ランサムウェアは、データを暗号化して使えなくし、復旧と引き換えに金銭を要求する攻撃である。業務システムやファイルが一斉に使えなくなれば、受注も出荷も止まり、事業そのものが停止しかねない。被害の大きさと起こりやすさの両面から、中小企業にとって優先度の高いリスクである。
本記事は、ランサムウェアへの対策を「優先順位」の観点で整理する。読者として想定しているのは、中小企業の経営者、情シス担当、事業責任者である。一つの対策で防ぎきろうとするのではなく、入口・内部・復旧の三つの層で多層に備えるという考え方を中心に解説する。連載の全体像は限られた予算で何から始めるかを参照されたい。
結論:防御を多層にし、破られた前提で復旧を備える
ランサムウェア対策の要は、「侵入を防ぐ」だけに頼らないことである。どれだけ対策しても、侵入を完全に防ぐことは難しい。だからこそ、防御を複数の層で重ね、そのうえで破られた前提の備えを持つ。GXOが重視するのは、次の3点である。
- 入口・内部・復旧の三つの層で、多層に防御を組む
- バックアップを「攻撃されても残る形」で保つ
- 復旧の手順を決め、実際に戻せることを確かめておく
防ぐ対策と、破られたときに事業を続ける備えは、どちらも欠かせない。片方だけでは、いざというとき事業が止まる。
なぜ多層防御が必要か
ランサムウェアは、単一の経路だけで侵入するわけではない。メールの添付ファイル、不正なリンク、外部に公開されたシステムの弱点、盗まれた認証情報など、複数の入口がありうる。一つの対策ですべてを塞ぐことはできない。
- 入口を一つ塞いでも、別の経路から侵入されうる
- 侵入後、社内で被害を広げる動きを止められないと、被害が一気に広がる
- 防ぐことだけに集中すると、破られたときに打つ手がなくなる
そこで、入口で防ぎ、入られても内部で被害の拡大を抑え、最終的にデータを失っても復旧できるという、複数の層で備える。どこか一つが破られても、次の層で食い止める発想である。
三つの層で対策を整理する
ランサムウェア対策は、入口・内部・復旧の三層で考えると整理しやすい。それぞれの層に役割があり、組み合わせて初めて多層防御になる。
| 層 | 目的 | 主な対策の方向性 |
|---|---|---|
| 入口 | 侵入を防ぐ | メール・認証・公開システムの弱点対策 |
| 内部 | 被害の拡大を抑える | 端末の検知、権限の絞り込み、社内の通信制限 |
| 復旧 | 事業を続ける | 攻撃されても残るバックアップと復旧手順 |
入口の層
メールや認証は、ランサムウェアの主要な入口になりやすい。多要素認証の導入や、メール・フィッシング対策が、入口を狭める。詳しくは多要素認証(MFA)の全社導入とメール・フィッシング対策で扱う。
内部の層
侵入されても、被害を一部にとどめられれば被害は小さくなる。端末の不審な挙動を検知して対応する仕組みは、内部での拡大を抑えるのに役立つ。詳しくはエンドポイント対策(EDR/MDR)で扱う。
復旧の備えが最後の砦になる
防御をどれだけ重ねても、破られる可能性は残る。そのときに事業を止めないための最後の砦が、バックアップである。ランサムウェアは、つながっているバックアップごと暗号化しようとすることがあるため、「攻撃されても残る形」で保つことが重要になる。
- 本番のデータと切り離した場所に保管する
- 通常はネットワークから切り離した、オフラインの控えを持つ
- 実際に復旧できるかを、定期的に試しておく
バックアップがあっても、戻せなければ意味がない。攻撃を受けたときに初めて「復旧手順が分からない」「戻せなかった」と気づくのでは遅い。バックアップの取り方と復旧テストの考え方は、バックアップと復旧(3-2-1)とバックアップ 3-2-1ルールの実践ガイドで詳しく扱う。
ランサムウェア対策でよくある失敗
ランサムウェア対策では、次のような失敗が起きやすい。いずれも、事前に方針を決めておけば避けられる。
- 入口対策だけで安心する:侵入を防ぐ対策に集中し、破られたときの復旧を備えていない。
- バックアップがつながったまま:本番と同じ場所・同じ接続にバックアップを置き、攻撃で一緒に使えなくなる。
- 復旧を試したことがない:バックアップは取っているが、実際に戻せるか確かめておらず、いざというとき復旧できない。
- 起きた後の動き方が決まっていない:誰に連絡し、どう対応するかが決まっておらず、初動が遅れる。
起きた後の対応手順については、インシデント対応とBCPで扱う。
内部での被害拡大を抑える
侵入そのものを完全に防ぐのは難しい。だからこそ、入られても被害を一部にとどめる「内部の層」が効いてくる。ランサムウェアは、最初に入り込んだ端末から、社内のほかの端末やサーバーへと広がろうとする。この広がりを抑えられれば、被害は小さくなる。
- 権限を絞る:一つのアカウントが触れられる範囲を限定し、奪われたときの影響を狭める
- 社内の通信を区切る:すべての機器が自由につながる状態を避け、被害が一気に広がるのを防ぐ
- 不審な挙動を検知する:端末で起きている不審な動きを早く捉え、対応する
- 古い弱点を放置しない:ソフトウェアの弱点が、内部で広がる足がかりになるのを防ぐ
これらは、入口を守る対策とは別の役割を持つ。入口を抜けられても、内部で食い止める備えがあるかどうかで、被害の大きさが変わる。権限の絞り込みはアクセス権の棚卸し、弱点への対応は脆弱性とパッチ管理でも扱う。
どこから手を付けるか
ランサムウェア対策は、三つの層をすべて一度に固めるのが理想だが、限られた資源では順番が要る。優先度を付けるなら、次のように考えると進めやすい。
| 取り組み | 優先度 | 理由 |
|---|---|---|
| バックアップを攻撃に強い形にする | 最優先 | 破られても事業を取り戻せる |
| 多要素認証で入口を狭める | 高い | 盗まれた認証情報での侵入を防ぐ |
| 端末の検知・対応を備える | 中〜高 | 内部での被害拡大を抑える |
| 復旧手順を決め、初動を共有する | 高い | 起きたときの対応を速くする |
まず、破られても事業を取り戻せるバックアップを固める。並行して、入口を狭める多要素認証を進める。そのうえで、内部の検知・対応や、起きたときの初動を整えていく。一度に揃えようとせず、優先度の高いものから着実に進めることが、限られた資源を活かす道である。
よくある質問
Q1. バックアップさえあれば、ランサムウェアは怖くないですか
復旧の備えは重要だが、それだけで十分とは言えない。攻撃の中には、データを暗号化する前に持ち出して公開すると脅すものもある。バックアップで事業は戻せても、情報の流出は防げない。入口・内部の防御とあわせて備えたい。
Q2. 多層防御は、お金がかかりすぎませんか
すべてを高価な製品で固める必要はない。認証の強化やバックアップの見直しなど、費用対効果の高い基本から始められる。優先度の高いものから段階的に進めれば、限られた予算でも多層に備えられる。
Q3. もし感染してしまったら、まず何をすればよいですか
被害の拡大を止めるため、感染が疑われる端末をネットワークから切り離すのが初動の基本である。そのうえで、あらかじめ決めた連絡先に報告し、復旧と原因の確認に進む。この初動を事前に決めておくことが、被害を小さくする鍵になる。
ランサムウェアへの備えを、防御と復旧の両面から整理しませんか
GXOでは、入口・内部・復旧の多層防御の観点から、自社に足りない対策を整理するご支援をしています。バックアップの取り方や復旧手順の見直しも含め、事業を止めないための現実的な進め方を一緒に検討します。
※ 初回相談では、営業資料の説明よりも現状整理とリスク確認を優先します。