Incident Tech

お問い合わせ
           
お問い合わせ
ブログ

運用保守が知るべきランサムウェアの未然防止 〜復旧できる運用設計とBCPで被害を最小化する方法〜

2026/02/23
Nakatani Taichi

1 有名企業の感染事例から見る「ランサムウェアは他人事ではない現実」

昨今、KADOKAWA社・アスクル社・アサヒビール社などの大手企業がランサムウェアの被害を受けて、業務縮小または停止の被害を受けています。また、これらのの報道はヤフーニュースや大手メディアに大きく報道されていることに加え多くの業種を問わずこのような被害が発生していることから、危機感を覚えている方も多いと想像されます。

ランサムウェアと聞くと資産データが全て暗号化される技術的要素が多く絡むように見受けられます。一方で、運用保守(ITサービスマネジャー)の観点からすると、
①復旧の失敗
②事業継続の失敗
と非常にクリティカルな問題となってきます。ランサムウェア感染は、システム停止は最大の機会損失であると同時に、最も避けるべき事態であるため、復旧できる運用設計の価値が改めて注目されています。

2. 報道は増えているのに感染数は横ばい?日本の実態

ランサムウェア感染が大々的に報道されると、感染数が増えているように見えます。ただし、警視庁発表によると、ここ数年間のランサムウェア感染数はほぼ横ばいとなっています。
ただ、このグラフで注意をする点は、あくまでも被害届を出した件数であって、被害に遭ったが公表しなかった件数は含まれていません。

3. 現場が直面する3つの壁:ガバナンス・文化・属人化

3-1 ガバナンス不足が侵入の「入り口」になる

NISTによる発表のうち「Ransomware Risk Management :A Cybersecurity Framework Profile」(ランサムウェアリスクマネジメント:サイバーセキュリティフレームワークプロファイル)ではガバナンスを効かせるべきプロセスが5つ記載されています。その定義は以下です。
1.特定
2.防御
3.検知
4.対応
5.復旧

ランサムウェアに対応する際にはこれらのプロセスも欠けてはいけないことが示唆されています。
ランサムウェア対策では、感染をしてはいけない=「防御」のプロセスが注目されることが多いと思います。ただ、運用保守担当の皆様においては、定期的なウィルススキャンなどを実施する「特定」、ランサムウェアがシステム内で感染し始めた「検知」、不幸にも感染してしまった時の「対応」とビジネスを継続する際の「復旧」プロセスをそれぞれ定義することを強く推奨します。

3-2 「変えないこと=安定」という文化が最大のリスク

IT運用保守の世界、特にレガシーシステムは「変えないこと=安定」というバイアスがあります。確かに、パッチひとつ適用するにも、パッチの選定からパッチ適用後の影響範囲の調査、試験と非常に手間がかかるプロセスが予想されます。しかし、ITIL 4は「価値提供」「サービス継続」を原則としながら、同時に「継続的変更の管理」も重視されています。貴方が担当されているシステムが外部からの接続の通信がないからといって、ランサムウェア感染がこの先全く発生しないかというとその可能性はありません。
既にマルウェアが潜伏している可搬媒体(USBメモリやファイル)を開発・保守環境に持ち込むこと。ウィルスキャンを実施していない媒体の持ち込み。保守用のリモートメンテナンスVPNからの侵入。例外的かつ一時的に開けられたファイヤーウォールからの感染。などなど、可能性は全くゼロではありません。運用部門の中核を担うポジションであればあるほど、現場設計や合意形成に関わる影響力が強くなります。読者の皆様にはこの点を自覚してプロセス改善を推進をお願いしたいです。将来的な組織全体の予防成熟度を左右します。

4. 技術より重要?ランサムウェア対策の本質は運用保守プロセス

ランサムウェアは、システムの 入り口と連鎖に人とプロセスが絡みます。メール添付開封、USB接続、委託先アカウントの管理ミス、チケット承認フロー迂回、構成情報の属人化などプロセス設計の問題に起因することで問題が発生します。運用保守部門が 「どんな障害でも誰でも戻せる状態」を作ること自体が最大の予防策になります。その予防策の勘所は大きく分けて以下のポイントになります。

(1)バックアップが常に戻せる状態か
大事なのは “戻せる運用” であり、特定ツールや暗号化方式の技術比較ではありません。「バックアップ作業が標準化され、ロール単位でサーバ復元検証が日次/月次の運用習慣として行われているか?」という問いが本質です。バックアップで元に戻せるのはどこのポイントになるのか?戻しが発生した際の手順書、その手順書の正しさを検証する訓練の実施が不可欠です。

(2)構成管理とバージョン管理
構成管理DBはIT資産管理の心臓です。運用保守をしているシステムで使用されているソフトウェア・ハードウェアは何かを把握し、そのバージョンは幾つなのかをすぐに把握できる必要があります。「障害対応時に誰でもすぐ検索できる状態にあるか、変更履歴の運用承認に活用されているか」がシステムの価値につながります。

(3)復旧手順
障害発生時における復旧手順を準備をする必要があります。
システム故障の際の故障箇所を調査するためログの調査をする必要がありますが、該当のログはどこにあるのか手順書を準備する必要があります。シニアに頼らないためにも、エラーで表示される返値が何を意味するのか?その返値が出た際はどのログを調査すれば良いのか把握する必要があります。
また、全ての故障シナリオに対しての準備は難しいですが、予想される故障シナリオをいくつか用意して、シナリオに対する故障復帰手順書をいくつか用意するだけでも迅速復旧の足がかかりにはなります。

5. 被害を最小化するBCP:業務を止めないための実務ステップ

運用保守担当はBCPを技術手順書の作業ではなく、システム障害に強い日常運用の枠組みとして捉えることができます。ランサムウェア対策のゴールは業務を止めない運用設計と復旧できる組織成熟」です。もちろん感染しないことが最も良いことではありますが、感染後の対策を練らなければ、いざ感染した際に事業の継続が難しくなります。第3章で述べた重要な「運用保守プロセス」と重複する部分がありますが、以下のポイントを元にBCP計画を策定することを推奨します。
BCP策定のポイントとしては以下が挙げられます。

  1. 業務回復のリードタイム定義
  2. 運用資産(構成/バックアップ)の棚卸
  3. 復旧訓練の定常運用化

6.明日から実行できる未然防止

ここまでランサムウェアや運用プロセスの話をしてきましたが、最終的に重要なのは「障害が起きる前に気づける運用ができているか」です。残念ながら、システム障害はゼロにはできません。ただし、発生前に兆候をつかむ確率は高められます。基本的にはログ・メトリクスの変化を継続監視することが重大障害の予防につながると明確にされています。特にウィルスに対しては、定期的なウイルススキャンやパッチのバージョンアップを実施し、おかしな兆候を掴む必要があります。また、障害が起きた後の対応プロセスを改善し続けることも未然防止の一部です。インシデント対応を振り返り、改善を業務フローに戻す「フィードバックループ」を組み込むことで、同じ障害を繰り返さない仕組みができます。

未然防止のポイント
・監視データ・ログの「変化」を正しく追いかける
・継続監視を意識した運用習慣を身につける。その訓練の実施。
・小さな予兆でも放置しない、早めの対処文化を構築する。
・障害対応の振り返りを標準化し、改善点をプロセスへ戻す。
・属人化排除のため、気づきやナレッジを記録して全員で共有する。

7.まとめ

ランサムウェアは「技術の問題」に見えがちですが、その本質は復旧できる運用と業務を止めないBCPを日常から作れているか にあります。大企業の感染事例が示すように、被害の大小を左右するのは、攻撃そのものよりも 運用プロセスの成熟度 です。NISTのフレームワークが示すように、「特定・防御・検知・対応・復旧」のどれが欠けても事業継続は成り立ちません。特に日本のIT運用では「変えないこと=安定」という文化や、属人化・承認フローの形骸化がリスクを増幅させています。

重要なのは、誰でも同じ手順で戻せる状態 を平常時から作り込むことです。バックアップは取得することではなく戻せることが価値であり、構成管理・バージョン管理・復旧手順の整備はすべてその前提を支える基盤です。また、BCPも特別な文書ではなく、日々の運用習慣に落とし込むことで初めて機能します。業務回復のリードタイム定義、資産棚卸、復旧訓練の定常化は、明確な差となって現れます。最終的に、運用保守が目指すべき姿は「障害が起きる前に気づき、起きてもすぐ戻せる組織」。継続監視、兆候への早期対処、振り返りと改善のループ、そして知識の共有が、ランサムウェア時代の最大の防御力になります。攻撃をゼロにはできませんが、被害を最小化できる組織設計は明日から確実に作り始められます。

8.参考文献

  1. KADOKAWA|公式トピックス
     KADOKAWA. 「『○○』に関するお知らせ」 KADOKAWA Topics.
     https://www.kadokawa.co.jp/topics/12088/
  2. Yahoo!ニュース
     Yahoo!ニュース. 「(記事タイトル)」 Yahoo!ニュース.
     https://news.yahoo.co.jp/articles/62460524499fa8f152e7569f864cc9fc1203b741
  3. ITmedia NEWS
     ITmedia NEWS. 「(記事タイトル)」 ITmedia.
     https://www.itmedia.co.jp/news/articles/2512/10/news092.html
  4. 東京都警視庁 サイバー犯罪対策
     東京都警視庁. 「ランサムウェア脅威と被害防止のために」 警視庁サイバー安全ナビ.
     https://www.keishicho.metro.tokyo.lg.jp/kurashi/cyber/joho/ransomware_threat.html
  5. IntelliLink セキュリティコラム
     インテリリンク. 「(記事タイトル)」 IntelliLink セキュリティコラム.
     https://www.intellilink.co.jp/column/security/2024/091700.aspx
  6. NIST IR 8374: NIST ロードマップ
     Ross, R. et al. (2022). NIST IR 8374: An Introduction to Cybersecurity Framework Implementation.
     National Institute of Standards and Technology.
     https://nvlpubs.nist.gov/nistpubs/ir/2022/NIST.IR.8374.pdf
  7. NIST CSWP 29: プラクティスガイド
     National Institute of Standards and Technology. NIST CSWP 29: Implementing the Cybersecurity Framework.
     https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.29.pdf
記事一覧を見る