【身代金を払わなかった会社が"復旧できなかった"現実】〜ランサムウェア対策の「正しい判断」が経営を守るとは限らない〜
ランサムウェアに感染した場合、「身代金は払うな」という原則論は広く知られている。警察庁もIPAも、そう指導している。多くの経営者はその言葉を頭に刻んでいるはずだ。しかし、JIPDEC「企業IT利活用動向調査2026」が示したデータは、その「正しい判断」を実行した会社の約3割がシステムを復旧できなかったという現実である。
「払わない」という判断は正しい。だがその判断を支える準備がなければ、正しい判断が最悪の結果を招く。これは技術の問題ではなく、事前設計なき意思決定の構造的な失敗である。本稿では、「払う・払わない」という二択の議論から一歩引いて、中小企業経営者が本当に問うべき問いを整理する。
「払わない」が正解という思い込みの危うさ
「正しい知識」と「使える準備」は別物である
「身代金は払うな」という原則は間違っていない。支払いが攻撃者の資金源になること、支払っても復号できる保証がないこと、支払い企業がリスト化されて再攻撃を受けるリスクがあること——これらは事実だ。しかし、この原則が機能する前提がある。バックアップが取れていること、復旧手順が整備されていること、代替業務が動かせることだ。
その前提を欠いたまま「払わない」を選択した場合、経営者は「正しい判断をした」と思い込みながら、事業の継続能力を失う。知識と準備は別物である。
28.4%という数字が意味すること
JIPDEC調査によれば、ランサムウェア感染後に身代金を支払わなかった企業のうち、システムを復旧できなかった割合は28.4%に達している。約3社に1社が、「正しい判断」をした結果として復旧に失敗した計算になる。
この数字を単純に「対策が甘かった」と片付けることはできない。多くの企業は「うちには大したデータがない」「バックアップはしている」という認識のもとで感染前を過ごしている。だが感染後に初めて、そのバックアップが暗号化されていたことや、復旧手順が存在しないことに気づく。
復旧コストの現実——1,000万円超・1ヶ月超
復旧できなかった企業はもちろん、復旧できた企業にも重い代償が伴う。復旧費用が1,000万円を超えるケースは増加傾向にあり、業務停止期間が1ヶ月を超える事例も珍しくない。人件費・機会損失・信用毀損を含めれば、実質的な損害はさらに大きくなる。
問題は「払ったかどうか」ではない。「どれだけ早く、どこまで戻せるか」である。
人間の判断が「事前準備」を後回しにする構造
「今は大丈夫」という正常性バイアス
なぜ経営者はBCPやバックアップ設計を後回しにするのか。技術的な知識がないからではない。正常性バイアスが働いているからだ。「今まで問題が起きていない」という事実が、「これからも起きないだろう」という根拠のない楽観に変換される。
ダニエル・カーネマンが『ファスト&スロー』で論じたシステム1(直感的・自動的な判断)の特性そのものである。人は脅威を論理的に評価するより前に、「自分には関係ない」と感じてしまう。このクセは、知識があっても上書きされない。
「後でやる」が「永遠にやらない」になる現象
行動経済学で言う現在バイアス——目の前の利益や手間を過大評価し、将来の損失を過小評価する傾向——は、セキュリティ対策の先送りを構造的に生み出す。バックアップ設計やBCP策定は、今日の業務には何の貢献もしない。効果が見えない投資は後回しになる。
「重要性はわかっている。でも今は忙しい」という声は、能力の問題ではなく判断特性の問題である。経営者自身がこの構造に気づかない限り、何度同じ話を聞いても動かない。
「払わない覚悟」だけ先行して、準備が追いつかない
経営者の中には「もしランサムウェアにやられても、身代金なんて払わない」という意思だけは固い人がいる。しかしその覚悟は、準備のない覚悟である。覚悟と能力は別物だ。
払わない判断を実行するためには、払わなくても事業を継続できる設計が先に必要だ。その設計なしに覚悟だけを持っていることは、緊急時に経営者の判断を最悪の選択肢に追い込む。
「払う・払わない」より先に問うべきこと
「選択肢を持てる状態か」が本当の問い
ランサムウェア対応の議論は往々にして「払うべきか、払わないべきか」に集中する。だがその前提として、経営者に選択肢があるかどうかが問われていない。
バックアップが完全な形で分離保管されており、復旧手順が文書化され、代替業務の経路が確保されている企業は、「払わない」を選べる。その準備がない企業は、事実上「払うか、廃業か」に近い状況に追い込まれる。選択肢のない判断は、判断ではない。
「バックアップがある」は安心の根拠にならない
「バックアップは取っている」という経営者は多い。しかしそのバックアップが、感染したシステムと同一ネットワーク上にあれば、同時に暗号化される。クラウドに自動同期しているだけであれば、暗号化されたファイルがそのまま同期される。
バックアップの「存在」と「使えること」は別である。 復旧テストを実施していない企業は、バックアップがある企業ではなく、バックアップがあると思っている企業である。
復旧を「設計」するという発想がない
多くの中小企業のインシデント対応は、「感染したら専門業者を呼ぶ」で終わっている。しかし、業者を呼ぶまでの間、業務はどう動かすか。顧客への連絡はどうするか。代替の連絡手段はあるか。判断権限は誰が持つか。
これらが設計されていない企業は、感染後に初めてこれらを考え始める。そのタイミングで正常な経営判断ができるほど、人間のシステム1は強くない。パニック下の意思決定は、冷静な状況下のそれとは全く異なる。
中小企業が今すぐ問い直すべき3つの構造
「技術的な対策」と「事業継続設計」を混同していないか
EDRの導入、UTMの更新、社員教育——これらはすべて「感染を防ぐ」側の対策である。これらが有効であることは否定しない。しかし、「感染した後でも事業を継続できるか」という問いへの答えにはなっていない。
防御と継続は、別の設計が必要だ。 防御に投資しながら継続の設計がない企業は、「鍵をかけたが、鍵が壊されたときの代替出口がない家」に住んでいる。
「誰が何を判断するか」がインシデント時に決まっていない
ランサムウェア感染時、最初の1時間の判断が復旧可否を左右すると言われる。ネットワークを遮断するか、どの業者に連絡するか、社員に何を指示するか——これらを誰が、何を根拠に、どの順番で判断するかが事前に決まっていない企業は、貴重な初動を混乱のうちに失う。
判断権限と連絡先と初動手順を一枚の紙にまとめておくだけで、最悪の事態を避けられることがある。それが整備されているかどうかが、準備のある企業とない企業の分岐点だ。
「うちは中小だから狙われない」という前提は崩壊している
かつてランサムウェアの標的は大企業が中心だった。しかし現在、攻撃の手口は自動化・低コスト化され、中小企業は「守りが薄い標的」として積極的に狙われている。サプライチェーンを経由した攻撃では、大企業の取引先として中小企業が踏み台にされるケースも増えている。
「うちには関係ない」という前提は、もはや根拠を失っている。その前提を持ち続けることは、正常性バイアスが生む錯覚そのものである。
結論 — 経営者が取るべき次の一歩
「身代金を払わない」という判断は正しい。しかしその判断が機能するのは、払わなくても事業を継続できる設計が先にある場合に限られる。28.4%という数字は、正しい判断を下した経営者が、準備のなさによって最悪の結果を招いた現実を示している。「払う・払わない」の議論より先に、「そもそも選択肢を持てる状態か」を問い直すことが本質である。
経営者は、防御対策の整備と並行して、感染後の事業継続設計——バックアップの分離保管と復旧テスト、初動の判断フローと権限の明確化——を自社の経営課題として扱うべきである。
第一歩は、「感染したら業者に連絡する」ではなく、「感染した翌朝、業務をどう動かすか」を一枚の紙に書き出すことである。
