サイバー攻撃やランサムウェアによる被害を受けた際の社内・社外対応の流れ

近年、ランサムウェア攻撃による被害が国内外で相次いでいます。国内では、今年の9月にアサヒグループホールディングス、10月にはアスクルが被害を公表し、いずれもシステムの復旧が長期化するなど、深刻な影響が続いています。また、同時期に東山中学・高等学校や流通経済大学など、教育機関でも被害が確認され、業務に影響が及んでいます。

攻撃者はシステムを暗号化して身代金を要求するだけでなく、窃取した情報を公開・拡散する二重恐喝や、データリーク型の攻撃を用いるなど、手口は一層巧妙化しています。

こうした中で、万が一インシデントが発生した際にどのように初動対応を行うかが、被害の拡大や信頼の維持を左右します。

本記事では、実際の被害事例をもとに、ランサムウェア被害時の社内対応・社外対応の流れを整理し、実務で活かせる具体的な行動指針を解説します。

社内対応：封じ込めと指揮体制の確立が最優先

ランサムウェア被害が発覚した直後に最も重要なのは、被害の拡大を防ぐことです。感染経路や影響範囲が完全に把握できていない初期段階では、技術的な封じ込めと意思決定の迅速化が、被害を最小限に抑えるポイントとなります。

多くの企業事例に共通するのは、体制構築、技術対応、業務継続、情報共有という4つの軸を即座に動かした点です。

体制構築：対応チームの即時招集と経営層の関与

インシデントが発覚したら、まず意思決定体制の立ち上げが必要です。アサヒグループHDやアスクルのように、被害発覚後すぐに緊急対策本部を設置し、経営層を含めた全社横断の対応体制に移行した事例が多く見られます。

体制の立ち上げにあたっては、CSIRTや緊急対策チームを中核に、情報システム・法務・広報・総務などの関係部署を迅速に集め、対応の指揮系統を一本化します。

このとき重要なのは、誰が招集されたかだけでなく、そのメンバーがどのような権限に基づいて何を決定したのかという点です。

経営層は単に本部を設置するだけでなく、被害拡大防止と重要データ保護を最優先課題と位置づけ、迅速な判断を下す責任を負います。ランサムウェア感染の場合は、身代金の要求に応じるかどうか、という意思決定も経営層には求められることには意識しておかなければなりません。

たとえば、アスクルでは被害判明から数時間以内に受注・出荷など全業務の停止を決定しており、経営判断として徹底した封じ込め措置を即時に実行しました。さらに、対応チームが攻撃手法や被害範囲の調査結果を経営陣へ連日報告し、経営層が追加リソースの投入や外部支援の要否を判断するなど、報告と意思決定の循環構造が機能していた点も注目されます。

また、初動段階から外部専門家や法執行機関との連携を組み込むことも欠かせません。自社だけでの対応が困難な場合には、外部のサイバーセキュリティ専門チームと協力し、攻撃手法の分析や復旧計画の助言を受ける体制を早期に構築します。MGMリゾーツの事例では、CrowdStrike社など複数の外部セキュリティ企業と連携し、攻撃の封じ込めと復旧を進めました。

さらに、アスクルのように攻撃当日中に警察や捜査当局へ被害を通報し、法的措置や外部支援を仰ぐ体制を確立することも、迅速な対応に欠かせません。とくに重要インフラを担う企業では、国家サイバー安全保障センター（NCSC）などの公的機関と即時に連絡を取り、インテリジェンスの共有や支援を受ける仕組みを、平時から整備しておくことが求められます。

加えて、こうした体制を機能させるためには、緊急時の連絡網や招集手順を明確に定義しておくことが前提です。対応マニュアルがあっても、実際に誰が判断権限を持ち、どのような手順で決定が下されるかが不明確では、機能しません。被害対応の初期段階は数分単位で状況が変化するため、指揮系統の混乱を防ぐ準備こそ最大の防御策といえます。

技術対応：感染システムの隔離・遮断

まず実施すべきは、感染の広がりを食い止めるためのシステム隔離と通信遮断です。 マルウェアはネットワーク経由で瞬時に拡散するため、影響を受けた端末やサーバーを物理的・論理的に切り離す判断が求められます。

実際、アサヒグループホールディングスでは障害の発生したシステムの遮断を最優先に進めています。他国企業でも同様に、感染範囲を広めないために即時遮断を優先する判断が取られており、初期段階でのシステムの遮断対応封じ込めの判断は事業への影響を伴うものの、初期対応としては不可欠です。

また、影響範囲の特定にはログやEDRのデータ分析が重要ですが、初動段階では完全な特定が困難な場合も多くあります。そのため、確証が得られるまで動かさない、接続を許可しないという保守的な対応方針が現実的です。並行して、感染経路として利用された可能性のあるアカウントや認証情報を速やかに無効化し、攻撃者による再侵入のリスクを断ち切ることも重要です。特に、サービスアカウントや特権アカウントのパスワードをリセットすることで、横展開や持続的なアクセスを防ぐことができます。

さらに、オンラインで接続されたままのバックアップ環境は暗号化や削除の標的となりやすいため、ネットワークから完全に切り離す、あるいは電源を落とすなどして保護することも忘れないようにしましょう。

業務継続：BCP発動と代替手段の確保

万が一、感染が拡大しシステムが停止した場合でも、重要業務を止めない仕組みであるBCP（事業継続計画）を即時に発動します。アサヒグループHDでは、物流や受注処理を手作業に切り替えることで、早期に業務を再開させています。

過去の事例として、アルミニウム製造のNorsk Hydro 社は、システム停止後、手動運用へ切り替えて操業を維持させました。BCPの策定有無について公式には詳細が示されていませんが、このような対応を可能にした背景には、少なくとも高い事業継続意識と準備があったと考えられます。同様に、トロントの病院SickKidsでは、被害発生時に「コードグレー（システム障害）」を宣言し、電子機器が使えない領域で紙カルテによるダウンタイム手順を即座に発動しました。国内でも半田病院が電子カルテ停止後に手書きカルテやワープロ入力で診療を継続しており、現場レベルでの代替対応が実際に成果を上げています。

このような事例は、BCPが単なる計画ではなく「現場が動ける仕組み」であることを示しています。BCPでは、どの業務を優先し、どの手順で代替運用に切り替えるかを明確に定めておくことが不可欠です。何を、誰が、どの順番で対応するのかを決めていなければ、現場は混乱し、復旧までの時間が倍増します。システム停止時における手動処理や暫定フローは、平時には冗長に見える準備かもしれませんが、危機時には最も現実的な手段となります。

一方で、BCPを実行しても復旧には膨大なコストと時間がかかります。アイルランド保健医療庁（HSE）では、システム再構築と復旧対応だけで5,300万ユーロ以上、最終的には1億ユーロを超える費用が発生しました。BCPは事業を止めないための仕組みではありますが、復旧そのものが高コストで長期化する現実も、経営判断の重要な材料として認識しておく必要があります。

こうした背景から、BCPを有効に機能させるためには、文書化された手順だけでなく、定期的な訓練を通じて「現場で実際に動けるか」を検証しておくことが欠かせません。事前に訓練を重ねておくことで、準備された手順が現場レベルに落とし込まれ、緊急時に確実に発動できる実効性のある体制となるのです。

情報共有：従業員への周知と内部コミュニケーション

初動段階での従業員対応も、被害拡大を抑える重要な要素です。

まず、感染が疑われる端末を利用している従業員に対して、ネットワークからの切断、システム利用の停止、不審メールの開封禁止など、具体的な行動指示を早急に周知しなければなりません。アスクルでは被害判明当日の第1報で、全社的にシステム停止と端末のネットワーク切断を指示し、マルウェア拡散を封じ込めています。広範な被害が疑われる場合には、ノルスク・ハイドロ社のように全従業員のPC・サーバーを一斉にシャットダウンし、徹底的な駆除を行う判断も必要です。ランサムウェアによっては社内アカウントがロックされ、IT担当者さえアクセスできなくなるケースも報告されています。そのため、従業員に対しては、緊急時のアクセス方法や代替認証手順を含めた技術的封じ込めとの連携指示を事前に定めておくことも重要になります。

初期対応中は、現場の不安を抑えつつ、誤った行動を防ぐための正確な情報伝達と進捗共有が欠かせません。情報が不足すると、従業員が独自判断で動き、結果として対応の一貫性が失われます。そのようなことを起こさないために、経営層や緊急対策チームから状況報告や行動方針を日次などの高頻度で共有する定期報告体制を設けるなど、密なコミュニケーションをとる工夫が求められます。

また、被害発生直後は何を止めるかと同時に、何を続けるかを明確にすることも重要です。業務の継続が必要な現場では、停止したシステムの代替手段を迅速に伝えなければなりません。たとえば医療機関では、トロントの病院SickKidsがシステム障害時に「コードグレー（システム障害）」を宣言するなど現場の混乱を防ぐための即時周知をおこなっています。

このように、代替操作やダウンタイム手順を従業員へ即時に周知することが、混乱を最小化しつつ業務を継続させるポイントとなります。

このように、ランサムウェア被害時の社内対応は、指揮体制の確立、感染の封じ込め、業務継続の実行、社内統制の維持という4つの柱で構成されます。

いずれも技術対応だけで完結するものではなく、経営・現場・技術の連携がとれて初めて機能する対応体制です。前述の事例にもあるように、迅速な意思決定と情報共有が被害の拡大防止に直結しており、平時からの準備が結果を左右したことを示しています。

社外対応：信頼を守るための情報開示と連携

ランサムウェア被害にあった場合に、社内での初期対応がひと段落ついたら、社外への然るべき関係者へ連絡することも忘れてはいけません。迅速かつ誠実な情報開示は、被害拡大を防ぐだけでなく、信頼を守るための最も重要な行動となります。

警察や個人情報保護委員会、業界団体、専門家など、報告・連携する先は多岐にわたるため、どのような機関へいつ報告しなければならないか、あらかじめ整理して、連絡する相手と、その連絡経路を把握しておきましょう。

捜査当局・規制当局への通報と連携

ランサムウェア攻撃は明確な犯罪行為にあたるため、被害を受けた組織は速やかに所轄の警察やサイバー当局へ通報し、法的措置や外部支援を受ける体制を整える必要があります。初動対応が遅れると、証拠データの消失や攻撃経路の特定困難につながるため、発覚後早期の通報が鉄則です。

アスクルでは、攻撃当日中に警察などの捜査当局へ被害を通報し、既に捜査が進行中と報じられています。

米国では、MGMリゾーツやColonial Pipeline社が被害発覚直後にFBIへ通報し、当局の支援のもとで分析や交渉対応を進めました。アイルランド保健医療庁（HSE）でも、攻撃直後に国家サイバーセキュリティセンター（NCSC）および警察当局と連携し、国家レベルの緊急対応が行われています。

こうした公的機関への通報によって、法的措置のほか、攻撃手法や脅威情報の共有、デジタル・フォレンジック支援など、他機関との協力を得ることができます。特に、複数の国や業界をまたぐ攻撃では、捜査当局間の連携が情報追跡に直結するため、企業単独での対応よりも被害抑止効果が高まります。通報の際は、捜査機関が求める証拠保全や通信ログの提供など、技術部門と法務部門が連携して対応することが重要です。

また、規制当局への報告体制も並行して整える必要があります。個人情報の漏えいが疑われる場合には、個人情報保護委員会などへの報告が法的義務となる可能性があります。業種によっては、金融庁や厚生労働省、総務省など、監督官庁への報告や説明が求められる場合もあります。これらの報告は被害の全容が判明する前であっても、速報ベースでの第一報を行い、続報で詳細を補足する形が望ましいとされています。

捜査当局や規制当局との早期連携は、単なる法的義務の履行にとどまらず、外部の信頼回復にも大きな効果を持ちます。公的機関との協働によって透明性を確保し、調査・復旧プロセスを公正に進める姿勢を示すことが、社会的信頼の維持につながります。

顧客・取引先への通知と影響説明

システム障害や業務停止が顧客や取引先に影響を及ぼす場合、被害の全容が判明する前であっても、初動段階での通知と説明が求められます。ランサムウェア被害は、取引やサービス提供そのものに直結する経営リスクであり、顧客・取引先との関係維持の観点からも迅速なコミュニケーションが不可欠です。

アスクルでは、ランサムウェア感染によりECサイトを含むシステムが全面停止した際、受注済みの注文について即時キャンセルやサービス一時停止の案内を行い、公式サイト上でもお詫びと状況説明を公表しました。影響範囲や復旧見通しが不明な段階であっても、現時点で分かっていること、今後の対応方針、利用者が取るべき行動を明確に伝えることが、混乱の拡大防止につながります。

同様に、英国のロイヤルメール社は、サイバー攻撃を受けた際に全世界の郵便顧客および海外郵便事業者に対し、直ちに国際発送の一時停止を通知し、国際取引先との調整を行いました。被害範囲を迅速に明示する姿勢は、透明性の確保と信頼維持の点で高く評価されています。

また、取引先企業への連絡も極めて重要です。障害によって納品・出荷が遅延する場合や、委託業務に影響が及ぶ場合には、個別に状況を共有し、対応方針を協議します。影響を受ける取引先が多い場合には、専用の問い合わせ窓口を設けることで、重複した問い合わせ対応や誤情報の拡散を防ぐ効果もあります。 特にサプライチェーン全体で連携する業種では、一社の対応遅れが連鎖的な混乱を引き起こすおそれがあるため、利害関係者との迅速な情報共有と明確な指示出しが、信用不安の拡大を抑えるポイントとなります。

さらに、こうした対外コミュニケーションでは、何をいつ発表するかの判断も重要です。事実確認が不十分なまま情報を出すと誤報リスクが生じますが、発表が遅れれば隠蔽と見なされるおそれがあります。したがって、初報は判明事実に基づいた一次情報の共有とし、その後に続報で詳細や再発防止策を示す段階的な発信をおこないましょう。

このように、顧客や取引先への通知は単なる報告義務ではなく、信頼回復と関係維持のための危機広報（クライシスコミュニケーション）の一環です。誠実かつ一貫した情報発信が、被害拡大を防ぐと同時に、長期的な企業の信用を守る基盤となります。

報道発表・適時開示（事実の公表）

サイバー攻撃の被害が公になると、憶測や誤情報が急速に拡散するおそれがあります。こうした風評被害を抑え、正確な情報を社会に示すためには、初動段階での迅速かつ正確な公表が不可欠です。特に上場企業では、インシデントの内容によっては適時開示の対象となるため、発表のタイミングと内容は経営判断の重要な要素となります。

アスクルは、ランサムウェア感染が判明した当日に「ランサムウェア感染によるシステム障害発生のお知らせとお詫び」と題するプレスリリースを公表し、受注停止などの影響を正確に伝えました。この迅速な初動開示は、上場企業として適時開示義務を果たすとともに、利用者や取引先への説明責任を果たす好例といえます。

アサヒグループHDも同様に、攻撃発生直後に「サイバー攻撃によるシステム障害発生について」を発表し、個人情報流出の有無や影響範囲を段階的に報告しました。こうした対応は、事実関係が完全に判明していない段階でも、現時点で確認されている内容を誠実に伝える、という姿勢が社会的信頼を支えることを示しています。

プレスリリースの形式に限らず、自社ウェブサイトや公式SNS、メールマガジンなどを通じて、状況を継続的にアップデートしていくことも重要です。時間の経過とともに情報が更新されない場合、外部の憶測が先行し、報道のトーンや世論形成に影響を及ぼすリスクがあります。初報で事実を明示し、続報で調査進捗や再発防止策を示すことで、企業としての透明性と責任感を継続的に示すことができます。

また、発表文では事実関係、影響範囲、対応方針、再発防止策などを明確に区分し、感情的表現や曖昧な推測を避けることが重要です。これはメディア報道における誤解を防ぎ、社外関係者への説明責任を果たす上での基本姿勢となります。報道発表や適時開示は、単に情報を外部へ出す作業ではなく、企業の危機管理方針と社会的信頼を示す行為です。

迅速かつ正確な開示を行い、以降の情報発信を一貫したメッセージで続けることが、被害後の信頼回復を左右します。

外部専門家・CSIRTとの連携

ランサムウェア攻撃は、標的型攻撃や多層的な侵入経路を伴う高度な犯罪行為であり、自社のリソースだけでは全容の把握や復旧が難しいケースが少なくありません。そのため、初期段階から外部の専門家や公的CSIRTとの連携を組み込むことが、被害拡大を防ぎ、復旧を加速させるための現実的な手段となります。

実際に、アサヒグループでは緊急対応本部の下で外部のサイバーセキュリティ専門家と協働し、被害分析と復旧作業を同時並行で進めました。米国のMGMリゾーツも、CrowdStrike社をはじめとする複数の専門企業を招集し、攻撃経路の追跡と再発防止策の設計を迅速に実施しています。 アイルランド保健医療庁（HSE）では、国家的な支援体制のもと、国内外の専門家チームを動員して復旧作業を推進しました。一方、国内の半田病院のケースでは、電子カルテベンダーを通じてデータ復旧業者に協力を依頼し、限られたリソースの中で診療継続を実現しています。

これらの事例はいずれも、自力対応の限界を早期に見極めて外部支援を組み込む判断が、初動対応を成功に導いたことを示しています。

また、民間の専門企業だけでなく、CSIRT（コンピュータセキュリティインシデント対応チーム）やISAC（情報共有分析センター）との連携も欠かせません。英国ロイヤルメールの事例では、被害発覚直後に国家サイバー安全保障センター（NCSC）へ連絡し、NCSCおよび情報コミッショナーオフィス（ICO）が速やかに声明を発出しました。こうしたCSIRTや業界ISACとの連携は、単なる報告にとどまらず、他組織との脅威インテリジェンスの共有や再感染防止策の助言につながり、全体の防御力を高める重要な取り組みです。

そして、何より重要なのは、この連携を緊急時に手当たり次第にするのではなく、平時から計画的に準備しておくことです。支援を依頼する候補先や連絡経路、情報共有の手順を明文化しておけば、被害発生時にも迷うことなく動けます。

外部支援は緊急時の最後の手段ではなく、平時から備えるべき経営インフラの一部です。誰と、どのタイミングで連携するのかを定義しておくことが、インシデントを最短で収束させるポイントとなります。

ランサムウェア被害時の社外対応は、単なる報告や謝罪ではなく、社会との信頼関係を維持・再構築するための行動です。警察や規制当局との連携、顧客や取引先への誠実な説明、正確な報道発表と専門機関との協働のいずれもが、企業の透明性と責任ある姿勢を示す機会でもあります。 情報を隠すことよりも、正確に、早く、継続的に開示することが、信頼を守る最善の防御策となります。

被害後の教訓と今後の備え

原因分析と再発防止

ランサムウェア攻撃の被害対応は、復旧で終わりではありません。被害の背景には、脆弱な設定、過剰な権限、更新の遅れ、認証の不備など、複数の要因が重なっていることが多くあります。同じ被害に遭わないために、根本原因の特定と、再発防止策の策定が必要不可欠です。

根本原因の特定では、なぜ防げなかったのか、という点に着目して原因を究明していきます。感染経路や侵入の手口を解析するだけでなく、それが攻撃成功に至ってしまった背景まで整理することが重要です。たとえば、感染経路がVPNサーバの脆弱性をついたものであったなら、VPNサーバになぜ脆弱性が残っていたのか、というところが重要になります。そもそもVPNサーバに脆弱性があることを認識していたのか、認識していたならなぜそのままにしていたのか、認識できていなかったのなら、脆弱性を管理する体制はどうなっていたのか、というように芋づる式に原因を深掘りしていくと、より本質的な対策に繋げることができます。

再発防止策の策定では、技術面、運用面、組織面の3つの観点で構築する必要があります。技術面では、多要素認証の導入、権限の最小化、バックアップのネットワーク分離、EDRの常時監視など、侵入後の拡散を抑える仕組みを強化します。運用面では、パッチ管理や資産管理の徹底、アクセス権限の定期棚卸し、外部委託先を含むセキュリティルールの再整備が求められます。組織面では、CSIRTの常設化、インシデント発生時の意思決定プロセスの再定義、報告・承認ルートの明確化を進めます。特定した原因を単一視せず、複数の角度から対策を講じることで、再発防止策はより実効性を持つものになります。

また、これらを文書化し、年次や半期ごとにレビューを実施することで、対策が一時的な対応で終わらず、組織の標準として定着します。HSEやMGMなどの被害事例では、再発防止策を外部専門家とともに策定し、セキュリティ・ガバナンス全体の再設計に踏み込んだことが報告されています。 同様に、国内でも川崎重工などが、インシデント対応を通じて運用体制や社内規程を全面的に見直しました。

これらの事例が示すように、定期的なレビューを制度として組み込み、改善を継続的に促す仕組みを確立することも、ランサムウェア感染をはじめとするセキュリティインシデント発生を防止していく効果的な手段となります。

平時からの備え

ランサムウェアへの平時から実施できる対策には、EDRやMDR、SOCによる監視と検知、ファイアウォールの設置など技術的な対策だけでも多くの選択肢があります。しかしながら、ランサムウェア被害は、平時の管理や備えの不十分さに起因していることも多く、技術的な防御策だけでなく、資産・人・体制の三要素を平時から整えることが欠かせません。

まず基本となるのは、資産と脆弱性の管理です。どのシステムがどこにあり、どのバージョンが稼働しているかを正確に把握できなければ、脆弱性情報を得ても対応に結びつきません。資産管理台帳や構成管理データベース（CMDB）を活用し、すべてのシステム・端末・ソフトウェアの状態を定期的に更新する必要があります。また、脆弱性管理においては、定期スキャンの結果を単なる一覧として残すのではなく、リスク評価と対応優先度の整理（トリアージ）まで行い、改善サイクルを業務プロセスに組み込むことが重要です。こうした平時の整備が、攻撃発生時の封じ込めスピードを大きく左右します。

次に、従業員教育と意識づけの継続的な実施も重要です。メールの添付開封、生成AIやクラウドツールの利用など、攻撃の入口は日常の操作の中にあります。一度限りの研修ではなく、職種や業務内容に応じた継続教育を通じて、なぜそれが危険なのかを理解させ、判断できる従業員を増やすことが、最も効果的な防御策です。とくに、インシデント報告訓練や疑似フィッシング演習のように、体験型で行動変容を促す仕組みを組み込むことで、教育は単なる知識の習得ではなく、行動を変えるきっかけとして機能します。

3つ目に、BCPの構築と訓練の実施です。被害を完全に防ぐことは不可能でも、被害を受けた後に止めない仕組みを動かせるかどうかで結果は大きく異なります。重要システムの代替手順、手動運用の手順書、通信遮断時の連絡経路などを具体的に定義し、半年〜1年ごとに実践訓練を行うことで、机上計画を実働計画へと昇華できます。また、訓練は単なる手順確認にとどめず、対応の遅れや指揮系統の課題を抽出し、次回に改善を反映させる、演習後レビュー（After Action Review）を実施することで、組織の危機対応力は確実に高まります。

加えて、ランサムウェア対応では、身代金の要求があった際の対応方針（警察庁や海外のガイドラインに従い、原則支払わない姿勢をとること）についても、初期段階で経営層の意思決定が必要になるため、方針として定めておくと良いでしょう。

最後に、報告や改善提案がしやすい体制づくりです。多くの組織では、現場の気づきが上層部に届かず、潜在的なリスクが放置される傾向があります。日常業務の中で、怪しい挙動や設定不備を見つけた際に、心理的なハードルなく報告できる仕組みは重要です。たとえば、匿名報告フォームやチケット管理による改善プロセスを整えることで、リスクは早期に顕在化します。また、IT部門だけでなく、総務・人事・営業など各部門が自部門のセキュリティリスクを認識し、相互に相談できる文化を醸成することも、長期的なリスク低減に直結します。

このように、平時の取り組みとは、単なる技術的な防御策ではなく、組織としての対応力を向上させることです。資産・体制・人の3要素を地道に整備し続けることが、被害を受けたときに組織を守る唯一の確実な備えとなります。

まとめ

ランサムウェア攻撃は、単なるサイバーセキュリティ上の問題ではなく、経営・業務・信頼のすべてに影響を及ぼす危機です。インシデント対応の巧拙を分けるのは、特定の技術の有無ではなく、どれだけ早く、組織として動けるかにあります。

被害の拡大を防ぐための迅速な封じ込めと意思決定、顧客や当局への誠実な情報開示、復旧後の原因分析と再発防止策の定着、そして平時からの備えまでのプロセスは、危機対応力を平常運転の中に組み込むという一点に集約されます。

多くの企業事例が示すように、サイバー攻撃の被害そのものよりも、その後の対応姿勢こそが社会からの信頼を決定づけます。 起きない前提ではなく、起きても止まらない前提で仕組みを作り、訓練と改善を繰り返すことが、ランサムウェアをはじめとするサイバー脅威に対して、最も確実で実践的な防御策となるでしょう。