ランサムウェア対策 完全ガイド｜エンドポイント防御×SaaSデータ保護で作る現実的な備え方

ランサムウェアの被害報道が止まらない一方で、「うちはバックアップを取っているから大丈夫」と考えている中小企業も少なくありません。

しかし現在のランサムウェアは、「データを暗号化する前に盗み出す」二重脅迫が主流になっており、バックアップだけでは防ぎきれない被害が次々と発生しています。さらに、Microsoft 365やGoogle Workspaceに保存しているSaaSデータは「クラウド側が守ってくれる」と誤解されがちですが、長期保護はユーザー責任です。

本記事では、ランサムウェアから事業を守るための「エンドポイント防御」と「SaaSデータ保護」の二層防御の作り方を、c-compe.com 取扱製品（Sophos Endpoint・SysCloud）を例にわかりやすく解説します。

なぜ「アンチウイルス＋社内バックアップ」だけでは足りないのか

ランサムウェア対策＝アンチウイルスとバックアップ、というイメージは依然として強いものですが、近年の攻撃手口を踏まえると3つの大きな盲点があります。

盲点① 二重脅迫により「復旧できても払う必要がある」

近年のランサムウェアは、暗号化に先立って機密データを窃取し、「払わなければデータを公開する」と脅す二重脅迫が常態化しています。

バックアップから完全復旧できたとしても、流出したデータの暴露を止めるには別の手段が必要となります。侵入そのものを防ぐエンドポイント防御＋EDR／XDRを組み合わせることが必須です。

盲点② SaaSデータ（M365・Google Workspace）はクラウド側で守ってくれない

Microsoft 365もGoogle Workspaceも、「サービスインフラの可用性」は保証していますが、「ユーザーデータの長期バックアップ」は提供していません。

標準のごみ箱保持期間（30〜93日程度）を過ぎた削除データ、ランサムウェアにより同期で破損したファイル、退職者アカウントの削除に伴って失われたメール・チャット履歴などは、標準機能では復旧できません。

盲点③ 社内バックアップは「一緒に暗号化される」リスクがある

社内のNASや同一LAN内のバックアップサーバは、ランサムウェアが横展開した際に本体データと一緒に暗号化されることが少なくありません。

さらに、最近の業務はMicrosoft 365やGoogle WorkspaceなどのSaaSサービスにデータが集中しているため、「社内NASにバックアップ」しているデータと、本当に守るべきデータの場所が一致していないケースも多くあります。SaaSデータはSaaS専用の保護手段で守る必要があるのです。

ランサムウェア対策の「二層防御」モデル

これらの盲点を埋めるために必要なのが、「侵入させない」「SaaSデータを失わない」の二層防御です。

それぞれの層を担う代表的な製品と役割を整理すると、次のようになります。

2つの層と担当製品

ここからは、各層の役割と該当製品の特徴を順に見ていきます。

第1層｜エンドポイント防御：Sophos Endpoint（Intercept X）

最初の砦は、PC・サーバ上のマルウェア感染と横展開を止めるエンドポイント防御です。

Sophos Endpointの主な役割

• 深層学習による未知マルウェア検知：シグネチャに頼らない事前防御
• CryptoGuard：ランサムウェアによるファイル暗号化を検知し、自動巻き戻し
• Exploit Prevention：脆弱性悪用（OSや業務アプリの未パッチ部分）を遮断
• Sophos Central：複数製品（FW・メール・無線等）を1コンソールで統合管理
• Sophos MDR Essential：世界最大級のMDRをアドオンで追加可能

特に注目すべきはCryptoGuardによる自動巻き戻しで、万一暗号化が始まっても瞬時に検知・隔離し、暗号化されたファイルを元の状態に復旧します。「侵入を完全には止められなくても、被害を最小化する」という現実的な発想に立った機能です。

第2層｜SaaSデータ保護：SysCloud

意外と見落とされがちなのが、Microsoft 365やGoogle Workspaceに蓄積されているSaaSデータの保護です。SysCloudはSaaSデータ保護に特化したSaaS型バックアップサービスで、ランサムウェア・誤削除・退職者アカウント削除など多様なデータ消失リスクから守ります。

SysCloudが守る対応SaaSサービス

SysCloudは、ビジネスで広く使われている主要SaaSサービスのデータを自動・無制限・長期に保管します。

SysCloudの主な機能

• AIによるランサムウェア検知：異常なファイル書き換えを検知し、管理者にアラート通知
• 1ファイル単位のピンポイント復旧：必要な部分だけを数クリックで元の場所に復元
• 無制限の保持期間：いつまでも遡ってデータを復旧可能
• 完全SaaS型：自社にサーバ不要、最短30分で開始・約5分で初期設定完了
• 1ユーザーから契約可能：年間5,890円/ユーザー（M365／Google Workspace／Box）から
• 容量プラン：1TBあたり年間140,000円（容量課金型も選択可）

SysCloudが解決する典型的なシーン

• ランサムウェア感染：OneDrive／SharePoint上のファイルが同期で破損 → SysCloudで感染前の状態にピンポイント復元
• 退職者対応：アカウント削除と同時に消えるメール・ファイルを退職前後の任意時点で保全
• 誤削除・上書き：M365標準のごみ箱保持期間（30〜93日）を過ぎたデータも復旧可能
• 監査・コンプライアンス：法令や社内規定で必要な長期保管要件に対応
• Salesforceの誤更新：管理者操作ミスによる大量レコード上書きから自動復旧

特に「退職者アカウントとともに失われるデータ」と「ランサムウェア感染で同期先のクラウドファイルも壊れた」という2つのケースは、Microsoft 365／Google Workspaceの標準機能では救えないことが多く、SysCloudの導入価値が最も高い場面です。

2製品の役割を整理

Sophos EndpointとSysCloudは、それぞれ守る対象も得意領域も異なります。両者を組み合わせることで、ランサムウェアによる「侵入」と「データ消失」の双方に対応できます。

製品別の役割比較表

典型的な構成例（社員30〜50名の中小企業）

• 全PC・サーバ：Sophos Endpoint（CryptoGuard・Exploit Prevention）
• 運用代行：Sophos MDR Essential（24時間ベンダーSOCで監視）
• Microsoft 365 全ユーザー：SysCloud（Exchange・OneDrive・SharePoint・Teamsの自動バックアップ）
• Salesforce／Box／Slack を併用している場合：SysCloudで一括保護

この構成で、「侵入防御」「侵入後の検知・対応」「SaaSデータの長期保管・復旧」がすべてSaaS型で揃い、自社にサーバを置く必要がありません。

導入ロードマップ｜何から手を付けるべきか

予算と運用体制を踏まえ、優先度の高い対策から段階的に整備します。

STEP 1｜まず最初に着手すべきこと

• 全PC・サーバへのSophos Endpoint導入（既存アンチウイルスからの移行も同時に検討）
• Microsoft 365／Google Workspace利用企業はSysCloudで主要メンバーのデータ保護を開始
• 退職予定者のSaaSデータ保全フローを整備

STEP 2｜3〜6ヶ月以内に整備したい対策

• Sophos MDR Essentialの追加（社内に専任SOCがいない場合は強く推奨）
• SysCloudの全社員展開と、Salesforce／Box／Slackなど他SaaSへの保護対象拡大
• 定期的な復旧テスト（年2回以上）
• 不審メール報告窓口・社内インシデント連絡フローの整備

STEP 3｜中長期で目指したい体制

• インシデント対応プレイブックの整備と机上訓練
• 取引先・委託先との情報共有ルール整備
• サイバー保険の加入
• サプライチェーン全体のセキュリティ要件への対応

まとめ：「侵入させない」と「失わない」を揃える

ランサムウェア対策は、もはや単一の製品では完結しません。

「侵入させない」（Sophos Endpoint）／「SaaSデータを失わない」（SysCloud）の二層を組み合わせることで、二重脅迫時代でも事業継続できる体制を作れます。

中小企業であっても、いずれもSaaS型で月額数万円〜十数万円の範囲で導入可能です。「うちは規模が小さいから大丈夫」ではなく、「規模が小さいからこそ重要データを失えない」という発想で、平時の備えを進めましょう。

c-compe.comでは、本記事で取り上げた2製品をはじめ、ランサムウェア対策に必要な製品を複数ベンダーで比較・お見積もりできます。自社に合った構成のご相談はお気軽にお問い合わせください。

お問合せはこちら➡