ランサム被害の8割超が復旧失敗　浮き彫りになったバックアップ運用の欠陥

　ガートナージャパン（以下、ガートナー）は、ランサムウェアへの備えとしてバックアップ戦略の再検討がインフラ対策において差し迫った課題との見解を示した。

【その他の画像】

　インフラストラクチャ／オペレーション領域において事業継続を支える基盤としてデータ保護の位置付けが高まり、障害発生時の復旧手段としてバックアップの実効性が問われている。

●ランサム被害企業の8割超がバックアップから“復旧失敗”

　ランサムウェア被害時におけるデータ保全の観点で、バックアップが最終的な防護線となる。しかしバックアップを導入済みであっても、攻撃を想定した設計や運用が不十分なケースが多い状況にあることが指摘されている。2025年9月公表の警察庁のレポートにおいてランサムウェア被害を受けた企業の中で、バックアップからの復旧に至らなかった割合が85.4％に上ることが明らかにされている。この結果は形式的なバックアップ運用と実際の被害耐性との間に隔たりが存在する可能性を示しているという。

　ガートナーに寄せられるバックアップのランサムウェア対策に関する問い合わせにおいても、自社やグループ会社、取引関係先に被害が及ぶケースが半分程度の割合で報告されており、抽象的な脅威ではなく日常的なリスクとして受け止める必要がある構図が浮き彫りとなっている。

　ガートナーの山本琢磨氏（ディレクターアナリスト）はバックアップそのものが攻撃対象となる点を強調している。従来型のバックアップ手法では暗号化や破壊を受けたバックアップからの復旧が難航する事例が増えている状況に言及しており、データの消失を防ぎつつ速やかな業務再開を可能とする仕組みへのアップデートするように助言している。対策は技術要素だけでなく、保護対象の優先順位付けや復旧能力を定期的に確認する運用プロセス、人材の知識や経験といった側面を含めた全体設計が必要とされている。

　被害発生後の業務回復を支える手段として、検証済みの復旧能力を前提に据えたバックアップ戦略を推奨している。回復力を重視する観点から、イミュータブルストレージの採用やバックアップ取得段階でのランサムウェア検知、適切な復旧時点を見極める機能などの採用を検討すべきとしている。

　ガートナーが2025年に実施した国内調査において、インフラを担うI＆Oチームとセキュリティ・チームの受け止め方に隔たりがあることが明らかにされている。セキュリティ側では感染後の復旧準備が整っていると考える比率は37.3％にとどまるが、I＆O側ではバックアップデータの保護が整っていると受け止める比率は71.8％にも及ぶ。山本氏はこの数値の開きに関して、対策の十分性に関する認識が組織内で共有されていない可能性があるとし、I＆Oリーダーにチーム間の連携を見直すよう提案している。

　ガートナーは対応策として、両チームの連携強化を掲げている。共有目標や関連指標の設定、部門横断での定期的な協議、公式な情報伝達経路の整備、共同トレーニングによる知識共有、継続的な改善につなげるための評価体制の構築など、連携を支える枠組みの整備を求めている。

　加えて、I＆Oチームに対しインフラ分野の基礎的なセキュリティ、クラウド環境の防御、DevSecOps、コードとして管理するインフラに関する理解を深める学習機会の拡充を進言している。