信頼性＝復旧ではない：72%から規制対応のカウントダウンが始まる理由

主なポイント

1. 自信と現実のギャップ。 組織の90%がランサムウェアからの復旧に自信を持っていますが、実際にデータを完全に復元できるのはわずか28%です。
2. 平均復旧率72%。 一般的な組織が復旧できるのは影響を受けたデータの72%のみで、残り28%は永久に失われ、規制当局への通知が必要となります。
3. AIによるリスク拡大。 AIの導入がセキュリティ対策を上回り、従来の復旧計画ではカバーできない管理されていないデータ経路が生まれています。
4. 復旧はコンプライアンス。 復旧できないデータは侵害通知義務に直結するため、事前のデータガバナンスが規制リスクを抑える上で不可欠です。

典型的なインシデント対応テーブルトップ演習を想定してください。チームはランサムウェアのシナリオを検討します。バックアップは四半期ごとにテストされ、ランブックも更新されます。全員が復旧時間目標は達成可能だと合意し、CISOは取締役会に組織の準備状況を報告します。

しかし、実際に攻撃が発生します。バックアップは復元されますが、完全ではありません。一部のシステムは復旧しますが、他は復旧しません。リージョン間で複製されているはずのデータが、誰も復旧範囲に含めていなかったSaaSアプリケーションに残っていました。顧客記録が消失し、エンジニアリング文書は破損しています。3週間後、チームは可能な限りの復旧を終えましたが、そのギャップは永久に残ります。

あなたを欺くテーブルトップ演習

これは仮定の話ではありません。Veeam Data Trust and Resilience Report 2026は、この傾向を具体的な数字で示しています。90%の組織がサイバーインシデントからの復旧に自信を持つ一方、ランサムウェア被害者の3分の1未満しかデータを完全復旧できていません。平均的な組織が復旧できるのは影響を受けたデータの72%のみ。ランサムウェア被害を受けた組織のうち、44%は影響データの75%未満しか復旧できていません。

自信と実際の結果の間のギャップは、トレーニングの問題ではなく、構造的な問題です。

5つの主なポイント

1. 復旧への自信と現実の間には62ポイントのギャップがある。

Veeam Data Trust and Resilience Report 2026は、世界中の900人以上のIT・セキュリティ・リスクリーダーを対象に、90%のセキュリティリーダーがランサムウェア攻撃から復旧できると信じている一方、実際に全データを復旧できるのは28%に過ぎないことを明らかにしました。このギャップこそが、侵害通知義務、規制による罰則、恒久的なビジネス中断の温床となります。

2. 平均的な組織が復旧できるのは影響データの72%のみ。

つまり28%のデータは永久に失われるか破損します。GDPR、HIPAA、または州の侵害通知ルールの対象となる組織では、復旧できなかったすべての記録が、流出データと同じ通知義務を引き起こします。侵害範囲を特定できる監査証跡インフラは、多くの環境で存在していません。

3. 復旧ギャップは業務被害へと連鎖する。

サイバーインシデント被害者の42%が顧客や関係者への影響、41%が財務的損失や収益への影響、38%が重要システムの長期ダウンタイムを報告しています。部分的な復旧は「通常運転への復帰」ではなく、規制義務が解決できないたびに悪化する、新たな劣化状態の基準となります。

4. AIはガバナンスが追いつくよりも速くギャップを拡大している。

回答者の43%がAI導入がセキュリティ対策を上回っているとし、42%がAIツールやモデルの可視性を持っていません。管理されていないAIシステムごとに、モデル学習データ、推論ログ、エージェントメモリストアなど、AIガバナンスフレームワークが保護対象として設計していないデータ経路が増え、復旧計画でも把握されていません。

5. 復旧はITだけでなくコンプライアンスの問題。

復旧できないデータこそが、侵害通知、規制罰則、訴訟の引き金となります。事前のデータガバナンス、すなわち攻撃前にどのデータがどの経路を通るかを制御することが、復旧ギャップがコンプライアンス事案に発展するかどうかを左右します。

「72%」という数字が実は規制上の数字である理由

「72%復旧」と聞くと、多くの人は業務面を思い浮かべます。失われたデータは再構築の手間、失われた記録はカスタマーサービスの摩擦。しかし、その考え方では規制の側面が完全に抜け落ちています。

復旧できなかった個人データは、流出データと同じ通知義務を引き起こします。GDPR第33条では、管理者は侵害を認識してから72時間以内に監督当局へ通知しなければなりません。この義務は「暗号化によりデータを失った」と「復旧失敗で永久に破損した」の区別をしません。DLA Piper GDPR Fines and Data Breach Survey 2026は、2025年にGDPR罰金が12億ユーロに達し、侵害通知が前年比22%増加したことを報告しています。規制当局は、復旧インフラが防御可能な侵害対応を支えられない組織を積極的に罰しています。

HIPAAの侵害通知規則でも同様です。ランサムウェアイベントでPHIが暗号化または破損し、検証可能な状態で復旧できない場合、通知義務が発生します。2026 Thales Data Threat Reportによると、データの保存場所を完全に把握している組織はわずか33%であり、ほとんどの組織は何が影響を受け、何が復旧できたかさえ評価できません。

72時間の規制タイマーと72%の復旧率は密接に関係しています。ランサムウェアイベントで28%のデータを失った組織は、影響を受けた記録の28%について侵害通知を引き起こしていることになります――たとえどの記録か特定できなくても。

多くの組織が見落とすコンプライアンス連鎖

Veeamのデータは復旧率だけにとどまりません。過去12か月にサイバーインシデントを経験した組織のうち、42%が顧客や関係者への影響、41%が財務的損失や収益への影響、38%が重要システムの長期ダウンタイムを報告しています。これらは不完全な復旧による目に見える定量的コストです。

調査が間接的に示しているのは、その後に続くコンプライアンス連鎖です。顧客データが部分的にしか復旧できなかった場合、影響を受けたすべての個人が通知対象となる可能性があります。財務記録が部分的な場合、SOXコントロール、SECのサイバーセキュリティ開示義務、監査証拠要件が同時に発生します。

Black Kite 2026 Third-Party Breach Reportは、サードパーティ侵害の公開までの中央値が73日遅れることを示しました。上位50の共有ベンダーのうち62%が、スティーラーログに企業認証情報が記録されていました。連鎖的な侵害通知を引き起こしやすい組織は、インシデント後に復旧インフラが最も精査される一方で、サードパーティリスク管理プログラムが複合的な侵害・復旧シナリオに最も対応できていない組織でもあります。

AIはガバナンスが追いつくよりも速く復旧ギャップを拡大している

Veeamレポートは、復旧問題を構造的に悪化させる並行した懸念も特定しています。43%の回答者がAI導入がセキュリティ対策を上回っているとし、42%がAIツールやモデルの可視性を持っていません。AIは新たなデータ経路――モデル学習データ、推論ログ、RAGキャッシュ、エージェントメモリストア――を生み出し、従来の復旧計画では保護対象として設計されていません。

ランサムウェアイベントがAIエージェントのメモリストアに影響を及ぼした場合、問われるのは「データを復旧できるか」だけでなく、「復旧したデータが攻撃前と同じ意思決定を生み出せるか」です。ほとんどの組織はこの問いに答えられません。Kiteworks 2026 Data Security, Compliance and Risk Forecast Reportは、調査対象組織の100%がエージェント型AIを導入予定である一方、63%がAIエージェントの目的制限を強制できず、55%がAIシステムをネットワークから分離できていないことを示しています。AIシステムがランサムウェア被害を受けた場合、復旧は影響システムだけでなく、AIエージェントが触れたすべてのデータフローに及びます――これは多くのインシデント対応計画で想定されていない範囲です。

事前のデータガバナンスとは何か

Veeamのデータは、組織がランサムウェア対策を考える上で再認識すべき事実を明らかにしています。最善の復旧戦略は事前のデータガバナンス――攻撃前にどのデータがどの経路を通るかを制御し、復旧の影響範囲を最初から限定することです。

まず、機密データを一般的なコラボレーションから分離すること。 法的保全、財務記録、顧客PII、エンジニアリング文書、経営層のコミュニケーションがカジュアルなコラボレーションと同じプラットフォームにあると、ランサムウェアイベントごとにすべてが規制侵害対象となります。専用でガバナンスされたデータ交換プラットフォームを使うことで、攻撃が規制義務を引き起こす確率を下げられます。

次に、攻撃対象プラットフォームから独立したリアルタイム監査証跡を生成すること。 独立したSIEMにリアルタイムで取り込まれる監査証跡――バッチ処理やスロットリング、プレミアムライセンス依存ではないもの――は、インシデント対応者が正確に影響範囲を評価できる証拠となり、最悪ケースの通知前提を避けられます。

さらに、すべての機密データ交換に証拠保管の連鎖ドキュメントを実装すること。 「どのデータが影響を受け、誰が保有していたか」を数時間以内に答えられる組織こそ、復旧ギャップがコンプライアンス事案に連鎖しない組織です。

Kiteworksがランサムウェア復旧におけるコンプライアンスギャップを埋める方法

Kiteworksプライベートデータネットワークは、復旧とコンプライアンスのギャップをアーキテクチャレベルで解決します。このプラットフォームは、強化された仮想アプライアンスとして展開され、ネットワークファイアウォール、WAF、侵入検知などのセキュリティコントロールを組み込み、顧客側の設定不要で利用できます。セキュリティが製品の標準機能であることで、組織全体で一貫した基盤保護が実現し、Veeamレポートが指摘したコントロールの不統一を直接解決します。

すべての機密データ交換――セキュアメール、ファイル共有、SFTP、MFT、API、Webフォーム、AI連携――は、リアルタイムでSIEMに配信される単一かつ統合された監査証跡に記録されます。Kiteworksに接続されたシステムがランサムウェアイベントの影響を受けた場合でも、証拠保管の連鎖ドキュメントにより、規制当局が必ず問う「どのデータが、いつ、誰によってアクセスされたか」に即座に回答できます。

AIガバナンスに特化しては、Kiteworks Secure MCP ServerとAI Data Gatewayにより、AIによる機密データへのアクセスがすべてガバナンスされ、記録され、監査可能となります――Veeam回答者の42%が最大の懸念とした可視性ギャップを解消します。GDPR、HIPAA、CMMC対応のダッシュボードも標準搭載し、侵害対応を推測から証拠ベースの通知へと変革します。

次のランサムウェアイベントまでにセキュリティリーダーがすべきこと

まず、インシデント対応計画を、データ流出のみ・部分復旧のシナリオも考慮して更新しましょう。多くのランサムウェアIR計画は復旧が二者択一だと想定していますが、Veeamのデータは実際には損失率に応じてコンプライアンス影響が拡大することを示しています。

次に、インシデント発生前に規制通知義務を整理しましょう。個人データを処理するすべての管轄で、通知期限、連絡先当局、必要情報を文書化します。72時間のタイマーは復旧完了を待ってはくれません。

さらに、すべての機密データ交換でリアルタイム監査ログを実装しましょう。数時間以内に証拠保管の連鎖ドキュメントを提出できなければ、侵害対応は最悪ケース前提となり、規制リスクが最大化します。

加えて、機密データ交換を一般的なコラボレーションから分離しましょう。規制対象データに到達したランサムウェアイベントはすべて規制事案です。専用でガバナンスされたデータ交換プラットフォームを使うことで、通知義務が発生する確率を下げられます。

最後に、AIデータ経路を復旧計画に含めましょう。AI導入がセキュリティを上回っている43%の組織こそ、次のランサムウェア復旧ギャップがAIガバナンス失敗へと連鎖するリスクが高いのです。AIデータフロー（モデル学習データ、推論ログ、エージェントメモリストアなど）のマッピングは、復旧準備であり、ガバナンスのオプションではありません。

Veeamレポートの見出し――「90%の自信、28%の実際復旧」――は目標ではなく、攻撃時にセキュリティチームが持っていると思い込んでいるものと、規制当局が実際に測定するもののギャップに対する警告です。

機密データをランサムウェアから守る方法についてさらに詳しく知りたい方は、カスタムデモを今すぐご予約ください。

追加リソース

• ブログ記事 国際研究における臨床試験データの保護方法
• ブログ記事 CLOUD法と英国データ保護：なぜ管轄が重要なのか
• ブログ記事 ゼロトラスト・データ保護：強化されたセキュリティのための実装戦略
• ブログ記事 プライバシー・バイ・デザイン：GDPR管理策をMFTプログラムに組み込む方法
• ブログ記事 国境を越えたセキュアなファイル共有でデータ侵害を防ぐ方法