なほど、被害が事業停止に直結しやすくなります。

Q4. まず何から始めればよいですか？

(1) 現状のバックアップが「復旧に使えるか」（オフライン／改ざん不可の分離コピーがあるか、復元テストをしているか）を確認する、(2) 止められない業務と復旧目標時間（RTO／RPO）を洗い出す、(3) 侵入経路になりやすいVPN・リモートデスクトップ等の外部公開機器を棚卸しする——この3点から始めるのが現実的です。

まとめ：対策の重心は「防ぐ」から「払わず復旧できる」へ

JIPDEC「企業IT利活用動向調査2026」は、ランサムウェアが「特別な不運」ではなく「起こりうる前提」であることを数字で示した。感染経験45.8%、製造業57.1%、中小企業も37.0%。一方で身代金支払い率は43.8%まで低下し、「払わない」が主流になりつつある。だが払わず復旧できなかった割合は13.0%へ上昇している。

結論はシンプルだ。「払わない」を選ぶなら、払わなくても復旧できる仕組み——健全なバックアップと、事業を戻すBCP、侵入を前提とした検知・対応——をセットで持つこと。対策の重心を「100%防ぐ」から「侵入されても払わず復旧できる」へ移すことが、データが示す現実への答えになる。

GXOは、バックアップ・BCP・インシデント対応を、貴社のシステムと業務に合わせて設計・実装まで支援している。詳細はセキュリティ事業・セキュリティ運用伴走・インシデント対応支援をご覧いただきたい。

参考情報

• 一般財団法人 日本情報経済社会推進協会（JIPDEC）「企業IT利活用動向調査2026」（株式会社ITRと共同・有効回答1,107社・2026年1月調査）プレスリリース：https://www.jipdec.or.jp/news/pressrelease/20260327.html
• 同調査 報告書・関連ページ（感染経験45.8%／製造業57.1%／支払い率57.0%→43.8%／払わず復旧できなかった割合10.5%→13.0%）：https://www.jipdec.or.jp/library/it-resarch/it-resarch2026.html
• 警察庁「サイバー空間をめぐる脅威の情勢等について」（ランサムウェア被害は中小企業にも広く及び、侵入経路はVPN機器・リモートデスクトップ経由が多いとされる。最新の件数等は公表資料を参照）：https://www.npa.go.jp/publications/statistics/cybersecurity/
• ※ 本記事の感染率・支払い率等はJIPDEC調査の公表値に基づく。一部に流布する「21.8%→28.4%」等の数値はJIPDEC公式で確認できなかったため本記事では用いていない。

関連記事

• 3-2-1ルールで実践するランサムウェア対策バックアップ
• BCP（事業継続計画）策定ガイド（中小企業向け）
• ランサムウェア対策 完全ガイド（中小企業向け）