サイバー攻撃の被害は、年々深刻さを増しています。なかでも昨今のランサムウェア攻撃は、情報漏えいだけでなく、企業の業務システムそのものを停止させる攻撃が増えています。
会計や受発注、給与といった基幹業務が止まれば、企業活動は即座に停滞し、その影響は取引先や顧客にも広がります。
では、業務システムを止めないために、どのような前提でセキュリティ対策を考えるべきでしょうか。
今、求められているのは「侵入を防ぐ」ことだけではなく、「止めてはいけないシステムをどう守るか」という視点です。その現実的な対策として注目されているのが、クラウドを活用したセキュリティ対策です。
今回は、サイバー攻撃、特にランサムウェア攻撃の最新動向を踏まえながら、オンプレミス環境を利用している企業が見直すべきセキュリティ対策と、クラウド活用のポイントを整理します。
目次
- ランサムウェア攻撃の狙いは「業務システム」にシフト
- 中小企業・中堅企業がランサムウェアに狙われる理由
- セキュリティ対策にはオンプレミスよりもクラウドが有効
- ランサムウェア対策の要となる「特権管理」
- 安全なクラウドサービスの選び方
―ランサムウェア対策として何を見極めるべきか - おわりに
- よくある質問
ランサムウェア攻撃の狙いは「業務システム」にシフト
近年、サイバー犯罪の中でも特にランサムウェアによる被害が急増しており、その手口も年々巧妙化しています。
ランサムウェア攻撃は、マルウェアを使ってシステムやデータを暗号化して利用不能にし、復旧と引き換えに金銭を要求します。個人情報や機密データを窃取して「公開する」と脅す二重恐喝が主流ですが、2024年から2025年にかけては、企業の業務システムを直接標的として事業継続そのものを困難にする攻撃へとシフトしています。
実際に、ランサムウェア被害では業務停止に陥るケースが多く、復旧までに長期間を要する事例も少なくありません。
| 被害を受けた業種 | 被害・事業への影響 |
| 出版社 | サービス・業務が1か月以上全面停止。100億円超の損失。 |
| 飲料メーカー | 受注・出荷・コールセンター等の基幹業務が全面停止。全国の工場生産も一時ストップ、復旧までに大幅な減収。 |
| EC(通信販売)事業者 | 物流システムが約2か月全面停止。 |
ランサムウェア攻撃は、単に侵入して終わるものではありません。企業内部に入り込んだ後、すぐに攻撃を開始するのではなく、システム構成や権限状況を把握しながら内部に潜伏します。その上で、最も影響が大きくなるタイミングを見計らい、業務システムを停止させるところまで進行します。
会計や受発注、給与といった基幹業務が止まれば、企業はその瞬間に事業活動を継続できなくなります。例えば受発注システムが停止した場合、その日の出荷はすべて止まり、売上がゼロになる可能性があります。また、請求処理の遅延によって入金がずれ込めば、資金繰りにも直接的な影響が及びます。
一時的な停止であれば問題ないと考えられがちですが、実際の被害事例では、業務停止が1ヵ月以上に及ぶケースも確認されています。その結果、「売上」「入金」「信用」といった経営の根幹に、連鎖的な影響が生じることになります。中小企業では、こうした影響がそのまま事業継続の可否に直結するリスクとなるでしょう。
さらに、業務停止の影響は、取引先や顧客にも波及していきます。つまり、ランサムウェアはもはや「ITのトラブル」ではなく、「事業を止めるリスク」として捉えるべきものと言えます。
このようなリスクを踏まえると、従来のように「侵入を防ぐ」ことだけでは不十分です。今後は、「ランサムウェアによる業務停止をいかに防ぐか」という観点で、セキュリティ対策を見直すことが重要になります。
中小企業・中堅企業がランサムウェアに狙われる理由
ランサムウェアのリスクは、すべての企業に共通しています。ただし、その現れ方は企業の規模や体制によって大きく異なります。同じランサムウェア攻撃であっても、企業によって“狙われ方”や“弱点”は異なります。この違いを理解することが、セキュリティ対策の第一歩になります。
●中小企業のサイバーリスク(狙われる理由)
中小企業では、ランサムウェア対策以前に「体制そのもの」が課題になるケースが多く見られます。
「情シス担当がいない」あるいは「他業務と兼任している」といった状況では、日々の業務を回すことが優先され、セキュリティ対策は後回しになりがちです。その結果、「ソフトウェアの更新が追いつかない」「セキュリティ設定が初期状態のままになっている」「異常に気づくのが遅れる」といった状態が発生します。
一つひとつは小さな問題に見えても、こうした“運用の隙”が積み重なることで、ランサムウェアにとって侵入しやすい環境ができあがってしまいます。
また、多くの中小企業では、サーバを設置したオンプレミス環境だけでなく、パソコン単体や簡易的な仕組みで業務システムを管理しているケースも多く見られます。こうした自社管理の環境では、日々の管理や更新作業に十分なリソースを割けていない実態もあり、結果としてセキュリティ対策の遅れにつながる要因の一つとなっています。
さらに厄介なのは、業務システムを狙ったランサムウェア攻撃を受けると、「侵入されても気づきにくい」という点です。専任の担当者や監視体制がない場合、ランサムウェアが内部に入り込んでも発見が遅れ、被害が拡大する可能性が高くなります。
中小企業では、攻撃を受けても“気づかないまま”数週間から数か月が経過することもあります。その間に情報の窃取や権限の奪取が進み、最終的にある日突然、業務システムが停止するという事態につながります。
実際、警察庁の調査でも、ランサムウェア被害の約6割を中小企業が占めているとされています。
<令和7年に発生したランサムウェア攻撃>
出典:警察庁サイバー警察局 PDF「令和7年における サイバー空間をめぐる脅威の情勢等について」
これは、セキュリティ対策が脆弱になりやすい中小企業が、攻撃対象として狙われやすい状況にあることを示しています。つまり中小企業では、特定の脆弱性というよりも、「入りやすく、気づかれにくい環境」そのものがリスクになっているといえるでしょう。
●中堅企業のサイバーリスク(狙われる理由)
中堅企業になると、ランサムウェアのリスクは「不足」ではなく「複雑さ」に変わります。
業務の拡大とともにシステムは増え、部門ごとに異なる仕組みが導入されていきます。その結果、次のような状況により全体像が見えにくくなり、セキュリティの統制が難しくなります。
- 業務ごとにシステムが分散している
- IDや権限管理が複雑化している
- 運用ルールが部門ごとに異なる
さらに、オンプレミス環境で複数のシステムを個別に運用している場合、管理対象が増えることで運用負荷も高まり、結果として全体の統制が難しくなる傾向があります。
特に問題となるのが、権限管理です。システムが増えるほど、「誰がどこまでアクセスできるのか」を正確に把握することが難しくなります。これにより、不要な権限が残る、管理者権限が広く付与される、退職者のアカウントが残るといった問題が発生しやすくなります。
このような状態は、ランサムウェアにとって極めて都合のよい環境です。侵入後に権限を横断的に利用しやすくなり、業務システム全体への影響を一気に拡大させることが可能になるためです。
中堅企業では、一定の対策は講じられているものの、「全体として統制が効いていない」状態がリスクになるケースが多く見られます。これは、システムや権限の“複雑さ”そのものが、ランサムウェアに狙われる要因になっているといえるでしょう。
セキュリティ対策にはオンプレミスよりもクラウドが有効
サイバー攻撃の手法は日々進化しており、ランサムウェアの侵入を完全に防ぐことは難しいのが現実です。
だからこそ、「すべてを守る」のではなく、「止めてはいけないシステムを確実に守る」という考え方が重要になります。会計や受発注、給与といった経営の根幹となる業務をいかに守るかが、これからのセキュリティ対策の軸となります。
●オンプレミス運用によるセキュリティ対策の限界
従来のオンプレミス環境の場合、セキュリティ対策の多くを自社で担う必要があります。継続的に実施すべき項目は、OSやソフトウェアのアップデート、脆弱性への対応、アクセス権限の管理、ログの監視など多岐にわたります。
しかし現実には、日々の業務と並行してこれらを維持し続けることは容易ではありません。人材不足や専門知識の不足、運用負荷の増大といった要因により、対応が後手に回り、対策が形骸化してしまうケースも少なくありません。アップデートの遅れは既知の脆弱性を放置することになり、ランサムウェアの侵入リスクを高めます。
さらに、最新の攻撃手法に対応し続けること自体も、現場にとって大きな負担となっています。
本来、セキュリティ対策は導入して終わりではなく、継続的な運用が前提となります。オンプレミス運用では、「やるべきことは分かっているが、やり続けることができない」という構造的な課題がランサムウェア対策の弱点となっているのです。
●ランサムウェア対策としてのクラウドサービス活用
こうした課題に対する現実的な解決策が、クラウドサービスの活用です。
重要なのは、「対策を導入すること」ではなく「対策を維持し続けられること」であり、ランサムウェア対策においても「継続的に守れる仕組み」を構築できるかどうかが鍵となります。
クラウドサービスでは、インフラやセキュリティ対策の多くがサービス側によって継続的に管理・更新されます。そのため、自社で対応し続けることが難しいアップデート対応や脆弱性対策についても、仕組みとして維持される環境を構築することが可能になります。
重要な業務システムを守るという観点に立てば、自社で抱え込み続けるのではなく、クラウドサービスを活用するという選択は極めて合理的です。特にランサムウェアによる業務停止リスクを考えると、セキュリティ対策としてのクラウド活用は、現実的な選択肢といえるでしょう。
ただし、ランサムウェア対策という観点では「どこまでをクラウドサービスに委ねられるか」が重要になります。クラウドサービスにはIaaS、PaaS、SaaSという提供形態があり、それぞれ責任範囲が異なります。IaaSやPaaSでは、自社で管理すべき領域が広く、セキュリティ運用の負担も残ります。一方、SaaSであればアプリケーションまで含めて提供されるため、セキュリティ対策の多くをサービス側に委ねることができます。
重要な業務システムを守るという観点で言えば、オンプレミス環境やIaaS、PaaSではなく、SaaSサービスを活用するという選択が最も合理的といえるでしょう。
ランサムウェア対策の要となる「特権管理」
業務システムを確実に守るためには、ランサムウェアなどのサイバー攻撃に対する対策を、継続的に運用できる体制として構築することが重要です。その中でも特に重要となるのが、「特権(管理者権限)」の管理です。
●管理者権限とは
管理者権限とは、システムの構成や動作に直接影響を与える操作が可能となる、最も強い権限レベルを指します。通常の利用者権限とは異なり、設定変更やデータ削除、アカウント管理、アクセス権限の付与・変更など、システム全体に関わる操作が可能となります。そのため、企業の業務システムでは、限られた担当者のみに付与されるのが一般的です。
しかし、その影響範囲は非常に広く、一つの操作がシステム全体に影響を及ぼします。適切に管理されていない場合、意図しない設定変更やデータ損失といったリスクにもつながります。
つまり管理者権限とは、利便性と引き換えに大きな影響力を持つ“コントロールポイント”といえます。
●特権が侵害された場合のリスク
ランサムウェアによる被害の影響範囲を決定づける要素の一つが、特権の管理状況です。
一般ユーザー権限のままであれば、アクセスできる範囲は限定されます。しかし、管理者権限が奪われると、システム全体に対する操作が可能となります。データの暗号化や削除、バックアップの破壊、設定変更といった処理が一括で実行されれば、業務システム全体に影響が及ぶ可能性があります。
特にオンプレミス環境では、サーバーやネットワーク、アカウント管理などを自社で運用・管理するケースが多く、管理負担が担当者に集中しやすい傾向があります。退職者のアカウントが残ったままだったり、長期間同じパスワードが利用されていたり、必要以上に広い権限が付与されていたりという状況も少なくありません。このような状態で管理者権限が侵害されると、社内システム全体に被害が拡大するおそれがあります。
実際、ランサムウェア被害を見てみると、認証情報の窃取やVPN機器などネットワーク機器の脆弱性をきっかけに侵入が発生し、その後、長期間潜伏しながら特権の奪取を狙い、最終的に業務システムの停止に至るケースが多く見られます。
つまり、業務停止は、偶発的に発生する被害ではなく、ランサムウェア攻撃によって意図的に引き起こされる被害なのです。
●特権管理は業務システムを守る「最後の防波堤」
ランサムウェアの侵入そのものを完全に防ぐことは現実的ではありません。そのため、「侵入されることを前提に、いかに被害の拡大を防ぐか」という視点が重要になります。
このとき、最後の防波堤となるのが特権の管理です。
オンプレミス環境では、特権の管理をすべて自社で担う必要があり、管理不備や設定ミスがそのままリスクにつながりやすい構造となっています。一方、クラウド環境の中でも、SaaSのようにアプリケーションまで含めて提供されるサービスでは、OSの特権管理をサービス側に委ねることが可能です。これにより、自社で管理する範囲を限定し、設定ミスや運用負荷に起因するリスクを抑えやすい環境を構築できます。
もちろん、ユーザー管理や利用権限の設定など、業務運用に関わる部分は自社で適切に管理する必要はあります。しかし、特権管理の大部分を専門的な体制に委ねられるという点で、SaaSはランサムウェアによる業務停止リスクを抑えるうえで有効な選択肢といえます。
安全なクラウドサービスの選び方
―ランサムウェア対策として何を見極めるべきか
「業務システムを止めない」ためには、ランサムウェア対策を“継続できる仕組み”として実装できるクラウドサービスの活用が有効です。
ただし、クラウドであればすべて安全というわけではありません。重要なのは、「安全かどうか」ではなく、「どのように安全が設計・運用されているか」という視点でサービスを見極めることです。
クラウドサービスの安全性は、大きく次の5つの観点で評価することができます。
1.ランサムウェア対策:特権管理と脆弱性対応は誰が担っているか
クラウドサービスを選ぶうえで最初に確認したいのが、「特権(管理者権限)」と「脆弱性対応」を誰が担っているのかという点です。
クラウドサービスと一口に言っても、OSの特権管理や脆弱性更新をアプリケーション提供会社(SaaSベンダー)が担う場合もあれば、Microsoft AzureやAWSなどのクラウド基盤事業者が担う場合もあります。また、サービスによっては、どこまでをサービス側で管理し、どこから利用者側が担うかという責任分界も異なります。そのため、管理主体と運用体制がどのようになっているかを確認することが重要です。
例えば、奉行クラウドでは、クラウド基盤にMicrosoft Azureを採用し、OSの特権管理および脆弱性更新をマイクロソフト側が担う構造(権限分離設計)となっています。これにより、ランサムウェア攻撃の前提となる「特権の奪取」が成立しない設計が実現されています。また、OSの脆弱性更新はマイクロソフトが直接、実施するため、更新プログラムの適用に人手を介する必要がなく、脆弱性が残ったまま運用される時間を極力短縮します。
このように、「クラウドかどうか」ではなく、「特権と脆弱性対応を誰がどのように管理しているか」を見極めることが肝心です。
2.稼働している場所(データと基盤):データはどこで守られているか
次に確認すべきは、クラウドサービスが「どこで稼働しているか」という点です。
データの保管場所は、そのまま法規制やリスクの所在に直結します。海外サーバで運用されている場合、その国の法制度の影響を受ける可能性があるため、国内で管理されているかどうかは重要な判断材料となります。また、クラウドサービスは、どのクラウド基盤上で構築・運用されているかによっても、セキュリティや可用性に差が生じます。災害対策や障害対策、不正アクセス対策、24時間365日の運用監視体制などは、採用しているクラウド基盤の品質や運用水準に大きく左右されます。
例えば、奉行クラウドは世界最高水準のセキュリティと運用実績を持つMicrosoft Azureをクラウド基盤として採用し、日本国内のデータセンターのみで運用されています。データも、東日本・西日本に分散した形で合計6重化して保管しているため、災害や障害など予期せぬ事態が発生した場合でも、業務継続が可能な体制が整えられています。
3.ソフトウェア自体のセキュリティ設計:機能としてどこまで守られているか
クラウドサービスは、ソフトウェアとしてどのようなセキュリティ機能が備わっているかも重要な評価ポイントです。これは、認証、権限設定、暗号化、ログ管理といった基本機能が、どの程度整備されているかを確認することで判断できます。
具体的には、以下のような観点でチェックしておくと安心です。
- なりすまし対策は十分か?
- データを扱える人を制限・管理できるか?
- データは保管中も通信中も守られているか?
- 常に異常に気づける体制が整っているか?
- 脆弱性への備えは継続的に実施しているか
これらの機能が適切に設計されていることで、万が一の際にも影響範囲を限定することが可能になります。
例えば奉行クラウドは、利用者ごとの権限設定や操作ログの自動記録、通信・保管時の暗号化など、業務システムとして必要なセキュリティ機能が標準的に備えられています。
また、承認権限者と担当者の区分けをしたうえでアカウントごとにメニューの使用制限を設定できます。奉行クラウドでは、あらゆる操作のログが自動的に記録されるような仕組みになっているため、万が一の際にも原因究明をスムーズに行えます。
4.運用管理体制(第三者評価):継続的に守られている体制か
セキュリティ対策は、導入されているだけでなく、それが継続的に運用されているかまで含めて評価する必要があります。特にチェックしておきたい点には、監視や脆弱性対応といった運用が継続的に実施されているか、新たに発見された脆弱性に対してどのようなプロセスで対応が行われるのかなどがあります。
しかし、このような運用管理体制は外部から見えにくく、利用者が実態を直接確認するのは困難です。そこで、第三者による評価や認証を確認することが重要になります。
代表的な評価軸には、SOC報告書やISMAPといった制度があります。これらは、クラウドサービスの内部統制や運用体制が適切に機能しているかを客観的に示す指標です。
例えば奉行クラウドでは、財務報告に係る内部統制を対象とした「SOC1 Type2」報告書※1、セキュリティに係る内部統制を対象とした「SOC2 Type2」報告書※2を取得しているほか、日本政府の基準に基づくISMAPにも登録されています。これにより、セキュリティ対策が実際の運用として機能していることが第三者によって確認されています。
※1:アウトソーシング事業者が委託されている業務のうち、委託会社の財務報告に係る内部統制の適切性・有効性を対象とした保証報告書
※2:ある一定期間におけるクラウドサービス会社のセキュリティの内部統制を評価する保証報告書
5.データの取り扱いとAI活用の方針:新たなリスクにも目を向けているか
さらに近年では、AI機能を活用したクラウドサービスも増えており、データの取り扱いについても新たな視点での確認が求められています。
ここで確認しておきたいのは、「入力したデータがどのように扱われるか」という点です。入力した内容をAIの学習やサービス改善に利用するかどうかなど、データの取り扱い方針がサービスによって異なります。そのため、AI機能に関するガイドラインやデータ利用方針が明確に公開されているかを確認することが重要です。
例えば奉行クラウドでは、AIサービスとしてAzure OpenAI Serviceを利用しています。Azure OpenAI Serviceでは、入力した内容がモデルの改善や学習に使用されたり、他のお客様に利用されたりしない取り扱いであることが示されています。
また、奉行クラウドではAI機能に関する利用ガイドラインやデータの取り扱い方針も公開しており、利用しているAIサービスの内容まで確認できるようになっています。このように、AI活用においても、データの取り扱いを確認しながら利用できる環境が整えられています。
おわりに
ランサムウェア攻撃の手口は日々変化しており、今後も新たな攻撃手法が現れる可能性があります。その中で、業務システムを「自社で守り続けるか、それとも専門的な運用体制に委ねるか」という選択は、単なるITの話ではなく、企業としてどのようにリスクを管理するかという経営判断ともいえます。
クラウドサービスはその有力な選択肢の一つですが、常に最新のセキュリティ環境を維持できるか、信頼できる運用体制が整っているかによって、安全性は大きく変わります。
業務システムは、企業活動そのものを支える基盤です。
今回ご紹介したポイントを参考に、機能や価格だけでなく、ランサムウェア対策という観点からも、信頼できるクラウドサービスを慎重に見極めてみてはいかがでしょうか。
奉行クラウド
『ランサムウェアからの安全宣言』
奉行クラウドは、昨今のサイバー攻撃から基幹業務データを守るため、ランサムウェアにかからない仕組みをシステムの構造と運用管理体制によって実現しています。また今後も、セキュリティ技術への投資を継続し、常に最新で自動アップデートされた最高品質のセキュリティ環境を提供し続けます。
よくある質問
- なぜオンプレミス運用では守りきれないの?
-
オンプレミス環境では、アップデート対応や脆弱性対策、権限管理などのセキュリティ運用を自社で継続的に実施する必要があります。しかし、人材不足や運用負荷の影響でこれらを維持し続けることは容易ではなく、対策が形骸化しやすい構造があります。その結果、ランサムウェアに対して「やるべきことは分かっているが、やり続けられない」という状態がリスクとなります。
- クラウドサービスは何を基準に選べばよい?
-
クラウドサービスは「安全かどうか」ではなく、「どのように安全が設計・運用されているか」という観点で選ぶことが重要です。特に、特権管理や脆弱性対応を誰が担っているか、データがどこで管理されているか、ソフトウェアとしてのセキュリティ機能が十分かといった点を確認する必要があります。あわせて、継続的な運用体制や第三者評価の有無も重要な判断基準となります。
- クラウドサービスのセキュリティの信頼性はどう判断する?
-
クラウドサービスの信頼性は、セキュリティ対策が仕組みとして実装されているだけでなく、継続的に運用されているかどうかで判断する必要があります。そのため、監視体制や脆弱性対応のプロセス、稼働場所、ソフトウェアとしての機能、SOC報告書やISMAPといった第三者評価を確認することが有効です。これにより、サービスの内部統制や運用体制が客観的に担保されているかを見極めることができます。
関連リンク
-
すべての業務とつながるひろがる
シェアNo.1業務クラウド「奉行iクラウド」
-
あらゆるサービスやデータと繋がる
中堅・上場企業向け国産 SaaS ERP奉行V ERPクラウド
-
従業員の働き方改革を実現する「奉行クラウドEdge」
奉行クラウドEdge
こちらの記事もおすすめ
メルマガ読者20万人以上!
OBC 360のメルマガ登録はこちらから!
メルマガ登録
OBC 360のメルマガ登録はこちらから!
