相次ぐ被害で「想定外」は通用しません。ガートナージャパン株式会社は、国内企業が取るべき4つの対策を発表しました。技術論に閉じず、事業継続を揺るがす経営課題として捉え直す内容です。EDR依存の見直しから復旧プロセス設計まで、要点と実務への落とし込みを整理します。
ランサムウェアを経営課題化し「予防・検知・対応・復旧」を同時強化する
ガートナージャパン株式会社は、ランサムウェア対策の再構築を国内企業に促しています。発端は国内大手企業での被害発生で、基幹業務が長期停止し得る現実を多くの企業が擬似体験した点にあります。シニア ディレクター アナリストの矢野薫氏は、セキュリティを重大な経営リスクとして議論すべきだと強調します。ここで示された4つのアクションは、感染リスク低減、インシデントの早期検知、緊急時の冷静な行動、迅速かつ正確な復旧の四層で構成されます。第1に、EDRのような感染後対策への過度な依存から脱却し、継続的な脅威エクスポージャ管理やアタック・サーフェス・マネジメント、脅威インテリジェンスを通じて露出を可視化し、特権アクセス管理を要所に適用することが示されています。第2に、EDRの重要度「低」「中」に埋もれる初期兆候を読み解く運用への転換が必要です。ネットワークやクラウドの複数ポイントを横断してアラートを関連づけ、生成AIやAIエージェントの活用も視野に、単発の異常をコンテキストとして捉える体制が求められます。第3に、従来のIT-BCPの枠を超え、事業リスクを中心に据えたBCPに格上げし、隔離から修復までの長期化を前提に、経営陣による対外コミュニケーションの方針も明確化します。誰が、どのチャネルで、どの媒体を使い、経営責任を明示するかを事前に定義することが要点です。第4に、復旧の本質は「データ」ではなく「ビジネス」であると定義し、相関する複数システムの依存関係を洗い出したうえで、同一タイミングの一貫したバックアップ設計と、正しく復元するプロセスの確立を求めています。
特に復旧設計では、バックアップを保有していても復元に失敗する事例の多さが指摘されています。2025年9月の警察庁レポートでは、被害企業の90%以上がバックアップを取得していた一方で、85.4%が復元できなかったとされます。背景には、バックアップ・データ自体の暗号化被害や、取得内容の不備、復旧手順の未整備があります。このため、バックアップ・イメージを複数世代で保持し、その一部をランサムウェアから物理的または論理的に隔離することが必要になります。さらに、復旧対象の業務単位を起点に、関連システムの整合を保った「正しい」バックアップと、「正しく」復元する手順の演習を組み込みます。矢野氏は、アナログによる代替運用の可否を含め、現場を巻き込んだ議論の即時開始を求めています。これにより、復旧に時間を要する前提下でも、製品やサービス提供の継続可能性を高められます。
早期検知の面では、EDRアラートの重要度「高」だけを追う運用の限界が浮き彫りです。重要度「高」は予兆ではなく、既に侵害が進行している場合があるため、初期段階の試行や失敗が含まれる「低」「中」も解釈して対応するスキルと体制が要点となります。ここで、ネットワークやクラウド・サービスの監視ポイントを横断し、アラート同士を関連づける相関分析が欠かせません。生成AIやAIエージェントの適切な選択と運用により、点在する異常を一連の攻撃行動として把握することが可能になります。SOCを中心としたモニタリング体制の再設計は、単なるツールの導入ではなく、運用プロセスを通して「兆し」を拾い上げる能力の強化に重心を置くべきだと整理されています。
感染リスク低減では、攻撃の横展開や認証情報の悪用など、エンドポイント外で進む挙動への対処が強調されています。EDRを重要な構成要素としつつも、CTEMで露出を継続的に見直し、ASMで外部に露出する資産を把握し、脅威インテリジェンスで攻撃者の手口を前提条件として取り込むことが柱になります。加えて、特権アクセス管理を特に重要なシステムに適用して、権限の乱立や不正利用の余地を最小化します。これらを重層的に実装することで、攻撃が成功しない環境を先手で整えるという方針が提示されています。
緊急時対応の格上げでは、隔離、保全、調査、修復というサイバー特有の長いプロセスを前提に、経営陣が関与する統合的なBCPを設計します。外部への発信では、対象、チャネル、媒体、責任の明示を事前に定義し、意思決定を迅速化します。さらに、アナログ代替手段の運用可否を現場と検証し、提供可能な最小限のサービスレベルを確定します。復旧に時間がかかる現実を織り込むことで、事業停止の実害を抑える設計が可能になります。
見解として、4アクションを経営のアジェンダに一括計上し、運用と復旧の「できる化」を同時に進めることが有効です。とりわけバックアップの一貫性と隔離、アラート相関の運用内製化は、短期で効果を出しやすい要所です。
詳しくは「ガートナージャパン株式会社」の公式ページまで。 レポート/DXマガジン編集部
