ランサムウェア復旧：最後に要るのは長の覚悟（437号）

ランサムウェア復旧に時間がかかるシリーズの４回目（最終回）です。

　素朴な疑問：ランサム復旧が長期化するワケ？(434号）
　https://note.com/egao_it/n/ne01d45c1425b

　ランサムウェアに対抗できるバックアップ2025（435号）
　https://note.com/egao_it/n/nda30a709ee1f

　ランサムウェア復旧：再発防止にこそ時間がかかる（436号） 
　https://note.com/egao_it/n/n0fdd6f7942bb

今回は、技術から離れ、組織としての対策についてお話します。


1. ランサムウェアからの復旧が大変な理由（おさらい）

ランサムウェアからの完全復旧には、以下の課題解消が必要になります。

　1. データ復旧
　　 →暗号化データの復旧だけでなく、整合性チェックも必要

　2. 再発防止 
　　 →どこから侵入されたのか？を調査し、他の弱点もつぶす

　3. 人と組織（今号のテーマ）
　　 →意思決定、外部連携をスピード感をもって進める

　4. 安全宣言（今号のテーマ）
　　 →何をもって安全と言うのか？非存在の証明は難しい

今回は、ランサムウェアに耐える組織づくりと、安全宣言の難しさについてお話します。


2. なぜスピードが必要なのか？

ランサムウェアの被害を受けると、多くのシステムが利用できなくなります。
ということは、システムなしでも業務を回せる方法を考えないといけません。

常識的には、1週間や2週間で、そんなことできるはずがないのですが、できなければ、組織そのものがもたないという緊急事態です。

ランサムウェアの復旧においては、時間をかけてゆっくり検討する、などというゼイタクは許されません。
多少の課題が残ったままでもいい、無理矢理でもいい、とにかく既存のシステムなしで業務を回す方法を考えろ、となるわけです。

対策に要する費用、体制変更の変更、いずれも難しい判断を、短期間で大量にこなす必要があります。余程のスピード感で取り組まないと、いつまで経っても復旧できないことになりかねません。


3. でもメンバはスーパーマンではない

この事態に陥った組織のメンバの皆さんは、それこそ必死の思いで復旧に取り組むことでしょう。

でも、だからといって無尽蔵に残業して（させて）良いはずがありません。
通常なら残業規制の対象外である管理職のメンタルケアも重要ですし、燃え尽き症候群による退職や休職の回避策も必要です。

万一、対応によって求心力を持つキーマンがメンタルを損えば、目もあてられません。
主要な人材を失うばかりか、今度は組織が加害者になってしまいます。

それに、システムが使えない非常体制は短期間に終息させなければいけませんが、それにはシステム復旧のスピード感も必要となります。

もちろん、こういった対策を考える中心人物である労務担当者が倒れるわけにはいきません。

組織内の人事という限られた範囲だけでも、これだけあるのです。
これだけの対策を短期間で立ち上げて回すことが、どれだけ大変か、想像するだけでもゾッとするものがあります。


4. カネの問題も山積

人の問題だけではありません。

組織を回す要素と言えば、ヒト、モノ、カネの３要素がよく言われます。
ヒトについては、上で述べた通りです。
モノ（ここではデータ）については、前々回にデータ復旧の難しさを述べました。
残る一つは、カネ。

このカネについても、スピード感のある対応が必須となります。

ランサムウェアによる金銭被害の範囲は非常に広いのですが、例えば次のようなものが含まれます。（これ以外にもいろいろあると思います）

○システムに関する費用
　1. 侵入経路などの調査費用
　2. システムの再構築費用
　3. データ復旧作業の費用
　4. 再発防止に要する費用

○組織内の費用
　5. 残業・メンタルケアなどの労務費用
　6. 非常事態対策の費用（新サービスの契約など）
　7. マスコミを含む広報対策の費用

○顧客対応に要する費用
　8. 違約金等の支払い費用
　9. 顧客への損失補填などの費用

これらはいずれも、経営陣による承認が必要となります。

当然ながら、こういった費用の引当て先を確保することも重要です。
銀行からの借入は可能か？、サイバー保険からどの程度充当できるのか？当座必要となるカネと近い将来に必要となるカネのキャッシュフローバランスはどうするか？などなど、どれも頭の痛い問題です。


5. 安全宣言の難しさ

取るべき対策を終え、業務も元通り（もしくはより進んだ形に）に回復しますと、最後に安全宣言を行います。
すべての関係者に向け、安全となったことを宣言するわけです。

前回の再発防止策の回にも書きましたが、セキュリティ対策では「これだけやったら完璧だ」といえるラインがありません。

これは災害対策と似ています。
いくら対策をしても、あらゆる地震に耐えられる建築物は建てられません。自然はいつも人間の想定を上回りますからね。

セキュリティ対策の場合は攻撃側も人間ですが、手法が進化しつづけます。ですから、完全な対策はますます「絵に描いた餅」になってしまいます。

あんまり完全であろうとすると、いつまでも安全宣言ができないことになります。

結局のところ、前回の再発防止の時と同様の答えにならざるを得ません。

どこまでやれば正解かは、組織によって違います。
いくら「やるべきことをやった」と思っていても、数年経てば、攻撃手法も変わります。その時は新たな対策が必要になることでしょう。

だから、取引先に「どうしてそれで安全と言えるんだ？」と聞かれた時に、きちんと答えられるロジック、現在の対策で十分と判断した理由を考えておくことが大切です。

この説明責任を引き受けることが、安全宣言であり、経営判断なのです。
だからこそ、これが一番難しいのです。


6. まとめ

この記事を書こうとした理由は、あまりにランサムウェアの対策として、予防対策の話ばかりがもてはやされる傾向を感じるためです。

実際には、ランサムウェア対策は予防技術だけで何とかなるものではありません。

本当に攻撃を受けた場合を想定して、システムなしで回る仕組みを考えておき、万一の場合にも、業務が続けられるような緊急プランが必要です。

これは、技術だけで解決できる問題ではありません。
組織の各メンバが持つ智恵を集め、制度や業務運用をも巻き込んだ、組織が生き延びるための戦略が必要です。

そして、最後は、組織の長が腹をくくるしかありません。
それこそが、長の誠実さだと筆者は思います。

今回の一連の連載が、皆さんのランサムウェア対策を考える機会となれば、幸いです。

次回もお楽しみに。

今日からできること：
　・ランサムウェア対策は技術だけでは限度があります。
　・システムが使えなくなった場合を想定した訓練や検証を行いましょう。

（本稿は 2025年12月に作成しました）