なぜ今、ランサムウェア対策を見直すべきなのかーー企業が優先して確認したい6つの観点
はじめに
ランサムウェアとは、感染した端末やサーバ内のデータを暗号化し、その復号と引き換えに金銭や暗号資産を要求する不正プログラム、またはそれを用いた攻撃のことです。この攻撃を受けると、業務や事業の停止、情報漏えい、取引先への影響に加え、復旧対応が必要になるため、企業経営に直結するリスクの一つとして、以前より継続的な対策が求められてきました。近年では暗号化に加えて、窃取したデータの公開をほのめかす「二重恐喝」も一般化し、被害時の影響はより深刻化しています。
加えて、生成AIの進展により、攻撃側がAIを活用して偽装メールやフィッシングの文面を自然な内容で作成したり、マルウェアやスクリプトをより簡単に作成できるようになり、攻撃の容易化・高速化が進んでいるとされています。さらに、最近ではAnthropic社が発表した「Claude Mythos」のように、脆弱性の発見や攻撃への転用可否を評価する能力の高いAIも注目されており、防御側にも従来以上に迅速な対応が求められる状況へと変化しつつあります。あわせて、防御の在り方そのものを、AI活用を含めて見直す議論が活発化しています。
2026年3月には、経済産業省および内閣官房国家サイバー統括室による「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針」(Supply Chain Security評価制度、以下SCS)が公表されました。この背景には、被害の深刻化に加えて、自社そのものではなく、協力会社や委託先を起点として侵入される事例があることも挙げられます。ランサムウェア対策はIT部門だけでなく、経営、事業継続、取引先対応の観点からも改めて見直しが求められています。
本記事では、こうした公開情報や動向をもとに、「なぜ今ランサムウェア対策が改めて注目されているのか」を整理したうえで、NIST CSF 2.0の考え方も踏まえながら、優先して見直したい実務ポイントをご紹介します。すでに対策を進めているお客様にも、これから見直しを進めるお客様にも、現状整理の参考としてご活用いただければ幸いです。
1. なぜ今ランサムウェア対策が改めて注目されているのか
今、ランサムウェア対策が改めて注目されている背景には、主に「ランサムウェアに関する情報発信や報道の増加」「生成AIの進展による攻撃手法の変化」「SCS評価制度の登場」の3つがあると考えています。以下、順を追って整理します。
1-1. ランサムウェアに関する情報発信や報道の増加
まず背景として挙げられるのが、ランサムウェアに関する情報やニュースに触れる機会が増えていることです。IPAの「情報セキュリティ10大脅威 2026」においては、組織向け脅威として「ランサム攻撃による被害」が1位とされています。2016年から11年連続で選出されていることからも、ランサムウェアが一時的な話題ではなく、企業が平時から向き合うべき基本課題であることがうかがえます。
加えて、JIPDECの「企業IT利活用動向調査2026」では、ランサムウェアの感染割合は45.8%とされており、約2社に1社が被害を経験していることになります。さらに、警察庁も被害防止対策を継続的に公開し、攻撃手口や初動対応の重要性について注意喚起を行っています。こうした公的機関の継続的な発信が、ランサムウェアを現実的な経営リスクとして捉える動きを後押ししていると考えています。
参考:IPA「情報セキュリティ10大脅威 2026」
https://www.ipa.go.jp/security/10threats/10threats2026.html
参考:JIPDEC「企業IT利活用動向調査2026」
https://www.jipdec.or.jp/library/it-resarch/it-resarch2026-03.html
参考:警察庁「ランサムウェア被害防止対策」
https://www.npa.go.jp/bureau/cyber/countermeasures/ransom.html
また、報道の面でも、ランサムウェアは継続的に大きく取り上げられています。2026年春には、JIPDEC調査をもとに「日本企業222社が身代金を支払った」とする報道が注目を集めました。個別企業の被害が業務停止や供給遅延、情報流出に結び付く様子も、テレビやネットニュースで繰り返し報じられています。こうした情報に触れる機会が増えたことで、ランサムウェアは情報システム部門だけの問題ではなく、経営層や現場部門を含めて共有すべきテーマとして認識されやすくなっていると考えています。
参考:身代金支払い、日本企業222社 「ランサムウエア」被害で(共同通信) – Yahoo!ニュース
https://news.yahoo.co.jp/articles/d8d9717906a22fb2a0d41d05e8c4b091c8078f25
参考:【ハッカーvs被害者】チャット記録に残された“生々しいやりとり” 自分を狙った理由を聞き出す“猛者”…ハッカーの答えは?
https://newsdig.tbs.co.jp/articles/-/2686912
1-2. 生成AIの進展による攻撃手法の変化
次に、攻撃手法そのものの変化です。2026年はAIの進展がセキュリティの議論を加速させていますが、攻撃の容易化そのものは生成AI以前から進んでいました。代表例がRaaS(Ransomware as a Service)です。RaaSの広がりにより、ランサムウェアを自ら開発できない攻撃者でも、既成の仕組みや運用基盤を使って攻撃に参加しやすくなりました。さらに、身代金の支払いが一定数発生してきたことで、ランサムウェア攻撃は継続的に収益化しやすい構造を持つようになり、攻撃がビジネスとして広がる要因にもなっています。
そのうえで、生成AIの登場はこの流れをさらに加速させていると見られます。たとえば、自然な日本語による偽装メールやフィッシング文面の作成、標的に応じたメッセージの量産、マルウェア開発やスクリプト作成の補助、調査やなりすましの効率化など、従来は一定の知識や時間を要した作業が、より短時間かつ低コストで実行しやすくなりました。結果として、攻撃はより広範囲に、より巧妙になっていると考えられます。
さらに、最近ではAnthropic社が発表した「Claude Mythos」のように、脆弱性の発見や攻撃への転用可否を評価する能力の高いAIも注目されています。こうしたAIの発表により、防御側にもこれまで以上に迅速な脆弱性対応と運用見直しが求められるといった議論や、防御側にAIを組み込んで防御の在り方そのものを見直すといった動きが活発化しています。ランサムウェア対策を従来どおりで済ませず、攻撃スピードの変化も見据えて再設計する必要性が高まっています。
従来は一部の大企業や目立った侵入口を持つ組織が主な標的になりやすいと受け止められることもありましたが、現在は企業規模だけで被害の可能性を判断しにくくなっていると考えられます。JIPDECの「企業IT利活用動向調査2026」では、従業員規模300人未満の企業でもランサムウェア感染割合は37.0%、300人以上の各層で約5割に達しており、一定規模以上の企業だけの問題とは言い切れません。RaaSや生成AIの普及によって攻撃準備の負荷が下がるほど攻撃が量産化され、大企業・中小企業を問わず、基本対策と初動体制の見直しが重要になっていると考えられます。
参考:JIPDEC「企業IT利活用動向調査2026」
https://www.jipdec.or.jp/library/it-resarch/it-resarch2026-03.html
参考:Microsoft「サービスとしてのランサムウェア: 産業化するサイバー犯罪の新顔」
https://www.microsoft.com/ja-jp/security/security-insider/emerging-threats/ransomware-as-a-service
参考:Anthropic「Claude Mythos」
https://www.anthropic.com/claude/mythos
参考:Anthropic「Claude Mythos Preview System Card」
https://www.anthropic.com/claude-mythos-preview-system-card
1-3. SCS評価制度の登場による取引先を含めた対策の見直し
近年では自社単体の対策だけでは十分とは言えず、取引先や委託先を含めたサプライチェーン全体でセキュリティを見直す必要性が強く意識されるようになっています。実際の被害事例では、自社に直接的な原因はなくても、関連会社や委託先から侵入されるケースは珍しくありません。ランサムウェア対策を自社で完結することはますます難しくなっていると考えています。
こうした状況を受けて、制度面からの要請が加わりました。経済産業省および内閣官房国家サイバー統括室は、「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針」を公表しました。いわゆるSCS(Supply Chain Security)評価制度は、企業のセキュリティ対策状況を可視化し、取引関係の中で一定の説明責任を果たしやすくするための枠組みとして注目されています。
この制度の登場によって、「自社は評価に耐えうる対策ができているか」「委託先やグループ会社の管理は十分か」「取引継続の前提としてどの水準まで整えるべきか」といった問いが、これまで以上に経営課題として意識されるようになりました。ランサムウェア対策が改めて注目されている背景には、こうした制度面からの後押しも大きいと考えています。
参考:経済産業省「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針」
https://www.meti.go.jp/press/2025/03/20260327001/20260327001.html
参考:IPA「SCS評価制度の詳細情報」
https://www.ipa.go.jp/security/scs/details.html
2. ランサムウェア対策について、どう考えるべきか
ランサムウェア対策は、これまで「まずは感染しないように守ること」が中心となる傾向にありました。もちろん予防は重要ですが、現状ではそれだけでは十分とは言えない状況になっています。侵入を100%防ぐことが難しい以上、対策は「防ぐ」以外の観点も含める必要があります。
対策を整理するうえで参考になるのが、NIST CSF 2.0です。NIST CSF 2.0は、セキュリティ対策を個別の製品導入ではなく、組織としてのリスク管理の流れとして捉え直す枠組みです。ランサムウェア対策にも、そのまま応用しやすい特徴があります。
参考:NIST「Cybersecurity Framework」
https://www.nist.gov/cyberframework
参考:NIST SP 1299 日本語版「NIST サイバーセキュリティフレームワーク 2.0: リソース&概要ガイド」
https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.1299.jpn.pdf
2-1. 企業が確認したい6つの観点
NIST CSF 2.0では、サイバーセキュリティ対策を次の6つの観点で整理しています。ランサムウェア対策の文脈では、以下のように読み替えると実務に落とし込みやすくなります。
- Govern(統治):経営方針、責任分担、判断基準、委託先管理を定めること
- Identify(識別):守るべき資産、重要業務、外部公開機器、委託先接続、重要データを把握すること
- Protect(防御):多要素認証(MFA)、アクセス制御、パッチ適用などで侵入や被害拡大を防ぐこと
- Detect(検知):ログ、EDR、監視運用などにより、不審な挙動や侵害の兆候を早期に見つけること
- Respond(対応):端末隔離、調査、社内連携、外部通報、意思決定など、発生時の対応を整理しておくこと
- Recover(復旧):バックアップからの復元、再構築、業務再開、再発防止までを含め、止まった事業を戻すこと
この6つの観点にキーワードを当てはめると、以下のように整理することができます。

図:NIST CSF 2.0 に基づく一連のランサムウェア対策
2-2. 自社の対策状況の確認
こうした整理を踏まえると、自社ではどこまで対策できているかを確認することが重要になります。ランサムウェア対策は、例えばセキュリティ対策製品の導入だけで完結するものではなく、先ほどの図のように「方針策定、資産とリスクの可視化、侵入防御、検知、対応、復旧」までを一連の流れとして整える必要があります。次のような観点で現状を点検すると、優先的に見直すべき課題が見えやすくなります。
1. 方針を定める
- ランサムウェア対策について、経営層を含む責任体制と意思決定の流れが明確になっているか
- インシデント発生時の連絡先、報告先、判断者が文書化されているか
- 委託先やグループ会社を含めたセキュリティ管理方針が定められているか
- 教育や訓練を定期的に実施し、見直しの機会を設けているか
2. リスクを可視化する
- 管理対象の端末、サーバ、クラウド、ネットワーク機器、SaaSを一覧化できているか
- 資産ごとの脆弱性、設定不備、外部公開状況を継続的に把握できているか
- 「重要資産は何か」「止まると困る業務は何か」が整理されているか
- 発見したリスクに対し、対応優先度を付けるルールがあるか
3. 侵入を防ぐ
- 管理者を含む各種アカウントに多要素認証(MFA)を適用しているか
- ID管理、特権管理、端末制御、ネットワーク分離などの基本対策が実施されているか
- メール、Web、VPN、SaaSへのアクセスに対して適切な保護策が講じられているか
- パッチ適用や設定変更が、重要度に応じて計画的に実施されているか
4. 兆候を捉える
- エンドポイント、ID、クラウド、ネットワークのログを必要な範囲で取得できているか
- 侵害の兆候や異常を検知する仕組みがあり、アラートを確認・判断する運用が回っているか
- 監視対象が特定の製品や領域に偏らず、横断的に見られる状態になっているか
- 検知後に誰が何を確認するかが決まっているか
5. 被害を抑える
- 感染端末や不正アクセスを確認した際の対応手順が定まっているか
- 初動対応時に、誰が調査し、誰が社内外へ連絡するかが整理されているか
- プレイブックや対応手順書があり、実際に使える状態になっているか
- 取引先や委託先を含めた連携先との連絡方法が確認できているか
6. 業務を復旧する
- バックアップが取得されているだけでなく、リストア手順まで確認できているか
- 復旧対象の優先順位が整理されているか
- 隔離復旧や再構築を前提とした手順が用意されているか
- 復旧後に原因分析と再発防止策の見直しまで行う流れになっているか
そしてこれらの確認は、一度実施して終わりではなく、定期的に見直すことも必要となります。
2-3. SCS評価制度との関連性
ここまで整理した考え方は、2026年3月に公表されたSCS(Supply Chain Security)評価制度の観点でも重要です。SCS評価制度は、サプライチェーン全体の強靭化を目的とした制度であり、星3から星5までの段階で企業のセキュリティ対策状況を評価する枠組みとして整理されています。SCS評価制度では組織ガバナンス、取引先管理、システム防御・検知、インシデント対応、復旧準備といった観点が重視されており、先ほど整理したNIST CSF 2.0のGovern、Identify、Protect、Detect、Respond、Recoverの観点と重なる部分が多い内容となっています。
SCS評価制度が公式にNIST CSF 2.0への準拠を求めているわけではありませんが、NIST CSF 2.0のようなフレームワークを使って自社対策を体系的に整え、さらに取引先や委託先を含めた管理や確認、必要な指導・連携まで実施できていれば、SCS評価制度で求められる水準にもつながりやすいと考えられます。なお、SCS評価制度については、当社のグループ会社であるプログライブコンサルティングにて評価に向けた準備や支援を行っております。
参考:サプライチェーンセキュリティ構築支援 | セキュリティ対策を「コスト」から「取引条件」へ
https://www.progrive.co.jp/services/supplychain-security/
3. 優先して見直したい項目はなにか
第2章で整理したとおり、ランサムウェア対策では侵入を防ぐことだけでなく、「方針策定、資産とリスクの可視化、侵入防御、検知、対応、復旧」という一連の対策が必要です。一方で、すべての対策を一度に見直すのは現実的ではありません。会社ごとに優先順位は違いますが、ここでは、被害の発生や拡大に直結しやすいと考えられる項目を整理します。
3-1. 多要素認証(MFA)やアクセス条件の見直し
ランサムウェア対策に限らず、不正アクセス対策として多要素認証(MFA)は重要性の高い対策の一つです。Microsoft社も、MFAによってアカウント侵害攻撃の99.9%以上を防ぐことができると発信しており、特にメール、リモートアクセス、管理者権限を含む重要なアカウントや経路では、改めて適用状況を確認する必要があります。
また、MFAとあわせて、Microsoft Entraの条件付きアクセス(Conditional Access)のような、利用者、端末、場所、リスクなどをもとにアクセス制御を行う仕組みを導入しているか、またその例外設定が適切かを見直すことが重要です。あわせて、管理者アカウントや外部公開された管理画面、クラウドサービス、SaaSへのアクセスが適切に制御されているかを確認することも重要です。
参考:Microsoft “One simple action you can take to prevent 99.9 percent of account attacks”
https://www.microsoft.com/en-us/security/blog/2019/08/20/one-simple-action-you-can-take-to-prevent-99-9-percent-of-account-attacks/
3-2. 脆弱性対策とパッチ適用サイクルの見直し
ランサムウェア被害を防ぐうえでは、既知の脆弱性を放置しないことが重要です。警察庁も、VPN機器、OS、ソフトウェアの更新ファイルやパッチを適用し、脆弱性を残さないよう求めています。
また、第1章でも触れたとおり、近年は脆弱性の発見から悪用までの期間が短くなっており、従来の慎重で時間を要する更新運用では対応が難しい場面もあります。そのため、Windows Updateの適用頻度の見直し、Microsoft Intuneの更新リングのような機能の活用、緊急パッチの扱いなども含め、既存のパッチ適用サイクルそのものを短くするように見直すことが重要です。
3-3. VPN利用の見直しとZTNAへの移行
VPNやリモートアクセス基盤は、依然として重要な見直し対象です。警察庁の「令和7年におけるサイバー空間をめぐる脅威の情勢等について」では、ランサムウェア被害組織へのアンケート調査(有効回答131件)における侵入経路の62%がVPN機器であり、前年も63%であったとされています。
そのため、VPNを利用している場合は、脆弱性対策に加えて、機器の棚卸し、設定確認、認証強化、アクセス制御の見直しを優先的に進める必要があります。それらが難しい場合などは、可能な範囲でVPN構成を見直し、SASEの一つであるZTNAや、各社製品でPrivate Accessと呼ばれる仕組みなど、ゼロトラスト型のアクセス制御への移行を検討することも重要です。
参考:警察庁「令和7年におけるサイバー空間をめぐる脅威の情勢等について」
https://www.npa.go.jp/publications/statistics/cybersecurity/data/R7/R07_cyber_jousei.pdf
3-4. メールセキュリティの見直し
ランサムウェア被害の入口として、メール経由の攻撃は引き続き主要な侵入経路とされています。生成AIの普及により、自然で見分けにくいフィッシングメールが作られやすくなっている状況を考慮する必要があります。
メールフィルタリング、URL防御、添付ファイル検査、なりすまし対策に加え、実際に流入しているメールの傾向を継続的に確認し、それに応じて設定を更新していく運用が重要です。すでに第1章で触れたとおり、文面の自然さだけで判断しにくいメールも増えているため、利用者教育だけでなく、管理者側の設定や運用の見直しまで含めて対策を考える必要があります。
3-5. 見えていない資産の把握
ランサムウェア対策の前提となるのは、資産を把握しリスクを可視化できていることです。よく言われる表現ですが、見えていないものを守ることはできません。
未管理端末、使われていないサーバ、把握されていないクラウドサービス、棚卸しされていないアカウント、外部公開資産などは、侵入口や被害拡大の要因になり得ます。まずは、資産台帳の整備に加え、ASMやディスカバリー機能なども活用しながら、資産を把握しつつリスクの可視化を継続的に進めることが重要です。
3-6. バックアップ・リストアと有事対応シナリオの整備
第2章で整理したRecover(復旧)の観点からも、バックアップとリストアの整備は重要です。従来、バックアップ・リストアは、設定変更やセキュリティパッチ適用時の障害対策、あるいはDR(災害復旧)の文脈で語られることが多くありました。現在は、ランサムウェア被害に備えて「安全に戻せる状態」を平時から整えておくという意味合いが一段と重要になっています。
近年は、侵害を前提としたバックアップ・リストアの考え方も重視されつつあります。また、バックアップの有無だけでなく、復元手順書、復旧優先順位、役割分担、連絡体制、復元訓練まで含めて、有事対応シナリオをあらかじめ整備しておくことが重要です。
最後に:自社に合った順序で進めることが重要
ここまで見てきたように、ランサムウェア対策にはさまざまな対策が必要です。上記のような被害の発生や拡大に直結しやすいと考えられる項目を中心に、自社の事業特性やシステム構成、運用体制に合わせて整理し、優先順位をつけて進めていくことが重要です。
次回以降の記事では、第3章で取り上げた各項目について、より詳しくご紹介します。

