パロアルトネットワークスが2026年5月23日に公開した「State of Cybersecurity Japan 2026」は、国内のランサムウェア被害が「平均6.4億円・事業停滞54日」という、もはや一度の被害で経営継続が危ぶまれる水準に達していることを実測値で示しました。同社が国内民間企業・公共機関752社を対象に行った調査は、攻撃を受けた組織のうちランサム要求型では非ランサム事案の1.5倍の期間、業務が止まったままになる実態を明らかにしています。
本稿は攻撃者視点で「なぜ54日も止まるのか」を分解し、特に中小企業の情シス・セキュリティ担当者が今週から手をつけるべき検知・封じ込め・復旧設計を、SOC/EDR/SIEM運用の現場目線で整理します。「攻撃を受けない方法」ではなく「受けても54日にしない方法」が本記事の主題です。
パロアルト「State of Cybersecurity Japan 2026」が示した3つの実測値
まず公開されたばかりの数字を、防御側がそのまま使える形に整理します。出典はパロアルトネットワークスの公式調査と、ITmedia エンタープライズが2026年5月23日に報じた一次記事です。
1. 平均被害6.4億円 ― 通常事案の2.2倍
752社調査のうち、ランサムウェア攻撃を受けた組織の平均被害総額は6.4億円。これは身代金そのものではなく、調査費用・復旧費用・売上機会損失・取引先補償までを含めた総コストです。同じレポートでは、ランサム以外のセキュリティインシデントの平均損失額は3.9億円とされ、ランサム被害はこれの約2.2倍に膨らみます。
差額の2.5億円は何に消えているのか。現場感覚で内訳を分解すると、暗号化されたデータの復号支援・フォレンジック調査・取引先への状況説明・本番系の段階的再構築といった「事業停滞期間中の固定費」が大半を占めます。要するに、攻撃の致命傷は「身代金を払うか払わないか」ではなく「何日止まるか」で決まる、という構図です。
2. 事業停滞54日 ― 非ランサム事案の1.5倍
同調査でランサム被害組織の平均業務停滞は54日。非ランサム事案の停滞日数の約1.5倍に長期化しています。54日という数字は、月単純計算でほぼ2か月。中小企業がこの期間まったく売上を立てられない事態は、現実的に資金繰りが破綻する水準です。
停滞が長期化する主因は、被害範囲の特定遅れと、復元先となる「クリーンなバックアップ」の確認不足です。攻撃者は侵入後、即時に暗号化を始めず数週間~数か月にわたって滞留し、その間に取得されたバックアップにもマルウェアの足跡を残します。結果、安全に戻せる時点が想定より過去にしか存在しない、というケースが頻発しています。
3. ベンダー集約の必要性 ― 88%が「製品が多すぎる」
もう一つ重要な変化が、セキュリティ製品の集約志向です。2024年調査では「セキュリティベンダー・製品の削減・最適化が必要」と回答した企業は55%でしたが、2026年は88%まで急増しています。
これは予算削減の話というより、運用負荷の限界の話です。EDR・SIEM・SOAR・脅威インテリジェンス・メールセキュリティ・WAFをそれぞれ別ベンダーで導入した結果、アラートのサイロ化が起き、ランサム侵入の予兆を見逃す。集約は「ツールを減らす」ではなく「検知から対応までを1つの相関分析で見る」運用設計の問題として捉えるべきです。
なぜ54日も止まるのか ― 攻撃キルチェーンと停滞要因のマッピング
ランサムウェア攻撃を防御側が時系列で追うと、初期侵入から暗号化開始までの「滞留期間」が現代の攻撃の中核です。MITRE ATT&CKのキルチェーンに沿って、停滞54日の内訳が見えてきます。
初期侵入(Initial Access) ― VPN・RDP・フィッシング
2026年時点の国内ランサム侵入経路は、依然としてVPN機器の脆弱性悪用とRDPブルートフォース、そして標的型フィッシングが3大ルートです。特に2024年以降、FortiOS・PAN-OS・Ivanti Connect SecureなどのEdge機器の認証回避脆弱性が連続して悪用されており、パッチ適用前後の数日間で侵入されるケースが目立ちます。
防御側が押さえるべきは、Edge機器のCVE公開から24時間以内のパッチ適用ローテーション、そして適用が間に合わない場合の「該当機器の外部公開を一時停止する」判断ラインです。CISO決裁を待つと間に合わないため、CSIRTレベルで即時実施できる権限委譲が運用設計の鍵になります。
滞留・横展開(Lateral Movement) ― 平均30日以上の潜伏
侵入後、攻撃者は即座に暗号化を始めません。Active Directoryのドメイン管理者権限の奪取、バックアップサーバーへのアクセス権取得、業務システムの依存関係の把握といった「事前準備」に数週間を費やします。この期間が長いほど、被害範囲は広がります。
横展開の検知ポイントはPowerShellの異常実行、Mimikatzなどの認証情報窃取ツールの痕跡、SMB経由の大量ファイル走査などです。EDRのプロセスツリーとADの認証ログ、ファイルサーバーのアクセスログをSIEMで相関させると、攻撃者の「足跡」が浮かび上がります。
PR
ランサムウェア対策 実践ガイド(田中啓介・山重徹/マイナビ出版)
標的型ランサムウェア攻撃の概要・攻撃手法・実践的対策・セキュリティ監視・インシデント対応の5章構成で、本記事で触れた「54日停滞を短縮する運用設計」を体系的に学べる一冊。中小企業の情シス・セキュリティ担当者が自社の対策レベルを点検する基礎として手元に置く価値があります。
暗号化・データ持ち出し(Exfiltration & Impact) ― 二重恐喝の常態化
2026年時点では、暗号化だけでなくデータ窃取を併用する「二重恐喝型」が主流です。攻撃者は復号鍵の身代金とは別に、盗み出したデータの公開停止料を要求します。バックアップから復旧できても、データが闇市場に流れるリスクは残るため、防御の評価軸が「復旧可能か」から「漏洩を最小化できたか」へシフトしています。
「54日」を「7日」に縮める ― 中小企業向け検知・封じ込め設計
ここからは現場の運用設計です。大企業のような24時間SOCを持てない中小企業でも、検知・封じ込め・復旧の3層を最小構成で組めば、停滞期間は現実的に1週間程度まで短縮できます。
検知層 ― EDRとSIEMの最小構成
中小企業がまず導入すべきはEDR(Endpoint Detection and Response)です。アンチウイルスと違い、EDRは「マルウェアそのもの」ではなく「マルウェアが起こす挙動」を見ます。PowerShellの暗号化コマンド、レジストリ改ざん、認証情報の異常アクセスなど、攻撃の「兆候」をログ化できることが価値の本質です。
SIEMはEDRが出すアラートと、AD・VPN・メールゲートウェイのログを相関分析する基盤です。中小規模では、フルマネージドのMDR(Managed Detection and Response)サービスを組み合わせ、24時間監視を外部委託する選択肢が現実的です。自前SOCの構築は人材と予算の両面でハードルが高いため、「検知の目」だけ外部の専門組織に持たせる発想です。
封じ込め層 ― ネットワーク分離と権限最小化
侵入を完全に防げない前提で組むのが、ゼロトラスト的な封じ込め設計です。具体的にはVLAN分離による業務系・基幹系・バックアップ系の論理的分割、Active Directoryの管理者権限の最小化、特権ID管理ソリューションの導入です。
特に効くのが「バックアップサーバーへのアクセスを通常運用権限から完全分離する」ことです。攻撃者がドメイン管理者を奪っても、バックアップ系には別認証情報でしか入れない設計にしておけば、バックアップの暗号化を防げる確率が大きく上がります。
復旧層 ― 3-2-1-1-0ルールの実装
従来の「3-2-1ルール(データ3部・媒体2種・1部はオフサイト)」は、現代のランサム攻撃には不十分です。2026年時点で推奨されるのは「3-2-1-1-0ルール」で、新たに加わるのが「1部は改竄不能(イミュータブル)」と「リストアテスト0エラー」の2要件です。
イミュータブルバックアップはS3 Object Lockやテープライブラリで実装でき、攻撃者が管理者権限を奪っても上書き・削除できません。リストアテストは「バックアップが取れている」と「本当に復元できる」の差を埋める運用テストで、月次で実機リストアまで通すことが望ましい運用です。
業界別の優先度 ― あなたの業界はどう動くべきか
パロアルトの調査と過去のJPCERT/CC公開情報から、業界別の攻撃傾向と優先対策をマッピングします。中小企業でも業界によって攻撃者の関心度が違うため、対策の優先順位を絞り込むことが現実的です。
| 業界 | 主要な攻撃面 | 最優先対策 | 想定停滞日数の目安 |
|---|---|---|---|
| 製造業 | OT/ICS系、VPN、サプライチェーン | IT/OT分離、Edge機器パッチ、取引先評価 | 30~60日 |
| 医療・介護 | 電子カルテ、リモートメンテ回線 | ベンダー保守経路の認証強化、EDR導入 | 40~90日 |
| 建設・不動産 | 共有ファイルサーバー、メール添付 | サンドボックス導入、共有権限見直し | 20~50日 |
| 士業・専門サービス | クライアント文書、メール経由 | MFA徹底、メールゲートウェイ強化 | 15~40日 |
| 小売・EC | POS、ECサイト、決済系 | WAF、決済系分離、ログ監視 | 10~30日 |
表の「想定停滞日数」は過去報道の事例平均で、業界固有の依存システム(電子カルテ・基幹会計・ECプラットフォーム等)の復旧難度を反映しています。医療・介護の停滞日数が長いのは、電子カルテベンダー1社に依存しているケースが多く、復旧支援が逼迫するためです。
SOC/EDR/SIEM運用 ― 内製と外注の判断軸
「54日を7日に縮める」と書きましたが、これは検知から復旧までを24時間体制で回せる前提です。中小企業でこの体制を内製するのは現実的でないため、外部MDRサービスとの組み合わせが必要です。判断軸を整理します。
内製で組むべき領域
内製で持つべきは「自社の業務理解が必要な領域」です。具体的には、平時の業務トラフィック・通常のアクセスパターン・取引先との通信特性です。これらは外部ベンダーには把握しきれないため、社内のIT担当者が運用に絡む必要があります。
また、インシデント発生時の経営判断(取引先への通知範囲・公表タイミング・身代金交渉の方針)は内製マターです。外部に任せると、判断遅延がそのまま停滞期間の延長になります。
外注すべき領域
外注に向くのは「24時間化が必要な領域」と「専門人材が確保できない領域」です。SOC運用・脅威インテリジェンス・フォレンジック調査は、いずれも中小企業が単独で人を抱えるのは非現実的です。MDRサービスや、IPAの「サイバーセキュリティお助け隊サービス」のような中小向け公的支援を併用する設計が合理的です。
ハイブリッド型の運用設計
現実解は、検知・初動はMDRに、判断・復旧計画は自社に、という分業です。MDRが24時間検知し、深夜のアラートで自社IT担当者を起こす設計にしておけば、停滞期間を大きく圧縮できます。「人を雇う」ではなく「ベンダーの夜間担当を借りる」という発想です。
経営層への説明 ― 「セキュリティ投資の15%」をどう正当化するか
パロアルト調査では、国内企業のセキュリティ予算は2026年時点でIT投資の平均15%、そして75%の企業が次年度の予算増額を計画していると報告されています。経営層への説明資料に使える数字です。
ただし「業界平均だから当社も15%」という説明は弱いため、自社の業務停滞コスト(売上÷営業日数×想定停滞日数)と、ランサム被害平均6.4億円を並べたリスク評価ベースの提案が説得力を持ちます。「54日止まったら自社はいくら失うか」を数値化することが、セキュリティ投資の最初のステップです。
今週から始める実務チェックリスト
本記事のまとめとして、中小企業の情シス担当者が今週から1か月で着手できる項目を、優先度順に整理します。
・Edge機器のCVE適用状況棚卸し: VPN・FW・リモートアクセス機器のファームウェア最終更新日を一覧化
・Active Directoryの特権アカウント棚卸し: Domain Admins / Enterprise Admins の所属ユーザーをすべて確認、不要な権限を即時剥奪
・バックアップのリストアテスト: 直近のバックアップから本番相当環境への復元を実機で実施、所要時間を計測
・EDR導入またはMDR契約の検討: アンチウイルスのみの体制ならEDRに移行、自社SOCがないならMDR契約を比較
・インシデント対応フローの文書化: 発見→隔離→経営報告→取引先通知→復旧の各ステップで「誰が何を判断するか」を明文化
・取引先評価の開始: 重要取引先のセキュリティ対策水準を質問票で確認、サプライチェーン経由の侵入を抑制
・サイバー保険の条件確認: 既加入なら補償範囲とランサム対応条項を見直し、未加入なら見積もりを取得
PR
ISO/IEC 27001情報セキュリティマネジメントシステム(ISMS)構築・運用の実践【第2版】(羽田卓郎)
ランサム被害の根本対策はISMSの実装そのものです。資産管理・アクセス制御・運用管理の各要件をどう実装するかを実務手順で解説しており、自社のセキュリティ態勢を体系的に見直したい担当者に有用です。
FAQ
Q1. パロアルト調査の「平均6.4億円」は中小企業にも当てはまる数字ですか
調査対象は752社のうち民間企業と公共機関で、企業規模は混在しています。中小企業単独の平均値は本調査では切り出されていないため、自社規模に当てはめる際は「売上÷営業日数×54日」で停滞コストを再計算するのが現実的です。それでも数千万円~数億円の損失水準になるケースが大半です。
Q2. 身代金は払ってもデータが戻らないと聞きました。本当ですか
過去の各種調査では、身代金を支払った組織のうち完全にデータを復旧できたのは半数以下という報告が複数あります。攻撃者から提供される復号ツールが不完全だったり、復号後にファイルが破損していたりするケースが頻発しています。身代金支払いを前提とせず、復旧計画を組むことが妥当な防御設計です。
Q3. EDRとアンチウイルスはどう違いますか
アンチウイルスは既知のマルウェアシグネチャと照合して検知します。EDRはマルウェアの「挙動」(プロセス生成・ファイル暗号化・通信パターンなど)を継続的に監視し、未知の攻撃も検知できる点が決定的に違います。ランサムウェアは亜種が短時間で大量に発生するため、シグネチャ依存のアンチウイルスでは追いつきません。
Q4. MDRサービスはどのくらいの予算感ですか
中小企業向けのMDRは月額数十万円~百万円台がボリュームゾーンです。エンドポイント台数や監視時間帯(24時間/営業時間内)で変動します。IPAの「サイバーセキュリティお助け隊サービス」のような中小向け公的支援を併用すれば、自社負担を抑えながら基本的な監視体制を組めます。
Q5. ベンダー集約は本当に効果がありますか
集約の効果はコスト削減より「アラートの相関分析が可能になる」点にあります。EDRと脅威インテリジェンスとメールゲートウェイが別ベンダーだと、3つのアラートが別々に上がり優先順位がつけられません。同一ベンダーの統合プラットフォームか、SIEMで横断的に相関を取る設計に切り替えることで、対応時間が大きく短縮されます。
Q6. バックアップの「3-2-1-1-0」のうち、最も実装が遅れがちなのは何ですか
「1(イミュータブル)」と「0(リストアテスト0エラー)」が遅れがちです。バックアップは取れているが復元したことがない、という状態が中小企業で頻発しています。月次のリストアテストを運用に組み込み、所要時間とエラー率を経営層に報告する運用設計が必要です。
Q7. サプライチェーン経由のランサム被害が増えていると聞きました
取引先や保守ベンダー経由で侵入されるケースは増加傾向です。経済産業省と内閣官房は2026年度末からのサプライチェーンセキュリティ評価制度(SCS評価制度)開始を予定しており、取引先の評価レベルを確認する仕組みが整います。自社が発注側でも受注側でも、評価制度への対応準備が必要です。
関連クラスター記事
本記事と併せて読みたい、当サイト掲載のセキュリティ実務系記事は次のとおりです。
・ランサムウェアとは?仕組み・感染経路・対策をわかりやすく解説:ランサムウェアの基礎概念から
・中小企業のバックアップ戦略|3-2-1ルールでランサムウェアから事業を守る実践ガイド:本記事で触れた復旧層の詳細
・SIEMとは?ログ収集・脅威検知・インシデント対応を一元管理するセキュリティの要:検知層の中核
・ゼロトラストとは?概念・仕組み・導入手順をわかりやすく解説:封じ込め層の設計思想
まとめ ― 「6.4億円・54日」を「自社の数字」に翻訳する
パロアルトネットワークスの「State of Cybersecurity Japan 2026」が示した平均6.4億円・54日という数字は、もはや「他人事」のスケールではありません。中小企業であっても、自社の売上構造・取引先依存度・業務システムの停止許容時間を計算に入れれば、ランサム被害の影響は数千万円から数億円の規模で見積もる必要があります。
本記事で示した検知・封じ込め・復旧の3層設計と、業界別の優先対策、そして実務チェックリストを起点に、自社の現状を点検することから始めてください。完璧な防御は存在しませんが、「54日を7日に縮める」運用設計は今すぐ着手できます。
