サイバー攻撃を受けてデータが人質になったとき、あなたの会社は毅然と拒否できますか?最新の調査で、日本の企業の驚くべき防衛の穴が浮き彫りになりました。多くの企業が対策を強化しているものの、実は約7割もの組織が「身代金を支払うべきか」のルールすら決めていないという、恐るべき現状の真実に迫ります。
バックアップは4割止まり?ガートナーが指摘する有事の判断基準
ガートナージャパン株式会社は2026年6月24日、国内のランサムウェア対策状況に関する最新の調査結果を発表しました。2026年2月に従業員数500人以上の組織を対象に実施された調査によると、多くの企業がサイバー攻撃への対策を強化しているものの、いまだ十分とは言えない現状が明らかになりました。具体的には、最も導入されている対策である「バックアップからの復旧」でも42.7%にとどまっています。さらに、「感染時の対応のマニュアル化」が40.3%、「インシデントの公的機関への届け出体制」が34.7%と続いており、いずれも半数に満たない状況です。サイバー攻撃の手口が高度化し、サプライチェーンのリスクも高まる中で、被害を完全に防ぐことは極めて難しく、発生を前提とした事前の備えが急務となっています。
特に深刻なのが、ランサムウェア感染時の身代金要求に対する方針の曖昧さです。「身代金の支払いは行わない方針でルール化している」と答えた企業は29.5%にとどまり、実に約7割の企業が具体的な基準を持たないまま、有事の際にその場で判断を迫られる状況にあります。原則として支払わないとしていても、方針が不明確なままだと、時間的余裕のない極限状態のなかで誤った選択をしてしまうリスクが高まります。同社のアナリストは、攻撃者との交渉を身代金の支払い前提ではなく、被害状況や情報漏洩の範囲を調査・分析するための時間を確保する手段として捉えることも可能だと指摘しています。
そのため、有事の際に場当たり的な対応を避けるためには、経営層を巻き込んだ事前のシミュレーションや机上演習を継続的に実施することが極めて重要です。これにより、想定される被害に対する自社の判断基準を明確にしておく必要があります。また、攻撃者と直接やり取りを行うことはリスクが大きすぎるため、万が一の交渉に備えて専門ベンダーへ平時から相談できる体制を整えておくことが推奨されています。サイバーセキュリティ・リーダーは、各ステークホルダーと緊密に連携し、ダメージを最小化するための具体的な対応体制を平時のうちに構築しておくことが求められています。
見解として、インシデントの発生を前提とし、経営層が極限状態で誤った判断を下さないためのシナリオを平時からどれだけ磨けるかが、これからの企業のサイバーガバナンスの生命線です。
詳しくは「ガートナージャパン株式会社」の公式ページまで。 レポート/DXマガジン編集部 戸田
