ランサムウェア対策の手順と実践ガイド|中小企業が優先すべき7つの施策【2026年版】
Check!
- ランサムウェア対策の基本手順と優先順位がわかる
- 公的データに基づく最新被害動向と感染経路を解説
- 失敗パターン3つと法務確認事項で導入前に備える
「ランサムウェアの対策って、何から始めればいいの?」——そう感じている情報システム担当者や経営者は少なくありません。IPAの「情報セキュリティ10大脅威2026」では、ランサム攻撃による被害が11年連続で組織向け脅威の第1位を記録しています。警察庁の公表データによると、令和6年の国内ランサムウェア被害報告件数は222件に上り、そのうち約63%が中小企業という現実があります。被害を受けた企業の49%が復旧に1か月以上を要し、50%が1,000万円以上の費用を負担したという調査結果もあります(警察庁「令和6年におけるサイバー空間をめぐる脅威の情勢等について」2025年3月)。対策の本質は「感染を防ぐ侵入前フェーズ」「異常を検知する侵入後フェーズ」「業務を継続する復旧フェーズ」の3段階に分けて体系的に取り組むことです。本記事では、個人事業主・中小企業・中堅企業のいずれの規模でも実践できる具体的なランサムウェア対策の手順を、公的データに基づいて解説します。
おすすめ記事
目次
開く
閉じる
開く
閉じる
- ランサムウェアとは何か・2026年時点の最新手口
- ランサムウェアの被害状況と中小企業が狙われる理由
- ランサムウェアの感染経路とフェーズ別対策の全体像
- ステップ1:侵入前の予防対策(最優先で取り組むこと)
- ステップ2:侵入後の検知・拡大防止対策
- ステップ3:バックアップ対策と復旧体制の整備
- 中小企業が優先して取り組む対策のロードマップ
- 業種・規模別のランサムウェア対策ポイント(中小企業向け)
- ランサムウェアに関連する法務・コンプライアンスの確認事項
- ランサムウェア対策でよくある失敗パターン3つと回避策
- 感染が発覚した際の初動対応チェックリスト
- よくある質問(FAQ)
- まとめ:ランサムウェア対策は「予防・検知・復旧」の3段階で
ランサムウェアとは何か・2026年時点の最新手口
ランサムウェアとは、感染したPCやサーバーのファイルを暗号化し、復号の対価として金銭を要求するマルウェアの総称です。2026年時点では「二重脅迫(ダブルエクストーション)」が主流となり、データ暗号化に加えて情報公開の脅迫も同時に行われます。 IPAの「情報セキュリティ10大脅威2026」では組織向け脅威の第1位に位置し、2025年の国内でも大手通販企業が約72万件の顧客情報を含む業務情報を流出させた事例など深刻な被害が続いています(IPA「情報セキュリティ10大脅威2026解説書〔組織編〕」2026年3月)。
近年注目されているのが「ノーウェアランサム」です。データを暗号化せずに窃取し、情報公開を脅迫材料に金銭を要求する手口で、令和6年中に22件が確認されています。業務が止まらないため発覚が遅れやすく、気づいたときには重要データが外部に流出済みというケースもあります。また、RaaS(Ransomware as a Service)の普及により、技術的知識が乏しい攻撃者でも高度なランサムウェア攻撃を実行できる環境が整っており、攻撃の裾野が年々広がっています。
ランサムウェアの被害状況と中小企業が狙われる理由
警察庁の統計では令和6年(2024年)の国内ランサムウェア被害報告件数は222件で、そのうち中小企業が約63%を占めています。令和7年(2025年)の被害報告件数は226件と引き続き高水準で推移しており、中小企業が依然として被害の中心です。(警察庁「令和7年におけるサイバー空間をめぐる脅威の情勢等について」2026年3月)
| 規模 | 被害件数(令和6年) | 前年比 |
|---|---|---|
| 大企業 | 61件 | 減少傾向 |
| 中小企業 | 140件(約63%) | 37%増加 |
| 合計 | 222件 | 高水準継続 |
中小企業が狙われる主な理由は3つあります。第一に、セキュリティ専任担当者がいない・予算が限られている企業が多く「侵入しやすい標的」と認識されているためです。第二に、大企業のサプライチェーンの一部を担う中小企業が「踏み台」として狙われるケースが増加しています。第三に、攻撃者はRaaSを活用して効率的に攻撃対象を選別しており、脆弱性のある企業は規模に関わらず被害に遭います。業種別では製造業が最も多く、次いで卸売・小売業、サービス業と続きますが、特定業種に限らずあらゆる企業がリスクにさらされています。
ランサムウェアの感染経路とフェーズ別対策の全体像
警察庁の調査によると、感染経路の約55%がVPN機器の脆弱性・設定不備、約31%がリモートデスクトップ(RDP)経由です。この2経路で全体の86%を占めます。 メール添付ファイルによる感染はわずか2%に過ぎず、「メール対策だけで安心」という認識は既に実態にそぐわないものになっています。効果的な対策は「侵入前・侵入後・復旧」の3フェーズに分けて体系的に取り組むことが重要です。
ステップ1:侵入前の予防対策(最優先で取り組むこと)
侵入前の予防対策は、最もコスト効果が高く、中小企業でも今すぐ取り組める施策が揃っています。感染経路の86%を占めるVPN・RDPへの対策から着手することが合理的です。 経産省・IPAが2026年3月に公表した「中小企業の情報セキュリティ対策ガイドライン第4.0版」では、ランサムウェア被害の拡大を踏まえ、バックアップの取得を基本6項目に追加するなど内容が強化されています(経済産業省・IPA「中小企業の情報セキュリティ対策ガイドライン第4.0版」2026年3月)。
VPN機器・リモートデスクトップの管理:VPN機器はメーカーが公開するセキュリティパッチを速やかに適用し、サポート期限が切れた旧機器は必ず新機種に交換します。リモートデスクトップ(RDP)は業務上必要最小限のポートのみ公開し、インターネットからの直接接続は原則禁止にするのが基本です。社外からのアクセスにはVPN経由を必須とし、RDP自体へのVPNなしの直接接続は遮断します。
多要素認証(MFA)の導入:パスワード単体での認証では、フィッシングや情報漏えいでID・パスワードが奪われた際に侵入を許してしまいます。VPN接続・クラウドサービス・メールシステムには優先的にMFAを適用します。スマートフォンの認証アプリを使ったTOTP(時刻ベースワンタイムパスワード)は、多くの環境で無料または低コストで導入できます。
OSとソフトウェアのアップデート管理:ランサムウェアの多くは既知の脆弱性を悪用して侵入します。Windowsの自動更新を有効にし、業務で使用するソフトウェアも定期的にアップデートします。複数台の端末がある環境では端末管理ツール(MDM・EPP等)を活用し、未更新端末の把握と一元管理を行います。
従業員へのセキュリティ教育:不審なメールの添付ファイルや外部URLへのアクセスは、侵入の入り口となります。定期的にフィッシングメール訓練を実施し、「不審に感じたら必ず確認する」というルールを組織文化として定着させましょう。特に経営者・経理担当者を標的にした標的型攻撃(ビジネスメール詐欺)の手口を共有することが重要です。
アクセス権限の最小化:業務に必要なファイルやシステムへのアクセス権限を、必要最小限に絞ります。すべての従業員が管理者権限でログインしている状態は、ランサムウェアに感染した際の被害範囲を最大化します。役職・業務別に権限を区分し、退職者・異動者のアカウントを速やかに削除・変更する運用ルールを設けます。
ステップ2:侵入後の検知・拡大防止対策
侵入前の対策を講じていても、100%の侵入阻止は困難です。侵入後の対策は「感染に気づくこと」と「被害の拡大を止めること」の2点に集約されます。 ランサムウェアは侵入から暗号化実行まで数日〜数か月の潜伏期間があるため、この間に異常を検知できれば被害を最小化できます。
EDR(エンドポイント検知・対応)の導入:従来のウイルス対策ソフト(シグネチャベース)では未知のランサムウェアを防ぎきれません。EDRは端末の異常な挙動をリアルタイムで検知し、感染の初期段階でアラートを出す機能を持ちます。中小企業向けにはEDRとSOC(監視)がセットになった「サイバーセキュリティお助け隊サービス」(IPA認定)があり、補助金の活用も可能です。
ログの取得と適切な保管:ランサムウェア被害の調査・復旧に際してログが保存されていない場合、被害範囲の特定や再発防止策の策定が困難になります。警察庁の報告でも、ログの必要性が特に指摘されています。VPN機器・サーバー・重要端末のアクセスログを最低3か月以上保管し、外部ストレージにも保存しておくことが推奨されます。
ネットワークの分離(セグメンテーション):業務用ネットワーク・管理用ネットワーク・来客用Wi-Fiを分離することで、1台が感染しても他のシステムへの横方向の拡散を防ぐことができます。基幹業務システム・会計システム・顧客情報データベースは、一般業務端末と分離したネットワークセグメントに置くのが理想的です。
インシデント対応手順書の事前整備:感染が発覚した直後の初動対応を誤ると、被害が拡大します。「感染が疑われる端末をネットワークから切断する」「電源は落とさず保持する(フォレンジック調査のため)」「警察・IPAのセキュリティ相談窓口に連絡する」という3点を初動として手順書に明記し、担当者が事前に把握しておく必要があります。
ステップ3:バックアップ対策と復旧体制の整備
バックアップがあっても安心できない——これがランサムウェア対策の最大の盲点です。警察庁のデータでは、バックアップを取得していた企業でも、復元可能だったのはわずか20%程度にとどまりました。バックアップまで暗号化されたケースが67%、運用不備が24%を占めていました。(警察庁「令和6年上半期におけるサイバー空間をめぐる脅威の情勢等について」)
重要なのは「定期的に復元テストを行うこと」です。バックアップが存在しても、テストせずに本番で初めて復元を試みると手順の不備や環境の変化で失敗するケースがあります。月1回程度の復元確認を習慣化し、実際に業務データが復旧できることを確認しておきます。クラウドストレージを利用する場合はイミュータブル(変更不可・削除不可)設定を有効にすることで、ランサムウェアによるバックアップの暗号化・削除を防ぐことができます。
中小企業が優先して取り組む対策のロードマップ
限られたリソースで最大の効果を得るためには、優先順位をつけた段階的な取り組みが有効です。IPA認定の「SECURITY ACTION」の枠組みを参考に、実施しやすいものから確実に進めることが重要です。
| 優先度 | 対策内容 | コスト目安 |
|---|---|---|
| ★★★ 最優先 | VPN機器のパッチ適用・更新/MFA導入(社外アクセス) | 無料〜月数千円 |
| ★★★ 最優先 | オフラインバックアップの整備(3-2-1ルール) | 外付けHDD1〜3万円 |
| ★★ 高優先 | OS・ソフトウェアの自動更新設定 | 無料 |
| ★★ 高優先 | 従業員セキュリティ教育(年1〜2回) | 無料〜数万円 |
| ★ 中優先 | EDR導入(サイバーセキュリティお助け隊サービス等) | 月1〜5万円 |
| ★ 中優先 | インシデント対応手順書の作成・訓練 | 無料(IPA雛形あり) |
補助金の活用も検討に値します。「IT導入補助金」はセキュリティソフトの導入費用の一部を補助しており、「サイバーセキュリティお助け隊サービス」の利用に対しても補助が受けられる場合があります。ただし補助金情報は年度ごとに変更されるため、中小企業庁や都道府県の公式サイトで最新情報を必ず確認してください(取得日時点の情報であり、最新の公募状況は公式サイトを参照のこと)。
業種・規模別のランサムウェア対策ポイント(中小企業向け)
被害が最も多い製造業をはじめ、業種ごとに狙われやすいシステムや対策の重点が異なります。自社の業種・業態に合わせた優先対策を把握することが実効性を高めます。
製造業:生産管理システム・PLCとオフィスネットワークが接続している環境は特に脆弱です。OT(製造現場)とIT(オフィス)ネットワークの物理的・論理的分離が最優先です。生産ラインの停止は直接的な売上損失に直結するため、工場側のインシデント対応手順書の整備が急務です。取引先の大企業からセキュリティ確認を求められるケースも増えており、SECURITY ACTION一つ星・二つ星の宣言取得も対取引先対応として有効です。
卸売・小売業:ECサイト・受発注システム・POSシステムが主な標的となります。顧客の個人情報・クレジットカード情報を保有していることが多く、個人情報保護法に基づく漏えい報告義務(1,000件以上の場合)も考慮した対策が必要です。クラウド型の受発注・在庫管理システムを利用している場合は、SaaS事業者側のセキュリティ対策状況の確認も重要です。
サービス業・士業・医療:患者情報・顧客情報・法的書類などの機密性の高いデータを保有しているため、攻撃者から見て「身代金を払いやすい標的」として認識されています。医療機関の場合は「医療情報システムの安全管理に関するガイドライン第6.0版」(厚生労働省)への対応が義務付けられており、ランサムウェア対策はコンプライアンスとも直結します。
ランサムウェアに関連する法務・コンプライアンスの確認事項
ランサムウェア被害は、技術的な問題にとどまらず法的・コンプライアンス上の義務も発生します。事前に確認しておくべき主要な法規制は以下の3点です。
個人情報保護法(個情法):個人情報の漏えいが確認または疑われる場合、個人情報保護委員会への報告義務(速報:3〜5日以内、確報:30日以内)と本人への通知義務が生じます。ランサムウェアによるデータ窃取(二重脅迫型・ノーウェアランサム)は「漏えい等」に該当するため、個人情報を取り扱う企業は必ず把握しておく必要があります(個人情報保護委員会ガイドライン「通則編」)。
不正アクセス禁止法:ランサムウェア被害は不正アクセス禁止法(2000年施行)の被害者として警察への届出ができます。被害届の提出は任意ですが、警察庁の捜査支援や情報提供を受けるためにも、被害が確認された際は都道府県警察のサイバー犯罪相談窓口への相談を検討します。
サイバーセキュリティ基本法:2015年に施行されたサイバーセキュリティ基本法では、サイバーセキュリティに関する施策の基本理念や国・自治体・重要インフラ事業者等の責務が規定されています。上場企業・大規模事業者は有価証券報告書等でのサイバーセキュリティに関するリスク開示も求められており、対策状況の文書化・ガバナンス強化が経営課題となっています。なお、身代金支払いに関して日本では現時点で法的制限はありませんが、支払っても復号されない事例も多く、警察・法律専門家への相談なしに独断で支払いを決定すべきではありません。
ランサムウェア対策でよくある失敗パターン3つと回避策
対策を講じているつもりでも、運用上の落とし穴にはまって実際には無防備に近い状態になっているケースが少なくありません。特に多い失敗パターン3つと、その回避策を整理します。
失敗パターン①のバックアップ問題は特に深刻で、警察庁のデータでは「バックアップも暗号化された」が復元不可の理由の67%を占めています。失敗パターン②は感染経路の実態を知らないことで起こります。メール対策に注力してVPN管理を後回しにするケースが典型例です。失敗パターン③は「対策済み」の安心感がインシデント対応の準備を疎かにさせる心理的バイアスから生じます。対策の導入と運用体制の整備は、常にセットで考えることが不可欠です。
感染が発覚した際の初動対応チェックリスト
ランサムウェアの感染が疑われる状況では、最初の数時間の対応が被害の大小を左右します。以下の初動手順を事前に把握し、チームで共有しておきます。
① 感染端末をすぐにネットワークから切断する:LAN ケーブルを抜く、またはWi-Fi を無効にします。感染が確認された端末が社内ネットワークに接続し続けることで、他の端末への感染拡大が起こります。ただし電源は落とさないことが重要です。電源を落とすとメモリ上の証拠(実行中のプロセス・暗号化鍵の断片等)が失われ、フォレンジック調査が困難になります。
② 感染範囲を確認する:他の端末やサーバーで同様のファイル暗号化が起きていないかを確認します。ネットワーク管理者がいる場合は、ネットワーク監視ログを参照して感染した可能性のある端末を特定します。この段階で独断で対処しようとせず、専門家への相談を早期に開始することが重要です。
③ 警察・専門機関に相談する:都道府県警察のサイバー犯罪相談窓口への届出、またはIPAの「情報セキュリティ安心相談窓口」(IPA安心相談窓口)への相談を検討します。身代金の支払いについては、警察・弁護士・セキュリティ専門家に相談した上で判断します。支払っても復号できない、または再被害に遭うケースが多く報告されているため、安易な支払い決定は避けるべきです。
④ 証拠保全と記録:画面のスクリーンショット、脅迫メッセージの記録、異常が発生した時刻のログなどを保全します。これらはフォレンジック調査・警察への届出・保険請求・再発防止策の策定に必要となります。
よくある質問(FAQ)
Q1. ランサムウェアに感染したら身代金を払った方がいいですか?
A. 身代金を支払っても復号されない事例、または支払い後に再度脅迫される事例が多数報告されています。支払いは問題解決を保証せず、攻撃者へ資金を提供することにもなります。まずは警察(都道府県警察サイバー犯罪相談窓口)・法律専門家・セキュリティ専門業者に相談し、支払いの有無は専門家の意見を聞いた上で判断することが重要です。独断で決定すべきではありません。
Q2. ランサムウェア対策でまず何から始めるべきですか?
A. 最優先は「VPN機器・リモートデスクトップへの多要素認証導入」と「オフラインバックアップの整備(3-2-1ルール)」の2点です。感染経路の86%がVPN・RDP経由であり、バックアップが暗号化されていれば復旧が不可能になるためです。いずれも比較的低コストで取り組めます。IPA「中小企業の情報セキュリティ対策ガイドライン第4.0版」(無料)を参考に、SECURITY ACTION一つ星の取り組みから着手するのが実践的です。
Q3. クラウドを使っていればランサムウェアの心配はないですか?
A. クラウドを使っていても安全ではありません。クラウドサービスへのアカウント(ID・パスワード)が奪われれば、クラウド上のデータも暗号化・削除される可能性があります。クラウドサービスへのアクセスにも多要素認証を設定すること、クラウドストレージのバージョン管理・削除保護(イミュータブル設定)を有効にすること、SaaS事業者のセキュリティ対策状況を確認することが必要です。
Q4. ランサムウェア対策にはどのくらいの費用がかかりますか?
A. 基本的な対策は低コストで開始できます。MFAは多くのサービスで無料・月数百円程度で利用可能です。オフラインバックアップ用の外付けHDDは1〜3万円程度です。EDR・SOCを含むサイバーセキュリティお助け隊サービスは月1〜5万円程度が多く、IT導入補助金の活用で自己負担を軽減できます。一方、被害を受けた場合の復旧費用は1,000万円以上に達するケースが50%(2024年警察庁調査)であり、「対策費用vs被害コスト」で考えると予防投資の合理性は明確です。
Q5. バックアップがあれば大丈夫ですか?
A. バックアップの存在だけでは不十分です。警察庁のデータでは、バックアップを取得していた企業の80%以上が実際には復元できませんでした。「バックアップも暗号化された」(67%)・「運用不備」(24%)が主な理由です。重要なのは、①オフライン・イミュータブル環境への保管、②定期的な復元テストの実施、③3-2-1ルールの遵守の3点です。バックアップは「取っている」ではなく「復元できる」状態を維持することが目標です。
まとめ:ランサムウェア対策は「予防・検知・復旧」の3段階で
ランサムウェア対策の核心は、感染経路の遮断(侵入前)・異常の早期検知(侵入後)・バックアップによる復旧体制(レジリエンス)の3段階を体系的に整備することです。IPAの「情報セキュリティ10大脅威2026」で11年連続1位のランサム攻撃は、中小企業でも被害の6割以上を占めており、「自社には関係ない」という認識はすでに通じません。
- VPN機器のパッチ適用・更新とMFAの導入を最優先で実施する
- 3-2-1ルールに基づくオフライン・イミュータブルバックアップを整備し、定期的に復元テストを実施する
- インシデント対応手順書を作成し、担当者が初動対応を事前に把握しておく
対策は一度設定して終わりではなく、VPN機器のパッチ適用・パスワードの定期変更・従業員教育を継続的に実施することが重要です。攻撃手法は年々進化しており、IPAや警察庁の最新情報を定期的にチェックし、対策を見直す習慣を組織文化として定着させましょう。セキュリティは「コスト」ではなく「事業継続の投資」という視点を持つことが、経営者・担当者双方に求められます。
参考文献
- IPA(独立行政法人情報処理推進機構)「情報セキュリティ10大脅威2026 解説書〔組織編〕」2026年3月、https://www.ipa.go.jp/security/10threats/10threats2026.html(2026年6月23日取得)
- 警察庁サイバー警察局「令和6年におけるサイバー空間をめぐる脅威の情勢等について」2025年3月、https://www.npa.go.jp/publications/statistics/cybersecurity/data/(2026年6月23日取得)
- 経済産業省・IPA「中小企業の情報セキュリティ対策ガイドライン第4.0版」2026年3月27日、https://www.meti.go.jp/press/2025/03/20260327002/20260327002.html(2026年6月23日取得)
- 警察庁サイバー警察局「令和7年におけるサイバー空間をめぐる脅威の情勢等について」2026年3月、https://www.npa.go.jp/hakusyo/r07/honbun/html/bb3313000.html(2026年6月23日取得)
この記事に興味を持った方におすすめ
