SaaS事業者のランサムウェア対策「復旧能力」に課題　Assured調査

株式会社アシュアード（本社：東京都渋谷区、代表取締役社長：大森厚志）は、セキュリティの信用評価プラットフォーム「Assured」がこれまでに実施したクラウドサービス（SaaS・ASP等）のセキュリティ評価データから、クラウドサービス（SaaS）事業者のランサムウェア対策の実態について独自調査した結果を発表した。

調査概要

調査件数：3887件
調査日：2025年10月16日
調査対象：Assuredのセキュリティ調査に回答済みのクラウドサービス事業者
出典元：株式会社アシュアード
※小数点第二位を四捨五入しているため、合計が100%にならない場合がある

ランサムウェア感染を未然に防ぐ「予防的対策」

同社は攻撃者にとって一般的な侵入経路の1つが「システムの脆弱性」と指摘。脆弱性対策として最も実施率が高いのは「アプリケーションの脆弱性診断（75.1%）」で、比較的対策が進んでいる実態があることを報告した。

一方で、攻撃者の視点から侵入を試みるペネトレーションテストの実施率は39.6%。環境設定の不備を診断する設定診断（セキュリティポスチャーアセスメント）の実施率は27.8%と、いずれも低い水準であることが判明した。

約6割がEDRなどの「高度なマルウェア対策」未実施

さらに同社の分析によると、侵入後のランサムウェアの活動を検知、阻止するマルウェア対策について「対策ソフトを導入し、リアルタイムスキャンやパターンファイルの最新化を実施している」のは67.5％だった。一方で、EDRなどの高度な検出技術を導入は、40.2％にとどまったことがわかった。

また、ランサムウェア攻撃の主な初期侵入経路として挙げられる「従業員アカウントの認証情報（ID/パスワード）の窃取」に対して効果的とされる「多要素認証」の実施率については61.3%。約4割が未実施だった。

約3分の1が「侵入を検知するための適切な監視」が未実施

同社は「ランサムウェア攻撃は多くの場合、侵入からデータ暗号化、持ち出しまでには時間を要する。この『潜伏期間』での検知が極めて重要」だとして、その対策状況を調査。その結果、不正アクセスやパケット監視は7割を超えているものの「兆候監視」の実施率は69.2%にとどまっていた。これは「侵入後の早期検知能力に不安が残る状況である」と解説している。

また、クラウドサービスにとって最も機密性の高いIaaS/PaaS管理画面へのアクセス監視は65.3%。攻撃者が権限昇格や認証情報の窃取後に、管理画面からバックアップ無効化やシステム変更を行うリスクが懸念される結果となった。

早期復旧を目指す「復旧対策」に課題

続いて同社は、データが暗号化された後に復旧するためのバックアップ対策を調査。「バックアップを定期的に確認している（82%）」が高い割合を示した一方で、ランサムウェアに対して実効性のある対策の実施率は低いと指摘している。

特に、ランサムウェアはネットワークに接続されたバックアップも標的とするため物理的に分離、または、オフラインや不変（イミュータブル）なストレージで保管することで攻撃から守る必要があるという。しかし、これらの実施率は57.1％、48.3％と、約半数しか対策できていない実態が明らかになった。これらは、本来はいずれも実施することが推奨される。しかしながら、いずれかを実施している割合が、69.4％にとどまることが判明した。

また、バックアップデータが本当に機能するかを確認するリストアテスト（復旧訓練）を行っている企業は48.1%と半数以下で、復旧対策に課題が多い実態があるようだ。さらに、インシデント発生時の行動計画（リカバリ計画/コンティンジェンシープラン=BCP）と、それを実行する訓練についても調査。リカバリ計画を策定している企業は多いものの、最も重要な「実機訓練」まで行っているのはわずか33.4%となっている。

まとめ

IPA 独立行政法人 情報処理推進機構が発表した「情報セキュリティ10大脅威 2025」では「ランサム攻撃による被害」が1位に挙げられており、その対策はもはや不可欠なものとなっている。しかし同社の分析では対策の不十分さが明らかになり、特に復旧対策の課題感が大きい様子がうかがえる。

どれだけ高度な対策を実施していても、完全に防ぐことは困難とされているランサムウェア攻撃。対策の実施と並行して、被害を最小限に抑えるための施策整備と復旧能力の強化に取り組んでおく必要があるだろう。改めて自社の対策について見直す機会にしたい。

参考：情報セキュリティ10大脅威 2025（IPA 独立行政法人 情報処理推進機構）