昨今、企業の事業継続を脅かす最大のサイバー脅威といえば「ランサムウェア」です。かつての不特定多数を狙ったバラマキ型から、特定の組織を執拗に狙う「標的型ランサムウェア攻撃」へと進化しており、被害額は数千万円から数億円に及ぶことも珍しくありません。

本記事では、IT担当者が今すぐ取り組むべき「即効性のある対策」から、ネットワーク、社員PC、社内システムまで、網羅的な防御策を徹底解説します。

---

1. 【即効性】今日から始めるランサムウェア対策の3大基本

「予算がない」「時間がない」という状況でも、まずはこれだけは実施してください。これだけで被害リスクを大幅に低減できます。

OS・ソフトウェアの最新化（パッチ適用）

多くのランサムウェアは、既知の脆弱性を突いて侵入します。Windows Updateはもちろん、VPN機器やブラウザ、Adobe製品などのアップデートを「自動更新」に設定するか、管理者が一括適用してください。

多要素認証（MFA）の導入

IDとパスワードだけの認証はもはや通用しません。VPN接続やクラウドサービス（Microsoft 365, Google Workspace等）には必ず多要素認証を導入しましょう。

「3-2-1ルール」に基づくバックアップ

ランサムウェアの目的はデータの暗号化です。データさえ無事なら復旧可能です。

• 3つ以上のデータコピーを持つ
• 2つの異なる媒体（HDD、クラウド、テープ等）に保存する
• 1つはオフライン（ネットワークから隔離）で保管する

---

2. ネットワーク機器の対策：侵入経路を封鎖する

ランサムウェアの多くは、VPN機器の脆弱性やリモートデスクトップ（RDP）のポートから侵入します。

VPN機器の管理強化

古いVPN装置は攻撃者の格好の標的です。

• 脆弱性のチェック： メーカーから発表されている修正プログラムが適用されているか確認してください。
• IPアドレス制限： 接続元を特定の拠点やIPに限定することで、海外からの不正アクセスを遮断できます。

ゼロトラスト・アーキテクチャへの移行

「社内ネットワークは安全」という考えを捨て、すべての通信を疑い、認証する「ゼロトラスト」の考え方が主流です。

• IDS/IPS（不正侵入検知・防止システム）の導入： 不審な挙動を検知して遮断します。
• UTM（統合脅威管理）の活用： ファイアウォール、アンチウイルス、URLフィルタリングを一括管理します。

---

3. 各社員のパソコン（エンドポイント）の保護方法

社員のPCは「攻撃の入り口」になりやすいため、徹底した管理が必要です。

EDR（Endpoint Detection and Response）の導入

従来のアンチウイルス（EPP）は既知のウイルスしか防げません。EDRは「侵入されることを前提」とし、PC内での不審な挙動をリアルタイムで監視・検知し、被害を最小限に抑えます。

最小権限の原則

すべての社員に「管理者権限」を与えてはいませんか？

• 一般業務用アカウントには管理者権限を付与しない。
• USBメモリなどの外部デバイス使用を制限する。

ブラウザとメールのセキュリティ

• フィッシング対策： 悪意あるサイトへのアクセスをブロックするフィルタリング機能を有効にします。
• マクロの無効化： Office製品（Excel/Word）の不審なマクロ実行をデフォルトで禁止します。

---

4. 各種社内ドキュメントの保護方法

機密情報が含まれるドキュメントは、盗み出された際の「二重脅迫（データを公開すると脅される）」対策が必要です。

ファイルの暗号化とIRM

• IRM（Information Rights Management）： ファイルごとに「閲覧はできるがコピー・印刷は不可」といった制限をかけ、万が一流出しても中身を見られないようにします。
• パスワード付きZIPの廃止： いわゆる「PPAP」はセキュリティ効果が低いため、クラウドストレージの共有機能を活用しましょう。

ログ管理の徹底

「誰が・いつ・どのファイルにアクセスしたか」のログを保存することで、異常な大量ダウンロードなどを早期に発見できます。

---

5. ファイルサーバの保護方法：社内の「宝箱」を守る

ファイルサーバはランサムウェアが最も狙う場所です。

アクセス権限の細分化

「全社員が全フォルダにアクセスできる」状態は極めて危険です。部署ごと、プロジェクトごとに必要な人だけがアクセスできるよう権限を絞り込みましょう。

不変バックアップ（イミュータブルバックアップ）

最近のランサムウェアはバックアップデータすらも暗号化しようとします。

• 書き換え不可属性： 一定期間、削除や変更ができない設定のストレージ（S3のオブジェクトロックなど）へバックアップを取ることで、確実にデータを保護します。

シャドウコピーの活用

Windows Serverの機能である「シャドウコピー」を定期的に実行しておくことで、軽微な改ざんであれば迅速に以前の状態へ復元できます。

---

6. 社内システムの保護方法：基幹業務を止めないために

会計システム、人事システム、顧客管理などの基幹システムが止まると、会社は機能不全に陥ります。

セグメンテーション（ネットワークの断片化）

ファイルサーバ、Webサーバ、DBサーバなどを異なるネットワーク（VLAN）に分離します。これにより、1台のPCが感染しても、他のシステムへ被害が拡大するのを防ぎます。

WAF（Web Application Firewall）の導入

社内システムを外部からWebブラウザ経由で利用している場合、WAFを導入してSQLインジェクションなどの攻撃から保護します。

インシデントレスポンス計画（IRP）の策定

万が一、システムが感染した際の「初動」を決めておきましょう。

1. ネットワークからの物理的な切り離し。
2. 経営層・関係各所への報告ライン。
3. バックアップからの復旧手順のシミュレーション。

---

7. まとめ：技術対策以上に重要な「人の意識」

ランサムウェア対策に「これさえやれば完璧」という魔法の杖はありません。

品川ITラボからのアドバイス 技術的な対策（EDRやバックアップ）を導入しても、社員がフィッシングメールのURLをクリックしてしまえば、リスクはゼロになりません。定期的なセキュリティ教育を実施し、「怪しいと思ったらすぐに報告する」文化を醸成することが、最大の防御策となります。

次のステップ

自社のセキュリティ状況が不安な方は、まずは「資産棚卸し」から始めてみてはいかがでしょうか。どのデバイスが、どこに、どのような設定で繋がっているかを把握することが、鉄壁の防御への第一歩です。