ランサムウェア対策チェックリスト【中小企業向け】ITコーディネータが徹底解説

「ランサムウェアは大企業の話」——そう思っていませんか?実際にはサイバー攻撃被害の半数以上は中小企業が占めており、セキュリティ対策が手薄な企業ほど狙われやすい状況です。IPAの「情報セキュリティ10大脅威 2026」でも、ランサムウェア攻撃は11年連続1位となっています。

ランサムウェアに感染すると、業務データが暗号化されて業務が完全停止し、復旧までに数週間〜数ヶ月かかるケースもあります。身代金を払っても復元できない事例も多く、「感染してから対処」では手遅れです。本記事では、今日からすぐに使えるチェックリスト形式で、中小企業が取るべき対策を解説します。

⚠️ ランサムウェア被害の現実
  • 感染から業務復旧まで平均3週間〜2ヶ月かかる
  • 復旧にかかる費用は平均数百万〜数千万円規模
  • 身代金を支払ってもデータが戻らないケースが約30%
  • 感染企業の約60%は中小企業(警察庁調査)
📌 この記事でわかること
  • ランサムウェアの仕組みと感染経路
  • 中小企業向け対策チェックリスト(全28項目)
  • 感染してしまったときの初動対応
  • IT導入補助金を使ったセキュリティ強化の方法

ランサムウェアとは何か

ランサムウェア(Ransomware)とは、感染したコンピューターのファイルを暗号化して使用不能にし、復号と引き換えに身代金(Ransom)を要求するマルウェア(悪意あるソフトウェア)です。

近年は単純な暗号化にとどまらず、データを盗み出した上で「公開するぞ」と二重に脅迫する「二重脅迫型」が主流になっています。また、攻撃者がランサムウェアをサービスとして提供する「RaaS(Ransomware as a Service)」の普及により、技術力が低い攻撃者でも容易に攻撃できる環境が整ってしまっています。

攻撃の種類 内容
単純暗号化型 ファイルを暗号化して身代金を要求する基本形
二重脅迫型 暗号化+データ窃取。「払わなければデータを公開する」と脅す
三重脅迫型 さらに取引先・顧客にも攻撃・連絡して圧力をかける
ノーウェアランサム 暗号化せずデータ窃取だけで脅迫する新型

主な感染経路

対策を立てるには、まず「どこから感染するか」を知ることが重要です。

① メール(最多)

フィッシングメールの添付ファイル(Word・Excel・PDF)やURLリンクを開くことで感染します。AIの活用で日本語が自然になり、見破りにくくなっています。宅配便・請求書・税務署・取引先を装ったメールが多く報告されています。

② VPN・リモートデスクトップの脆弱性

テレワーク普及で急増した感染経路です。パッチ未適用のVPN機器や、パスワードが弱いリモートデスクトップ(RDP)に侵入し、ネットワーク内を横展開してランサムウェアを仕掛けます。

③ ソフトウェアの脆弱性

OSやアプリの既知の脆弱性を悪用した攻撃です。パッチ(更新プログラム)の適用が遅れた端末・機器が特に狙われます。

④ サプライチェーン経由

取引先・委託先が感染し、そこからネットワーク接続を通じて自社に侵入するケースが増加中です。「取引先がセキュリティ対策済みだから大丈夫」は通用しない時代です。

⑤ 不正なWebサイト・広告

改ざんされたWebサイトや悪意ある広告を閲覧しただけで感染する「ドライブバイダウンロード」型の攻撃もあります。

ランサムウェア対策チェックリスト(全28項目)

以下のチェックリストを使って、自社の対策状況を確認してください。「×」や「△」が多い項目から優先的に対処することをお勧めします。

🛡️ A. バックアップ対策(最重要)
確認 チェック項目 解説・推奨対応
重要データのバックアップを定期的に取得している 最低でも週1回、できれば毎日
オフラインバックアップ(ネットワーク未接続)を保持している 外付けHDD等を取得後にケーブルを抜く
バックアップを3か所以上(オンライン・オフライン・別拠点等)に保管している 「3-2-1ルール」を実践する
バックアップからの復元テストを定期的に実施している 半年に1回以上。取るだけでは不十分
バックアップデータへのアクセスに別の認証情報を使用している 同じIDで管理するとバックアップも暗号化される
クラウドバックアップサービス(イミュータブルバックアップ対応)を利用している 変更・削除不可設定で上書き攻撃を防ぐ
🔐 B. アクセス管理・認証
確認 チェック項目 解説・推奨対応
重要システム・クラウドサービスに多要素認証(MFA)を設定している Microsoft 365・Google・VPNは必須
パスワードは12文字以上の複雑なものを使用し、使い回しをしていない パスワードマネージャーの活用を推奨
ユーザーアカウントに最小権限の原則を適用している 管理者権限は必要最小限の人のみ
退職者・異動者のアカウントを即日無効化する手順がある 退職後アカウントを放置しない
リモートデスクトップ(RDP)をインターネットに直接公開していない VPN経由に限定する
特権ID(管理者アカウント)の使用状況をログで記録・監視している 異常な操作を早期発見するため
💻 C. パッチ管理・端末対策
確認 チェック項目 解説・推奨対応
OSのセキュリティ更新プログラムを月1回以上適用している 自動更新を有効にするのが最も確実
VPN機器・ルーター・ファイアウォールのファームウェアを最新に保っている 境界機器の脆弱性が最も狙われやすい
ウイルス対策ソフトを全端末に導入し、定義ファイルを最新に保っている Windows Defenderでも有効
EDR(エンドポイント検知・対応)ツールを導入している 従来のウイルス対策では検知できない攻撃に対応
サポート終了(EOL)のOSや機器を使用していない Windows 10は2025年10月にサポート終了済
私用端末(BYOD)を業務利用する場合のルールを定めている 個人端末は管理が行き届かないリスクがある
📧 D. メール・Web対策
確認 チェック項目 解説・推奨対応
メールのなりすまし対策(SPF・DKIM・DMARC)を設定している ドメイン管理会社やIT担当者に確認を
不審なメールの添付ファイルを開かないルールを社内周知している 標的型メール訓練で意識を高める
メール本文のURLをクリックする前に送信元・URLを確認する習慣がある ホバーしてURLを確認する
Webフィルタリングツールで危険サイトへのアクセスをブロックしている DNSフィルタリングサービスが手軽
マクロ(VBA)の自動実行を無効化している(Office製品) Officeの「マクロを無効にする」設定を確認
👥 E. 従業員教育・社内ルール
確認 チェック項目 解説・推奨対応
年1回以上の情報セキュリティ研修を実施している IPA無料教材や外部研修を活用
標的型メール訓練(模擬フィッシング)を年1回以上実施している 実際に体験させることで意識が定着する
インシデント発生時の報告ルート・連絡先を全員が知っている 「誰にどう報告するか」を文書化する
情報セキュリティポリシーを策定し、全従業員に周知している IPA「中小企業の情報セキュリティ対策ガイドライン」を参考に
USBメモリ等の外部記憶媒体の使用ルールを定めている 持ち込み禁止 or 承認制にする
🚨 F. インシデント対応の事前準備
確認 チェック項目 解説・推奨対応
サイバー攻撃被害時の緊急連絡先リスト(警察・IPA・保険等)を作成している インターネットが使えなくても参照できる紙で保管
サイバー保険に加入している 復旧費用・賠償費用をカバーできる
インシデント対応マニュアル(初動手順書)を整備している パニック状態でも動ける手順を事前に準備
信頼できるITベンダー・ITコーディネータの連絡先を確保している 有事に相談できる専門家を事前に決めておく
📊 チェックリスト結果の見方
✅ 24〜28個 対策は十分な水準。定期的な見直しを継続してください。
⚠️ 15〜23個 基本対策は整いつつあります。未チェック項目を優先的に対処してください。
🚨 14個以下 早急な対策が必要です。特にバックアップ(A)と多要素認証(B)から始めてください。

特に重要:バックアップの正しい運用(3-2-1ルール)

ランサムウェア対策の中で最も重要なのがバックアップです。「バックアップを取っているから大丈夫」と思っていても、設定が不十分だと感染時に役に立たないことがあります。

3-2-1ルール

  • 3:データのコピーを3つ以上持つ(オリジナル+バックアップ2つ)
  • 2:2種類以上の異なる記憶媒体に保存する(クラウド+外付けHDD等)
  • 1:1つはオフサイト(別の場所)またはオフラインに保管する

よくある「バックアップの落とし穴」

NGパターン 問題点 正しい対応
常時接続の外付けHDDのみ 感染時にHDDのデータも暗号化される 取得後はケーブルを必ず抜く
NASのみでバックアップ ネットワーク接続されているため暗号化リスクあり クラウドバックアップと併用する
復元テストをしたことがない いざというときに復元できない 半年に1回テスト復元を実施する
バックアップ先が本番と同じアカウント アカウント乗っ取りでバックアップごと消される 専用の別アカウントで管理する

感染してしまったときの初動対応

万が一感染してしまった場合、最初の数分〜数時間の対応が被害の拡大を左右します。パニックにならないよう、手順を事前に把握しておきましょう。

🚨 感染発覚時の初動手順

STEP 1:すぐにネットワークから切断する
感染端末のLANケーブルを抜く・Wi-Fiをオフにする。感染の横展開を止めるのが最優先。電源は切らない(ログが消えるリスクあり)。
STEP 2:社内の関係者に即座に報告・共有する
経営者・IT担当者・全従業員に状況を周知。他の端末でも同様の症状がないか確認を依頼する。
STEP 3:証拠を保全する(電源は入れたまま)
身代金要求画面・感染ファイルをスマホで撮影。ログを保全する。感染端末の電源を落とさないこと。
STEP 4:専門機関・専門家に相談する
IPA情報セキュリティ安心相談窓口:03-5978-7509
警察のサイバー犯罪相談窓口(最寄りの都道府県警察)
契約中のITベンダー・ITコーディネータ
STEP 5:身代金は支払わない
支払いが攻撃継続の資金源になる。支払っても約30%のケースでデータが戻らない。専門家に相談してから判断を。
STEP 6:バックアップから復旧する
感染していないクリーンな端末を用意し、バックアップからデータを復元する。復旧前に感染経路の特定・封じ込めが完了していることを確認。
⚠️ やってはいけないこと
  • 感染端末の電源をすぐに切る(ログが消え、調査が困難になる)
  • 身代金を先に払う(専門家に相談してから判断する)
  • 感染したまま業務を続ける(感染が広がる)
  • 一人で抱え込む(早急に経営者・専門家に報告する)

IT導入補助金でセキュリティ対策を強化する

ランサムウェア対策に必要なツール・サービスの多くは、IT導入補助金の対象となっています。費用の一部を補助金でまかないながら、対策を強化することが可能です。

対策ツール・サービス 補助金区分 補助率
EDR(エンドポイント検知・対応)ツール IT導入補助金(セキュリティ対策推進枠) 最大3/4
クラウドバックアップサービス IT導入補助金(通常枠) 最大1/2
多要素認証・セキュリティソフト IT導入補助金(セキュリティ対策推進枠) 最大3/4
UTM(統合脅威管理機器) IT導入補助金(セキュリティ対策推進枠) 最大3/4
サイバーセキュリティお助け隊サービス IT導入補助金(セキュリティ対策推進枠) 最大3/4
✅ 補助金申請のポイント
  • IT導入補助金は「IT導入支援事業者(ITベンダー)」を通じた申請が必要。ITコーディネータがサポートできます
  • 「セキュリティ対策推進枠」は補助率が高く、セキュリティ専用の区分があります
  • 申請前にSECURITY ACTION(IPAの自己宣言制度)への宣言が要件になる場合があります
  • 補助金の要件・金額・募集期間は毎年変わります。最新情報はIT導入補助金公式サイトでご確認ください

まとめ:今日から始めるランサムウェア対策

ランサムウェア対策は、「全部完璧にやってから」ではなく、できることから今日始めることが最も重要です。優先順位をつけるなら以下の順番をお勧めします。

🏆 今すぐ取り組む優先順位トップ3
  1. オフラインバックアップの整備——感染後の復旧手段を確保する(最重要)
  2. 多要素認証(MFA)の設定——メール・VPN・クラウドサービスに今すぐ設定
  3. OS・VPN機器のパッチ適用——未更新の機器を今日中に確認・更新
  • ランサムウェアは中小企業にとっても他人事ではなく、「感染したらどうなるか」を経営者が認識することが出発点
  • 28項目のチェックリストで現状を把握し、未対応項目から優先的に対処する
  • バックアップ・多要素認証・パッチ管理の3点が最優先の基本対策
  • IT導入補助金(セキュリティ対策推進枠)を活用すれば、費用の最大3/4を補助できる
  • 万が一感染したら、ネットワーク切断→専門家への相談→身代金は払わない、が鉄則

チェックリストの結果が14個以下だった方、または「どこから手をつければよいかわからない」という方は、ITコーディネータへの無料相談をご活用ください。補助金申請のサポートも含めて、自社の状況に合った対策をご提案します。

セキュリティ対策・補助金活用のご相談はお気軽に

ITコーディネータ・デジタルナビゲーターが現状診断からツール選定・補助金申請まで中立的な立場でサポートします。
埼玉・東京を中心に、オンライン全国対応。

無料相談はこちら →

※本記事の情報は2026年3月時点のものです。補助金の要件・金額は変更になる場合があります。
参考:IPA 独立行政法人 情報処理推進機構「情報セキュリティ10大脅威 2026」(https://www.ipa.go.jp/security/10threats/10threats2026.html