ウイーズ・システムズ株式会社

CONTACT

コラム

COLUMN

ランサムウェア被害を拡大させる日本の「おもてなし」文化

  1. 日本企業が深刻な被害に陥るのはなぜか?
  2. データが示すセキュリティ戦略の違い
  3. 日本のおもてなし文化は、サイバー攻撃には通用しない
  4. 「訓練」こそが「防御偏重」から脱却させる最初の一歩
  5. 侵入後に「事業を止めない」ために整えるべき3つの技術的な備え
  6. 攻撃フェーズを理解すれば、「どこを守るべきか」の答えが見えてくる

「またランサムウェア攻撃で、あの大企業の業務が停止した」

こうしたニュースを見るたびに、不安を感じる経営者・担当者の方も多いのではないでしょうか。

セキュリティ対策費は年々増え、最新のウイルス対策ソフトも導入している。
それなのに、被害は減るどころか 復旧に数週間〜数ヶ月、損害額は数億〜数十億円。

なぜ日本企業は、資金も人材も揃っているにもかかわらず、ここまで大きな被害を受けてしまうのか。

その理由は明確です。なぜなら、世界はすでに「侵入前提」の守り方へ移行している。しかし日本企業だけが、いまだに侵入させないことを前提にしているからです。

日本企業の防御優先の戦略が、現代のサイバー攻撃に完全に合わなくなってきています。

日本企業と海外企業のセキュリティ対策に対する「意識のズレ」は、決して小さなものではありません。日本と米国を中心とした先進国のデータを比較すると、その戦略の違いはより鮮明になります。

インシデント対応(EDR/SOC)の普及率が示す「前提の違い」

米国企業は、「侵入を防ぐこと」以上に 「侵入された後、どれだけ早く異常を検知し抑え込むか」 に重点を置いています。

たとえば、

  • EDR(Endpoint Detection and Response)導入率は70〜80%台
  • 大企業ではMDRや24時間監視のSOCが標準化

この背景には、ウイルス対策ソフトのような境界防御では、「未知の攻撃」「ゼロデイ脆弱性」「内部要因の事故」を完全に防ぎきれないという認識が浸透しているためです。EDRやSOCは、侵入後の挙動を検知するための技術であり、防御ではカバーできない領域を補完する仕組みと考えられています。

一方、日本企業のEDR導入率は 約21%(IPA 2022)、SOC整備率も10%台に留まっています。

ウイルス対策ソフトやファイアウォールなど、いわゆる「入口で防ぐ」対策には投資するものの、侵入後のふるまいを検知・対応する体制は十分に整っていません。
このアンバランスさが、侵入後の被害が大きく広がりやすい構造を生んでいます。

サイバー保険市場で見る「有事への備え」の温度差

サイバー保険は、単なる損害補填ではなく、

  • レスポンス費用
  • 法務・広報対応
  • データ復元費用
  • 社外専門家の調査費用

といった 「侵入後の実際のコスト」を吸収するための財務バッファ です。
この侵入後の現実への備え方にも、日米で大きな差があります。

経済規模(GDP)比の比較

  • 米国:0.0353%
  • 日本を含むアジア太平洋(APAC)平均:0.0025%

米国は、APAC平均の約14倍の資金を「侵入された後の備え」に投じています。
(※日本単体のGDP比は公表されていませんが、APAC内での市場規模から見て、APAC平均を上回るとは考えにくい)

損害保険市場での比率

  • 米国:5%以上(主要カテゴリ)
  • 日本:1%未満(周辺カテゴリ扱い)

米国では主要商品、日本では「周辺商品」扱い

企業の加入率

  • 米国企業:約65%
  • 日本企業:約8%

加入率だけでも 8倍以上の差 があり、企業が「侵入後の備え」をどれほど重視しているかの温度感の違いがそのまま表れています。

前提が違うから、選択される対策も違う

これらの数字が示しているのは、単に普及率が違うという話ではありません。

  • 海外は「侵入される前提」で体制を組む
  • 日本は「侵入されない前提」で防御策を強化する

という思想レベルの違いが、選ばれる技術や投資先の違いとして表面化しているということです。
同じ攻撃を受けても、復旧時間・被害規模・事業停止期間に大きな差が生まれるのは、この前提の差が理由です。

データが示した通り、日本企業は「侵入後の備え」が圧倒的に不足しています。
では、なぜ日本は防御一本槍の戦略を続けてしまうのでしょうか。

背景には、日本企業が長年培ってきた 美徳そのものが弱点に転じている構造があります。

完璧主義:「侵入=失敗」という誤解

  • 不良品ゼロの品質文化
  • ミスを許容しない組織風土

この価値観が、侵入されること自体が失敗 という誤った認識を生みます。

海外は Assume Breach(侵入前提) が常識ですが、日本では「侵入を認める」ことがタブーになりやすい。その結果、侵入後に備える対策が進まないという構造になっています。

サービス志向:被害を「起こさない」ことを優先してしまう

日本企業には、「お客様に迷惑をかけない」「サービスを止めない」という強いサービス志向があります。しかしセキュリティでは、被害を起こさない(=ゼロ侵入)より被害を小さく抑えることが重要です。

日本企業のサービス停止を信用失墜と考える文化は、停止を伴う対策より止めなくても済む防御策が優先されがちです。

つまり、日本企業は「被害を抑える」よりも「被害を起こさない」ことに意識が強く向くため、侵入後の検知・対応が十分に整備されにくい構造が生まれています。

効率化文化が、セキュリティには通用しない

日本企業は資源が限られる中で、「効率化」や「ムダの排除」によって競争力を磨いてきました。しかし、このlean(ムダ削減)文化は、セキュリティとは相性が悪いです。なぜなら 復旧力は「冗長性(ムダ)」で成立する からです。

  • 使わないバックアップ回線
  • 有事用の予備環境
  • 本番とは別系統のバックアップ
  • 保険
  • ログの二重保管

これらは平時には「ムダ」にしか見えませんが、有事には命綱になります。効率化を優先するあまり、この命綱が削られてしまうケースが非常に多いのです。

日本企業の防御偏重は単なる戦略ミスではなく、これまでの成功体験や企業文化の延長線上にある構造的な傾向です。しかし、攻撃を完全に防ぐことができない今の時代においては、被害を起こさないことだけに依存するのではなく、侵入を前提とした備えへと発想を転換することが求められています。

ランサムウェアをはじめとするサイバー攻撃は、もはや「侵入されるかどうか」ではなく、「いつ侵入されるか」の世界に移り変わりました。どれほど防御策を強化しても、攻撃手法の高度化・内部不正・設定ミスなど、複合的な理由により侵入そのものをゼロにすることは現実的ではありません。

にもかかわらず、日本企業では依然として防御偏重の文化 が強く、侵入後の混乱に備える体制が十分ではありません。そのギャップを埋めるもっとも効果的な手段がサイバー攻撃訓練です。

訓練によって得られる効果は、単なる操作手順の確認にとどまりません。企業文化そのものを「侵入されない前提」から「侵入前提のレジリエンス型」へとシフトさせる、最初の一歩となります。

訓練によって得られる3つの効果

① 被害の現実を「体験」として共有できる

訓練の最大の価値は、侵入後の混乱や影響を「机上の空論」ではなく、組織全体が体感として理解できることにあります。
実際の事例でも、訓練を通じて以下のような課題が浮き彫りになります。

  • 初動判断が遅れる
  • 連絡が滞る部署がある
  • 経営層の判断が止まる
  • インシデント対応より「サービス停止の不安」が優先される
  • 広報・法務との連携が取れない
  • バックアップはあるが復元手順が共有されていない

訓練は、こうした「侵入後のリアルな混乱」を疑似体験として共有する場です。
その結果、

防御だけでは守り切れない
侵入後の対応こそが事業継続の鍵である

という認識が、経営層を含め全社に浸透します。これは、防御偏重から脱却するための最初のハードルであり、訓練なくして自然に浸透するものではありません。

② 初動対応が「組織として」速くなる

インシデント対応においては、最初の数時間が被害規模をほぼ決定します。
しかし、普段の業務では「誰が最初に判断し、どこが指揮を執り、どの部署と連携するか」といった体制が曖昧になりがちです。訓練を行うことで、

  • 指揮命令系統
  • 連絡体制
  • 判断基準
  • 部署間の役割分担

が整理され、組織としての初動スピードが大幅に向上します。

実際、訓練を重ねた企業とそうでない企業では、同じ規模のインシデントでも業務停止期間が3〜10倍違うという事例も報告されています。

初動が早ければ早いほど、
感染拡大の抑制 → 業務影響の局所化 → 復旧の迅速化
につながります。

これは、防御策だけを強化しても決して得られない「唯一の効果」です。

③ 自社の弱点が「安全な環境で」露呈する

訓練を行うと、平時には絶対に見えない弱点が次々と明らかになります。

  • 重要連絡先リストが更新されていない
  • 担当者に連絡不能
  • 依存していた担当者が実は属人化していた
  • データ復旧の想定が机上のまま
  • 経営層が意思決定のプロセスを理解していない
  • 広報・法務の対応が想定より遅い

これらはすべて「本番で発覚しては手遅れになる事柄」です。

訓練とは、本番で失敗しないために、いま安全に失敗するための場です。
訓練であえて失敗し、その原因を改善することで、企業のレジリエンス(復旧力)は確実に高まります。

訓練は“防御文化”から“復旧力文化”へ転換するためのもっとも効率的な投資

防御強化によって防げる攻撃には限界があります。一方で、訓練は以下のような効果を短期間で組織全体にもたらします。

  • 侵入後の被害の大きさを具体的に理解できる
  • 経営層を含めて「侵入後対策の必要性」を共有できる
  • 初動対応スピードが上がる
  • 体制の弱点が可視化され、改善につながる

つまり訓練は、組織文化を防御一辺倒から復旧力中心に変える唯一の近道です。
攻撃が高度化し続ける今、訓練を行わないこと自体が大きなリスクとなりつつあります。

防御策だけでは企業を守り切れない。

これは、攻撃手法の高度化や内部要因の増加を踏まえた世界共通の前提となっています。

しかし、侵入後の対応は、人の努力だけではどうにもなりません。
攻撃者は、数分〜数時間単位で動き、内部探索・水平移動を行い、隙があれば特権IDを奪います。人手で止めるには限界があり、仕組みそのものを技術として用意しておくことが不可欠です。

ここでは、企業が侵入後も事業を継続するために整えておくべき 3つの技術的な備え を紹介します。これは決して贅沢な対策ではなく「事業停止を回避するための最低ライン」です。

異常を「早期に検知」できる仕組み

侵入後の攻撃は、最初の段階では静かに行われます。
攻撃者は内部で気配を消しながら、

  • ネットワーク内の探索
  • 認証情報の収集
  • 攻撃拡大のための準備

を進めていきます。しかし、ログの目視確認や人手による監視だけでは、この静かな攻撃の動きに気づけません。
必要なのは 「異常を自動で検知する技術」 です。

具体的には、

  • EDR(端末のふるまい監視)
  • リアルタイムログ監視
  • SOC/MDRなどの24時間監視サービス

などが挙げられます。

これらが稼働して初めて、攻撃者の挙動を早期に捉え、被害が広がる前に対応を開始できます。

攻撃の「横展開を防ぐ」仕組み

ランサムウェア攻撃の被害が大きくなる最大原因は、横展開(ラテラルムーブメント)と特権IDの奪取です。
攻撃者は侵入後、

一般社員 → 部門管理者 → システム管理者(特権ID)

という流れで権限を奪い取り、企業ネットワーク全体を支配しようとします。よって、企業が優先して整備すべきは、「攻撃者が内部で自由に動き回れない仕組み」です。

たとえば、

  • セグメンテーション(ネットワーク分割)
  • 最小権限アクセス
  • 重要システムへのアクセス制御
  • 特権IDの利用に承認プロセスを設ける
  • 特権操作のログ監視・証跡化

といった仕組みです。

とくに 特権IDの防御 は、横展開を止める上で最重要ポイントになります。
特権ID奪取は攻撃者にとってゲームクリアに等しく、ここを守れるかどうかで、被害の大きさは劇的に変わります。

「すぐに復旧できる」状態を整える仕組み

侵入を100%防ぐことはできない以上、最後の砦は 「いかに早く復旧できるか」 です。

復旧の遅れは、

  • 業務停止の長期化
  • 顧客対応停止
  • 社会的信用の低下
  • 売上への直接的損害

につながります。
そのため企業は、事前に復旧のための仕組みを整えておく必要があります。

代表的な例は、

  • オフライン・不可変バックアップ
  • 復旧計画(BCP/DR)の整備および自動化
  • ログ証跡による原因特定の迅速化
  • 復旧ポイントの定期的な確保

などです。

これらが整っていれば、特権IDが狙われるような深刻な攻撃でも、「復旧が不可能」ではなく「復旧できる」状態を維持できます。

すべてを一度に整える必要はない。しかし、優先順位の判断は不可欠。

ここまで紹介した「検知」「横展開の抑制」「復旧」の仕組みは、どれも欠かせない要素です。
とはいえ、多くの企業にとってすべてを一度に整えることは難しいのが現実です。

だからこそ、

  • 組織のリスク
  • 現状の体制
  • 人員・予算
  • 業務影響の大きさ

を踏まえてどこから優先して強化すべきかを見極めること が重要です。
この「優先順位づけ」は、次章で扱う 攻撃者の手口(攻撃フェーズ)を理解すること によって、より明確になります。

企業に必要なセキュリティ対策は多岐にわたります。しかし、限られた予算・人員・時間の中で、すべてを同時に整えることは現実的ではありません。
では、どこから優先して対策を強化すべきなのでしょうか。

その答えは、「攻撃者がどのような手順で被害を最大化するのか」 を知ることで、はっきりと見えてきます。

多くの人が「侵入された瞬間に暗号化される」と誤解していますが、現実の攻撃はもっと計画的で、段階的です。そして、企業が本当に崩れるのは“侵入された瞬間”ではなく、特権IDを奪われた瞬間です。

以下では、攻撃者の典型的な攻撃フェーズを簡潔に整理します。

ランサムウェア攻撃は「5つのフェーズ」で進行する

破壊行為は最初に起きません。攻撃の本番は後半です。

① 初期侵入 ― 入口を突破しただけの段階

フィッシング、VPN脆弱性、装置の乗っ取りなど、多様な手段で侵入します。
この段階では攻撃者は一般ユーザー程度の権限しかなく、大きな破壊はできません。

② 内部探索 ― 価値のあるターゲットを探し始める

攻撃者は内部に潜伏し、じっくり組織内を調べます。

  • 重要サーバはどこか
  • 管理者の痕跡はどこか
  • 横展開できる経路はどこか

すべては権限を奪うための情報収集です。

③ 水平移動 ― より強い権限への「昇格ルート探し

一般社員 → 部門管理者 → システム管理者
このように、より強い権限を持つアカウントへと侵害範囲を広げていきます。

このフェーズを許すと、攻撃は一気に本番へ向かいます。

④ 権限昇格(特権ID奪取) ― 攻撃が「加速」する瞬間

ここが攻撃の分岐点です。
特権ID(Domain Admin / root など)を奪われると、状況は一変します。

  • アンチウイルスを停止できる
  • ログを削除・改ざんできる
  • バックアップを破壊できる
  • 全社サーバへ一斉攻撃できる
  • 重要システムを自由に操作できる

ここから攻撃は「静かな準備フェーズ」から「破壊フェーズ」に移行します。

⑤ 暗号化・破壊 ― 企業全体が止まる最終段階

特権IDを握った攻撃者は、すでに内部管理者と同じ力を持っています。
全社環境が一気に暗号化され、復旧不能レベルにまで至るケースも珍しくありません。

「侵入されたかどうか」ではなく、
「特権IDを奪われたか」が企業の運命を分ける

攻撃者は、侵入直後に企業を壊すわけではありません。
侵入されても、特権IDを奪われない限り、被害は局所的に抑えられます。

しかし、
特権IDを奪われた瞬間、攻撃者は企業の全システムを自由に扱えるようになる。
ここが攻撃の分岐点であり、この瞬間の有無によって被害規模は劇的に変わります。

つまり企業が最優先で整えるべきは、

攻撃が「第4フェーズ(特権ID奪取)」に移行するのを防ぐこと

これこそが、数あるセキュリティ対策の中で 最も効果が高く、投資対効果が大きい対策です。侵入そのものを100%防ぐことは不可能です。
しかし、

  • 特権IDに承認フローを設ける
  • 操作ログを証跡として記録する
  • 管理者権限を最小化する
  • IDの貸し借りや共有をなくす
  • 管理者操作を監査できるようにする

これらの仕組みが整っていれば、
攻撃は「フェーズ4」に到達できず、破壊行為に進めません。

結果として、

  • 被害が局所化する
  • 事業停止が短くなる
  • 復旧コストが抑えられる
  • 二次被害が防げる

という、事業継続に直結する効果が生まれます。

攻撃者の手口を理解すると、企業が優先して対策すべき場所は明確になります。
キーポイントはただ一つ。

特権IDを奪われる前に止められるかどうか

これが企業の被害規模を決める分岐点です。

侵入を完全に防ぐことはできません。しかし、特権IDの悪用を防ぐことはできます。
だからこそ、多くの先進企業が、防御強化よりも 「特権ID管理」 に投資しています。

WEEDS Trace 特権ID管理ソリューションについて詳しく紹介した資料です。

特権ID管理について、もう少し詳しく知りたいという方のために、運用イメージや基本機能をまとめた資料をご用意しています。短時間で特権ID管理の全体像をつかめる内容ですので、情報収集中の方でも気軽にお読みいただけます。

まずは資料をダウンロードする

関連記事

成功への道!特権ID管理の失敗事例と対策

特権ID管理とは?必要性とリスク軽減の戦略を解説

管理者必見!特権ID管理の課題とベストプラクティス

Writer 雫田 貴一
WEEDS SYSTEMSのWebマーケティング担当者。 マーケティングだけでなく、システムの導入からセールスのサポートに至るまで幅広く手掛けています。 情報セキュリティに不安を感じるユーザーの悩みや課題を解決すべく、日々情報発信に努めています。