- 2026-05-03
ISACA東京支部基準委員会委員、ITガバナンス協会理事 福田重遠
1. はじめに:ランサムウェア対策の発想の転換
令和7年3月に、警察庁サイバー警察局は、レポート「令和7年におけるサイバー空間をめぐる脅威の情勢等について」を公開し、2025年のランサムウェア被害件数は226件と報告し過去2番目の高水準と報告している。また、ウィルス種別が特定されたケースで多かったのはQilin:32件、LockBit:19件であった。(※)
ランサムウェア対策を論じるうえで最も重要なことは、「攻撃は防げない」という前提に立つことである。従来の情報セキュリティは、境界防御や侵入防止を中心に設計されてきた。しかし、クラウド化、モバイル化、サプライチェーン接続の拡大、そしてAIによる攻撃の高度化により、「侵入を完全に防ぐ」という前提は現実的ではなくなっている。
したがって、ランサムウェア対策の本質は「侵入を防ぐこと」ではなく、「侵入された後に被害の進行をどこまで抑えられるか」という点が重要である。この発想転換はリスク管理における重要なパラダイムシフトであり、防御の設計思想、統制の配置、経営の関与のあり方を根本から変える。
2. 被害の3段階モデル:リスクの進行として捉える
ランサムウェア被害は単一イベントではなく、段階的に進行するプロセスである。これを以下の3段階で捉えることが、管理の出発点となる。
第1段階は「侵入・潜伏」である。ここでは攻撃者はフィッシングや脆弱性を利用して環境に侵入し、認証情報を取得し、足場を確立する。この段階では業務影響は顕在化していないが、重大インシデントの予兆がすでに形成されている。
第2段階は「横展開・支配」である。攻撃者は権限昇格を行い、ネットワーク内を移動しながら複数のシステムを掌握する。Active Directoryの侵害や管理者権限の奪取がこの段階で発生する。ここに至ると、もはや防御は予防ではなく、被害の局所化が中心課題となる。
第3段階は「破壊・恐喝」である。データの暗号化、バックアップの削除、情報の窃取と公開脅迫が実行され、業務停止や財務的・法的影響が顕在化する。この段階はITインシデントではなく、事業継続上の危機である。
この3段階モデルの意義は、リスクを「発生したかどうか」ではなく「どこまで進行したか」で評価できる点にある。これにより、対策の優先順位、投資判断、経営報告が明確になる。
3. 3層防御モデル:信頼の分解と再構築
被害の進行に対抗するためには、防御もまた構造化される必要がある。その中核となるのが、「認証」「認可」「実行」の3層防御である。
認証は「誰がアクセスしているか」を確認するプロセスである。従来はこの段階で信頼が成立していたが、現代では認証情報の窃取が一般化しているため、認証はもはや信頼の根拠にはならなくなっている。
認可は「何ができるか」を制御するプロセスである。ここでは最小権限の原則により、アクセス可能な範囲を制限する。認証が突破された場合でも、この層が機能すれば被害は限定される。
実行は「実際に何が行われているか」を監視・制御するプロセスである。これは従来のモデルには存在しなかった重要な層であり、正規ユーザーによる不正操作を検知・遮断する役割を担う。
この三層の本質は、「信頼を一度で確立するのではなく、分解して継続的に検証する」点にある。
4. 3層防御モデル:各層の技術的な統制
各層に以下の技術的な統制を実装する。
認証の領域では、多要素認証、パスワードレス認証、デバイス認証などにより、認証情報の窃取リスクを低減する。また、セッション管理やトークンの短命化により、認証の継続的検証を実現する。
認可の領域では、最小権限、ワンタイムアクセス、特権アクセス管理などにより、権限の過剰付与を防ぐ。これにより、攻撃者が認証を突破しても、実行可能な範囲を限定する。
実行の領域では、EDRやXDRによる振る舞い検知、アプリケーション制御、セッション監視などにより、異常な操作を検知・遮断する。ここでは「正規操作に見える攻撃」を識別する能力が重要となる。
5. ガバナンス&マネジメント
ランサムウェア対策はIT部門の問題ではなく、経営課題である。したがって、ガバナンスを利かせることが極めて重要である。経営層はリスクアペタイトを定義し、どの段階までの被害を許容するのかを明確にする必要がある。また、特権管理やインシデント対応に関する方針を承認し、組織全体に浸透させる責任を負う。
また、技術だけでは防御は成立しない領域はマネジメントがそれを補強する。 認証に関しては、IDライフサイクル管理、アカウント棚卸し、外部委託先の管理などが必要である。これにより、存在してはならないIDを排除する。
認可に関しては、権限設計の標準化、職務分離、定期的な権限レビュー、特権アクセスの承認プロセスなどが求められる。ここでは「誰にどの権限を与えるか」を組織的に統制する。
実行に関しては、操作ログのレビュー、インシデント対応プロセス、変更管理、復旧計画などが重要となる。特に、異常操作に対する迅速な意思決定と対応能力が問われる。
最後に、監査機能は、三層防御が適切に設計・運用されているかを独立して評価し、改善を促す役割を担う。これにより、統制の実効性が継続的に担保される。
6. 統合モデルの意義:3段階 ×3層 × 2つの視点
ここまで述べた内容は、以下の三つの軸で統合される:
被害の3段階(侵入・支配・破壊)
防御の3層(認証・認可・実行)
2つの視点(ガバナンス・マネジメント)
本モデルにより、ランサムウェア対策は部分最適ではなく、全体最適として設計される。すなわち、各段階・各層・各視点において統制を配置し、相互に補完させることで、単一障害点を排除する。
7. 結論:行為の正当性を問う時代へ
最終的に、ランサムウェア対策の本質は次の一文に集約される。
「ログインの正当性ではなく、行為の正当性を継続的に検証すること」
これは、セキュリティの焦点が「認証」から「行動」へと移行したことを意味する。攻撃者は正規の認証を利用するため、ログインの正当性だけでは安全を保証できない。したがって、アクセス後の行動を継続的に監視し、その正当性を判断し続ける仕組みが不可欠である。
この視点を組織全体で共有し、ガバナンス、マネジメント、テクノロジーを統合して実装することができれば、ランサムウェア攻撃に対しても、被害の進行を制御し、事業継続性を確保することが可能となる。これこそが、現代のITリスク管理におけるランサムウェア対策の本質である。
以上
※参照URL
①インターネットウォッチ
https://internet.watch.impress.co.jp/docs/news/2093301.html?utm_source=copilot.com
②警察庁
https://www.npa.go.jp/publications/statistics/cybersecurity/index.html?utm_source=copilot.com