ランサムウェア被害の現状
警察庁の「サイバー空間をめぐる脅威の情勢等について」(2025年版)によると、ランサムウェア被害の約6割が中小企業です。「うちのような小さな会社が狙われるはずがない」という認識は、もはや通用しません。
攻撃者にとって中小企業は「セキュリティ投資が少ない」「専任担当者がいない」「身代金を払う可能性がある」という点で効率の良いターゲットです。さらに、サプライチェーン攻撃の踏み台として中小企業が狙われるケースも増加しています。
ランサムウェア被害を受けた中小企業の平均復旧期間は約3週間、被害額は平均2,386万円(データ復旧、事業停止損失、調査費用含む)という調査結果があります。身代金を支払っても、データが完全に復旧する保証はありません。
Defender for Endpoint のランサムウェア対策機能
Microsoft Defender for Endpoint(MDE)は、Microsoft 365 Business Premiumに含まれるエンドポイントセキュリティ製品です。中小企業向けの「Defender for Business」としても提供されています。
主要なランサムウェア対策機能
| 機能 | 内容 | ランサムウェアへの効果 |
|---|---|---|
| 次世代アンチウイルス | クラウドベースのAI分析で未知のマルウェアを検出 | 既知・未知のランサムウェアの侵入をブロック |
| EDR(エンドポイント検出・対応) | 端末の挙動を常時監視し、不審な動作をリアルタイム検出 | 暗号化開始前の不審な挙動(大量ファイルアクセス等)を検出・隔離 |
| ASR(攻撃面の縮小)ルール | Office文書のマクロ実行、スクリプト実行などを制限 | メール添付ファイルからの初期侵入を防止 |
| ネットワーク保護 | 悪意のあるURLやC2サーバーへの通信をブロック | ランサムウェアの通信(鍵の取得、データ窃取)を遮断 |
| 自動調査・修復 | アラート発生時に自動で調査・対処を実行 | 検出から隔離までの時間を短縮(MTTR削減) |
| タンパープロテクション | Defender自体の無効化を防止 | 攻撃者によるセキュリティソフトの停止を防止 |
ASRルールの推奨設定
ASR(Attack Surface Reduction)ルールは、ランサムウェアの初期侵入を防ぐ最も効果的な機能の一つですが、多くの中小企業で未設定のままです。
| ASRルール | 推奨モード | 効果 |
|---|---|---|
| Office アプリからの実行可能コンテンツの作成をブロック | ブロック | マクロ経由のマルウェアダウンロードを防止 |
| Office アプリからの子プロセス作成をブロック | ブロック | PowerShell等の実行を防止 |
| メールクライアントからの実行可能コンテンツの作成をブロック | ブロック | メール添付の実行ファイル起動を防止 |
| ランサムウェアに対する高度な保護を使用する | ブロック | ランサムウェアの振る舞いパターンを検出・遮断 |
| PSExec および WMI コマンドからのプロセス作成をブロック | 監査→ブロック | 横展開(ラテラルムーブメント)を防止 |
ASRルールはいきなり「ブロック」モードで有効化すると、業務アプリに影響が出る場合があります。まずは「監査」モードで2〜4週間運用し、業務への影響を確認してから「ブロック」に切り替えることをお勧めします。Intuneから一括設定できます。
Defender for Endpoint だけでは不十分な領域
Defender for Endpointは優れた製品ですが、ランサムウェア対策の全領域をカバーするものではありません。以下の領域は別途対策が必要です。
| 不足する領域 | 理由 | 補完策 |
|---|---|---|
| バックアップ | Defenderは「防御」であり、被害後の「復旧」機能はない | Microsoft 365 Backup、Azure Backup、またはサードパーティ製品でオフラインバックアップ |
| メールセキュリティ | Defenderはエンドポイント保護。メールゲートウェイは別製品 | Defender for Office 365(Safe Links / Safe Attachments)で補完 |
| ネットワーク境界防御 | VPN装置やファイアウォールの脆弱性はDefenderの範囲外 | UTM/ファイアウォールのファームウェア更新、VPN装置の脆弱性管理 |
| セキュリティ運用(SOC) | アラートが上がっても対応する人がいなければ意味がない | 社内SOC体制の構築、またはMDR(マネージド検出・対応)サービスの利用 |
| 従業員教育 | 技術的対策だけでは防げない(フィッシングメールのクリック等) | 定期的なセキュリティ研修、フィッシング訓練メール |
| インシデント対応計画 | 被害発生時の対応手順がないと混乱する | インシデント対応計画の策定・訓練 |
中小企業向け多層防御のモデル
ランサムウェア対策は多層防御(Defense in Depth)の考え方が基本です。予算に応じた推奨構成を紹介します。
| レイヤー | 対策 | 製品・サービス例 | 月額目安 |
|---|---|---|---|
| 境界防御 | UTM/ファイアウォール | FortiGate、Meraki MX | 1〜3万円 |
| メール防御 | メールフィルタリング | Defender for Office 365 | M365 BPに含む |
| 端末防御 | EDR/アンチウイルス | Defender for Endpoint | M365 BPに含む |
| ID防御 | MFA/条件付きアクセス | Entra ID + 条件付きアクセス | M365 BPに含む |
| バックアップ | 3-2-1ルールのバックアップ | Microsoft 365 Backup + NAS | 1〜2万円 |
| 運用 | アラート監視・対応 | MDR / SOCサービス | 5〜15万円 |
| 人的対策 | セキュリティ教育 | 研修・フィッシング訓練 | 0.5〜2万円 |
Microsoft 365 Business Premiumを基盤とすれば、境界防御とバックアップ、運用を追加するだけで、中小企業に必要な多層防御を実現できます。
ランサムウェア対策チェックリスト
- Defender for Endpointが全端末にデプロイされているか確認
- ASRルールが有効化されているか確認(特にランサムウェア保護ルール)
- タンパープロテクションが有効か確認
- 自動調査・修復が有効か確認
- バックアップが3-2-1ルールで運用されているか確認(復元テスト含む)
- VPN装置・UTMのファームウェアが最新か確認
- MFAが全ユーザーに強制されているか確認
- インシデント対応計画が策定され、関係者に周知されているか確認
- セキュリティ教育が年2回以上実施されているか確認
- アラート対応体制(社内 or MDR)が確立されているか確認
まとめ
Microsoft Defender for Endpointは中小企業のランサムウェア対策において非常に強力な武器です。特にMicrosoft 365 Business Premiumに含まれているため、追加コストなしでEDRレベルの保護を実現できる点は大きなメリットです。
しかし、Defenderはあくまで「防御」の一要素です。バックアップ、運用体制、従業員教育を含む多層防御を構築してはじめて、ランサムウェアに対する実効性のある対策といえます。「Defenderを入れたから安心」ではなく、「Defenderを軸に多層防御を組む」という考え方で取り組みましょう。