東洋紡がパロアルトネットワークスと進める「プラットフォーム化」という突破口
身代金要求攻撃の被害額は「1社平均6.4億円」 それでも6割超が「支払いを否定しきれない」苦境
2026年04月20日 08時00分更新
被害組織の6割超が「身代金の支払い」を否定しきれない苦境
こうした身代金要求型攻撃の深刻化は、たびたび議論が発生する「身代金を支払うべきかどうか」の方針にも影響を与える。
この問題では、外為法(外国為替及び外国貿易法)への抵触リスク、およびシステム復旧の確証がないことから「払うべきではない」という専門家の意見が多い。しかし、パロアルトネットワークスは、顧客のビジネスディシジョンに委ねる方針だという。染谷氏は「それだけ難しい問題」だと語る。
調査では、身代金を「支払わない」方針が44%で最多となった。ただ、身代金要求型被害に遭った組織は、「その状況にならないとわからない(49%)」と「支払うことはやむを得ない(16%)」という回答があわせて65%となり、非要求型の被害組織(計35%)と比べて大きな差が生まれている。
「これは、復旧に莫大なコストや工数を要する実情を表している。だからこそバックアップを重視する組織も少なくないが、まずは被害を未遂で終わらせる対策に注力することが重要」(染谷氏)
身代金支払いの方針
実際に、実施済み・検討中の技術的対策をみると、ネットワーク・サーバー・エンドポイントのセキュリティ強化やセキュリティ監視・バックアップの体制構築といった「防御・検知」領域の対策は進んでいる。一方で、リスク面の削減やアイデンティティ保護、被害の拡大防止のための対策は遅れている。染谷氏は、「インシデントの発生を想定した“実効性”の観点では、被害を最小限に抑える具体策への投資の遅れが課題」だと強調する。
実施済み・検討中のランサムウェアへの技術的対策
組織的対策でも同様の傾向だ。勉強会や取引先とのサイバー条項の整備、サイバー保険といった対策に比べ、BCPやステークホルダーへの報告整備、インシデント演習、インシデント対応支援サービスの契約といった事故の発生を見据えた対策が進んでいない。
実施済み・検討中のランサムウェアへの組織的対策
セキュリティ投資の「位置付け」と投資を抑える「プラットフォーム化」の現状
最後に紹介されたのが「セキュリティ投資」と「Platformization」についてだ。
調査では、IT投資におけるセキュリティ投資の割合は、「平均15%」という結果となった。染谷氏は「一桁だった時代を考えると、前向きに評価できる」と述べる一方で、「セキュリティをIT投資と見なすべきかは再考すべき。セキュリティはマイナスを最小限に抑えるための投資であり、プラスを生み出すIT投資とは切り離すべきでは」と提言する。
そして、こうしたセキュリティ投資を最適化する手段のひとつが、個別のセキュリティ製品を統合する「Platformization」だ。調査では、88%のセキュリティ責任者が、同アプローチの必要性を認めており、2024年調査の55%から大幅な伸びを見せた。「セキュリティ製品が乱立して、運用が回らず、コストも膨れ上がる一方で、肝心のセキュリティ強度は上がっていない。こうした課題を持つ企業が増えているのではないか」(染谷氏)
実際に、Platformizationに期待する効果として、上位の「運用・外部委託コストの最適化(50%)」「ライセンスコストの最適化(49%)」に続くのが、「インシデント対応力の強化(44%)」「脅威検出力の強化(42%)」であり、コストと実効性を両立するアプローチとして期待が寄せられている。
Platformizationに期待すること
一方で、懸念として残るのがベンダーロックインの問題だ。ただ、Platformizationの必要性を認める回答者に懸念事項を聞くと、「既存製品のバラバラな契約満了時期」や「移行に伴う工数」といった実務的な課題が上位に挙がり、ベンダーロックインは19%にとどまった。「それだけ、ツールの乱立による問題が表面化している」(染谷氏)状態が見てとれるという。
Platformizationに対する懸念点
これらの調査結果を踏まえて染谷氏は、ビジネスインパクトを想定した「説明責任」を果たせる運用方針や体制整備を強く訴える。そして、「責任分解点」を明確化する意味でも、内製化と外部委託の切り分けや社内に点在する担当者の責任や権限の明確化など、セキュリティに対する向き合い方を見直すフェーズに来ていると強調した。
本記事はアフィリエイトプログラムによる収益を得ている場合があります
