こんにちは、PMの kenken です。
昨年からランサムウェア被害が大きな話題となり、現場でもご相談をいただく機会が増えてきました。今回はその「本当のコスト」を、経営にどう説明するかというPM視点で整理します。
「身代金は払わない方針だから、うちは大丈夫」。プロジェクトの現場やセキュリティの相談で、わりとよく耳にする言葉です。
でも、ランサムウェアの“本当の請求書”は、攻撃を受けた日には届きません。受注が止まり、出荷が手作業に戻り、決算が遅れ、被害者対応が続きます。その総額が数字として固まるのは、攻撃から数か月、長ければ9か月後の業績修正や決算のタイミングです。2026年6月、大手飲料メーカーの通期業績予想の下方修正で、この「時間差で巨額化する構造」が改めて表に出ました。
PMの観点から見ると、ランサムウェア対応で難しいのは、技術的な封じ込めそのもの以上に、「で、これは経営にいくらと説明するのか」という問いの方に見えます。この記事は攻撃手法の解剖ではなく、被害コストをどう見積もり、どう経営と監査に説明するかに絞って整理します。
なお、ここで言う適時開示とは、上場企業が投資家の判断に関わる重要事実を速やかに公表する義務のこと。PMの実務感覚で言えば「基幹システムが止まると、業務だけでなく会計と開示まで連鎖して止まる」という話です。
エグゼクティブサマリー
- ランサムウェア被害の本質的コストは身代金や復旧費ではなく、業務停止による減収・決算遅延・減損・被害者対応を合算した「事業インパクト」である。攻撃時点ではなく、数か月後の決算で確定する。
- 2026年6月11日、大手酒類・飲料メーカーが2025年12月期の業績予想を下方修正し、当期利益予想を従来の1,675億円から1,200億円(約475億円の減少)へ引き下げた。要因にサイバー攻撃によるシステム障害が明記された。
- 同社では攻撃公表(2025年9月29日)から全品出荷再開(2026年4月7日)まで約半年、業績修正(2026年6月11日)まで約9か月という長期影響が続き、決算発表自体も繰り返し延期された。
- 警察庁が把握した2025年の国内ランサムウェア被害は226件で高止まり、被害組織の約6割は中小企業。復旧に1,000万円以上を要した組織が半数超で、これは大企業だけの問題ではない。
- 情シスが取るべきは、(1)被害コストを6分類で見積もる「事業インパクト試算」、(2)決算・適時開示と連動したインシデント対応設計、(3)VPN・ネットワーク機器など初期侵入経路の縮小、の3点である。
本文
1. 何が起きているのか(最新の公開情報に基づく)
2026年6月11日、東証プライム上場の大手酒類・飲料・食品メーカーが、2025年12月期(IFRS)の通期連結業績予想を下方修正したと発表しました。報道によれば、当期利益(親会社帰属)の予想は従来の1,675億円から1,200億円へと引き下げられ、約475億円の減少となります。 修正理由として、2025年9月に発生したサイバー攻撃によるシステム障害の影響と、原材料費の高騰が挙げられています。
報道および専門メディアの整理によると、システム障害などの影響で売上収益は想定を約600億円下回る見込みとされ、営業利益も大きく下押しされました(営業利益の下押し幅は約700億円・前回予想比約27.5%減と二次報道で報じられています)。
時系列で見ると、影響の長さが際立ちます。攻撃によるシステム障害の発覚が2025年9月29日、犯行声明を出したのはロシア系とされるランサムウェアグループ「Qilin」で、全品出荷の再開は2026年4月7日、そして通期業績予想の下方修正が2026年6月11日です。攻撃発覚から約9か月かけて、ようやく財務インパクトの輪郭が見えたことになります。
この間、決算プロセスそのものも滞りました。同社はシステム障害により決算手続きが遅延し、2025年12月期の決算短信開示が期末後50日を超えること、第3四半期決算の発表延期などを相次いで開示しています。 個人情報については、約191.4万件の漏えいの可能性が公表され、最終的に取引先・従業員の個人情報115,513件の漏えいが確認されたと報じられています。
ランサムウェアとは、端末やサーバ上のデータを暗号化し、復旧と引き換えに金銭を要求する攻撃(および近年はデータを窃取して公開すると脅す「二重脅迫」)です。本稿で注目したいのは攻撃手法ではなく、「被害コストがいつ・どのような内訳で確定するか」という経営・財務の側面です。
2. なぜ情報システム・セキュリティ担当者に関係するのか(実務影響)
これは「大企業の特殊事例」ではありません。警察庁が把握した2025年の国内ランサムウェア被害は226件で、前年から微増の高止まりとなり、通年統計のある2021年以降で2番目に多い水準でした。被害組織の内訳は中小企業が143件(約6割)、大企業64件、団体など19件で、製造業が約4割を占めます。 復旧に総額1,000万円以上を要した組織は半数を超え、復旧に1か月以上を要した組織も半数前後にのぼると報じられています。
つまり、規模を問わず「業務が長期間止まり、復旧に高額の費用がかかる」のがランサムウェアの標準的な姿になっています。そして情シス・セキュリティ担当者は、攻撃の技術的封じ込めだけでなく、「被害がいくらの事業インパクトになるか」を経営・監査・取引先に説明する役割を担うことになります。ここで「復旧費は◯百万円です」とだけ報告すると、実際の被害規模との乖離が大きく、経営判断もリスク投資の意思決定も誤らせます。
3. よくある誤解
これらの誤解はたいてい、「ランサムウェア被害=技術部門が負うコスト」という前提のズレから生まれます。けれど経営の関心は費用そのものではなく、事業がどれだけ止まり、いくらの損失と説明責任が生じるか、つまり事業インパクトです。相手の立場から状況を見るのは、営業でもPMでも共通するスキルです。技術コストだけを見ていると、経営には被害の実体が伝わりません。前提がずれていれば、その先の見積もりも説明も丸ごとずれます。
- 誤解1:被害コスト=身代金+復旧費。
- 実際には、業務停止による減収、被害者対応、減損、ブランド毀損、監査・法務対応など複合的なコストが積み上がります。身代金を払わない方針でも、事業インパクトは巨額になり得ます。
- 誤解2:被害額は事故直後にわかる。
- 決算・監査を経て確定するため、全容把握まで数か月〜9か月かかることがあります。経営報告は「確定値」ではなく「レンジと前提」で出す設計が必要です。
- 誤解3:上場企業でなければ開示は関係ない。
- 非上場でも、取引先への通知義務・個人情報保護法上の報告(個人情報保護委員会・本人通知)・取引基本契約上の報告義務など、対外説明は避けられません。
- 誤解4:バックアップがあれば事業は止まらない。
- バックアップ自体が暗号化される、業務システム全体の再構築に時間がかかる、安全確認のためネットワークを長期遮断する、といった理由で復旧は長期化しがちです。
- 誤解5:エンドポイントにEDRを入れていれば初期侵入は防げる。
- VPN機器やルーター等のネットワーク機器が初期侵入経路になるケースが多く、エンドポイントだけでは可視化しきれない領域があります。
4. 実務で問題になりやすいポイント(公開可能な一般論)
複数の実務相談で共通して見落とされやすいのは、次のような論点です(いずれも公開情報で裏取りできる範囲の一般論です)。
- 「復旧費」しか見積もっていない。
- 売上機会損失や在庫ロス(消費期限のある商材では特に大きい)が抜けると、経営の実感と数字が合いません。
- 決算・適時開示の遅延リスクが事業継続計画に入っていない。
- 基幹システムが止まると、受発注だけでなく月次・四半期・年次の会計処理が止まり、開示義務に直結します。
- 「いつネットワークを遮断するか」の意思決定者と基準が決まっていない。
- 遮断が早ければ被害は抑えられますが、業務も止まります。このトレードオフを事前に経営合意しておかないと、現場が判断を抱え込みます。
- 海外拠点・グループ会社・委託先のネットワーク機器が管理対象から漏れている。
- IPAの調査でも、海外支社の機器管理不備から本社が被害に遭う事例が指摘されています。
- ログ・バックアップの保全が不十分。
- ログがないと侵入実態の特定ができず、再発防止も対外説明もできません。バックアップのオフライン保管が要点です。
- BCPが「サイバー起因」を想定していない。
- 自然災害向けBCPは復旧目標が短く、サイバー(長期停止・証拠保全・段階復旧)の現実と噛み合いません。
5. 技術的・運用的な確認ポイント(具体的に)
経営説明の前提として、まず自社の備えを次の観点で点検します。
- 初期侵入経路(外部公開資産)
- VPN・SSL-VPN・リモートデスクトップ・ゲートウェイ機器のファームウェアが最新か。EOL機器が残っていないか。被害組織の感染経路はVPN/RDPが大半と報告されています。
- 外部公開資産(ASM)の棚卸し。海外拠点・グループ会社・委託先を含めて把握しているか。
- 管理者アカウントのMFA・パスワード強度・不要アカウント棚卸し。
- 横展開・権限奪取の抑止
- 管理者権限の最小化、特権アクセス管理、ネットワークセグメンテーション。
- EDR/XDRの導入と「運用」。アラートが放置されていないか、全件がトリアージされているか。
- 検知・封じ込めの意思決定
- 「どの兆候で、誰が、何分で」ネットワーク遮断を判断するかをプレイブック化。机上演習で訓練しているか。
- 復旧の現実性
- バックアップのオフライン/イミュータブル保管と復元テスト。SaaS(Microsoft 365・Google Workspace・Box等)のデータ保護・復旧設計を含めているか。
- 証拠保全(フォレンジック)と業務復旧を両立する手順。
- 会計・開示の継続性
- 基幹・会計システム停止時の決算処理代替手段、開示遅延時の手続き(適時開示・監査法人連携)の確認。
6. 対応方針の比較表(事業インパクトの6コスト分類)
経営説明では、被害コストを次の6分類で「レンジ+前提」で示すと、復旧費だけの過小見積もりを避けられます。
| コスト分類 | 具体例 | 確定タイミング | 経営説明での扱い |
|---|---|---|---|
| ① 売上機会損失 | 受注・出荷停止、在庫ロス、需要逸失 | 業務停止中〜復旧後 | 停止日数×日次粗利でレンジ試算 |
| ② インシデント対応費 | フォレンジック・外部専門家・法務・広報 | 事故直後〜数か月 | 初動で外部費用の上限枠を確保 |
| ③ システム復旧・強化費 | 再構築、設定見直し、追加投資 | 復旧期〜翌期 | 「復旧」と「恒久対策」を分けて計上 |
| ④ 被害者・取引先対応 | 通知、問い合わせ対応、補償 | 漏えい確認後〜長期 | 件数×単価で試算(漏えい規模に連動) |
| ⑤ 減損・会計影響 | ソフト・設備の減損、決算/開示遅延 | 決算期 | 監査法人・経理と早期連携 |
| ⑥ 信用・ブランド毀損 | 取引縮小、株価、採用影響 | 中長期 | 定量化困難な前提として明示 |
ポイントは、①と④と⑤が「攻撃発生時には見えず、数か月後の業績修正・決算で固まる」こと、そして①〜⑥の合計が復旧費(③の一部)の何倍にもなり得ることです。現場の意識は復旧費(③)に向きがちですが、経営にとって事業インパクトとして大きいのは、見落とされやすい①売上機会損失と④被害者対応です。
7. 導入・見直し時のチェックリスト
- 被害コストを6分類で試算する「事業インパクト試算シート」がある
- 試算は「確定値」ではなく「レンジ+前提」で経営報告する設計になっている
- ネットワーク遮断の判断者・基準・連絡経路がプレイブック化されている
- 決算・適時開示の遅延を想定した会計処理の代替手段がある
- VPN・RDP・ゲートウェイ機器のEOL/未更新が棚卸しされている
- 海外拠点・グループ会社・委託先のネットワーク機器も対象に含めている
- バックアップのオフライン/イミュータブル保管と復元テストを実施している
- SaaS(M365・Google Workspace・Box等)のデータ保護・復旧を設計している
- ログの取得・保管方針があり、保全範囲が定義されている
- サイバー起因を前提にしたBCP・机上演習を年1回以上実施している
- サイバー保険の補償範囲(事業中断・被害者対応・フォレンジック)を確認している
8. 経営層・監査部門への説明ポイント
- 「身代金を払うか」ではなく「何日止まると、いくら失うか」で語る。
- 経営の関心は事業継続と財務インパクトです。停止日数×日次粗利の試算が最も伝わります。
- 時間軸を示す。
- 被害額は事故直後には確定せず、決算・監査を経て数か月後に固まること、その間も開示・取引先対応が続くことを共有します。
- 「これは中小も含む全社的リスク」と位置づける。
- 2025年の被害226件・中小が約6割・復旧費1,000万円以上が半数超という公開統計は、投資正当化の根拠になります。
- 監査・内部統制の観点を先回りする。
- 決算プロセス停止時の代替統制、ログ保全、開示遅延時の手続きを、監査法人と事前にすり合わせておきます。
- 投資の優先順位を「初期侵入の縮小→検知封じ込め→復旧の現実性」で説明する。
- すべてを同時にはできないため、攻撃の起点に近い順に投資する論理を示します。
これはPMの仕事にも近い動き方です。自分が手を動かすこと以上に、誰に・何を・いつまでに動いてもらうかを設計し、関係者を同じ絵で合わせることが軸になります。
9. 実務担当者が次に取るべき対応ステップ(優先順位つき)
- (即時)外部公開資産の棚卸しと緊急パッチ。
VPN/RDP/ゲートウェイ機器のEOL・未更新を洗い出し、管理者MFAと不要アカウント削除を最優先で実施。
- (1か月)事業インパクト試算シートの作成。
6コスト分類で「停止1週間/1か月」のレンジを経営に提示し、投資判断の土台を作る。
- (1〜3か月)封じ込め判断のプレイブック化と机上演習。
遮断基準・意思決定者・決算/開示連携を1枚にまとめ、最低1回訓練する。
- (1〜3か月)復旧の現実性検証。
バックアップのオフライン保管と復元テスト、SaaSデータ保護を点検。
- (継続)ログ保全・EDR運用の定着。
全件トリアージ体制と、根本原因まで踏み込む運用改善を回す。
10. まとめ(次に取るべき行動)
ランサムウェアの「本当のコスト」は、身代金でも復旧費でもなく、業務停止・決算遅延・被害者対応・減損までを合算した事業インパクトであり、それは攻撃の瞬間ではなく、数か月後の業績修正・決算で輪郭が固まります。2026年6月の大手企業の業績修正は、その構造を改めて示しました。 情シス・セキュリティ担当者は、(1)被害コストを6分類で試算し経営に「レンジ+前提」で示す、(2)決算・適時開示と連動したインシデント対応を設計する、(3)VPN等の初期侵入経路を縮小する。この3点を、規模に関係なく今から準備することが現実的な一歩です。
FAQ
Q1. ランサムウェア被害の損害額は何で決まりますか?
身代金や復旧費だけでなく、業務停止による売上機会損失、被害者・取引先対応、システム復旧・強化、減損、決算/開示遅延、ブランド毀損などの合計(事業インパクト)で決まります。攻撃発生時ではなく、決算・監査を経て数か月後に確定します。
Q2. 大手の事例は自社(中小)に関係ありますか?
あります。2025年の国内被害226件のうち約6割が中小企業で、復旧費1,000万円以上が半数を超えると報じられています。規模を問わず長期停止・高額復旧が起こり得ます。
Q3. なぜ被害額の確定にそんなに時間がかかるのですか?
基幹・会計システムの停止により決算処理が滞り、開示が延期されること、漏えい件数や復旧費が調査の進展で変動することが理由です。実際に決算短信の開示が期末後50日を超えた事例があります。
Q4. 何が最初の侵入口になりやすいですか?
VPN機器やリモートデスクトップが感染経路の大半を占めると報告されています。エンドポイント対策だけでなく、外部公開資産(ネットワーク機器)の更新と管理が重要です。
Q5. 経営層には何を最初に伝えるべきですか?
「何日止まると、いくら失うか」のレンジ試算です。停止日数×日次粗利を軸に、6コスト分類で前提を明示すると、投資判断につながりやすくなります。
Q6. バックアップがあれば安心ですか?
不十分です。バックアップも暗号化される、復元・安全確認に時間がかかる、といった理由で復旧は長期化します。オフライン/イミュータブル保管と定期的な復元テスト、SaaSデータの保護設計が必要です。
Q7. サイバー起因のBCPは通常のBCPと何が違いますか?
復旧目標時間が長く、証拠保全と段階復旧が必要で、決算・開示の継続性まで考慮する点が異なります。自然災害向けBCPの流用では現実と噛み合いません。
Q8. 個人情報が漏えいした場合の対応は?
事実確認のうえ、個人情報保護法上の報告・本人通知、取引先への連絡、問い合わせ対応体制の立ち上げが必要です。漏えい件数に応じて被害者対応コストは長期化します。
あとがき:なぜPMがこの記事を書くのか
営業からPMに移って1年、現場で一番変わったのは「自分が前に出て売る」発想から、「関係者がそれぞれ動ける状態をどう設計するか」という発想への移行でした。
リスクの話も同じで、PMの仕事は脅威を技術的に語ることではなく、「止まると何が・いくら・いつまで失われるか」を時間軸と数字で可視化し、経営・情シス・現場・ベンダーが同じ絵で動ける状態にすることだと考えています。
ランサムウェアの「本当のコスト」が9か月かけて表面化するという今回の構造は、まさにその縮図でした。攻撃の瞬間に見えるのは氷山の一角で、本体は決算と開示と取引先対応の中にあります。だからこそ技術対策の前に、「事業インパクトを1枚にする」ことをPMとして強くおすすめしたいです。
完璧な試算は要りません。「停止1週間でいくら」のレンジが1枚あるだけで、投資の優先順位の会話は変わります。明日の自分が動くとしたら、まずそこから始めます。
最後に
クラウドネイティブは、VPN等の初期侵入経路の縮小、EDR/SOCの運用最適化、SaaSデータ保護・復旧設計、サイバー起因のインシデント対応・BCP整備といった個別のリスクを一つひとつ洗い出し、それらを場当たり的な対処で終わらせず、ゼロトラストを目指す全体最適の視点でグランドデザイン・ロードマップとして束ねて、設計から運用定着まで一貫して伴走します。
記事で触れた「事業インパクトの試算」や「封じ込め判断の設計」は、社内だけで完結させるのが難しい領域でもあります。
「事業インパクト試算」「封じ込め判断プレイブック」「決算・開示と連動した対応設計」など、自社状況の整理からでもご相談いただけます。まずは現状の棚卸しから、お気軽にお問い合わせください。
参考情報
- アサヒグループホールディングス「2025年12月期通期連結業績予想の修正に関するお知らせ」/アサヒグループホールディングス/一次(公式適時開示・TDnet、2026年6月11日15:30開示)/2026年6月11日/日経会社情報DIGITALのディスクロージャー索引から原本PDFに到達可:https://www.nikkei.com/nkd/disclosure/tdnr/20260605564305/
- 毎日新聞「アサヒ、最終利益を大幅下方修正 サイバー攻撃影響 12月期決算」/毎日新聞/報道(信頼できる報道)/2026年6月11日/https://mainichi.jp/articles/20260611/k00/00m/020/315000c
- 朝日新聞「アサヒHD、業績下方修正 サイバー攻撃の被害や原材料高騰で」/朝日新聞/報道/2026年6月11日/https://www.asahi.com/articles/ASV6C3460V6CULFA025M.html
- ScanNetSecurity「アサヒグループホールディングスへのサイバー攻撃、システム障害などの影響で売上収益が想定を600億円下回る見込み」/ScanNetSecurity/報道/2026年6月16日/https://scan.netsecurity.ne.jp/article/2026/06/16/55503.html
- アサヒグループホールディングス「2025年12月期決算短信の開示が期末後50日を超えることに関するお知らせ」/アサヒグループホールディングス/一次(公式IR開示)/2025年11月27日/https://www.asahigroup-holdings.com/newsroom/detail/20251127-0101.html
- アサヒグループホールディングス「2025年12月期第3四半期決算発表日に関するお知らせ」/アサヒグループホールディングス/一次(公式IR開示)/2026年2月13日/https://www.asahigroup-holdings.com/newsroom/detail/20260213-0102.html
- ロケットボーイズ(セキュリティ対策Lab)「アサヒグループHDがランサムウェアによるサイバー攻撃で業績を下方修正」/合同会社ロケットボーイズ/二次(一次はアサヒグループHD適時開示「2025年12月期通期連結業績予想の修正に関するお知らせ」2026年6月11日)/2026年6月15日(更新)/https://rocket-boys.co.jp/security-measures-lab/asahi-ghd-ransomware-financial-impact-2026/
- kicks-blog「ランサムウェア 高止まり 中小企業 対策 226件の公表で見えた費用と初動」/個人技術ブログ/二次(一次は警察庁2026年3月12日公表のサイバー空間をめぐる脅威の情勢資料)/2026年3月12日/https://www.kicks-blog.com/entry/2026/03/12/143141
- 朝日新聞「ランサムウェア攻撃高度化→復旧費用増える 『生活にも大きく影響』」/朝日新聞/報道(一次は警察庁2026年3月12日公表)/2026年3月12日/https://www.asahi.com/articles/ASV3C1JNRV3CUTIL005M.html
- 三井住友海上 ms&ad コンパス「2024年は中小企業のランサムウェア被害が増加(IPA調査の解説)」/三井住友海上/二次(一次はIPA「情報セキュリティ10大脅威」関連のランサムウェア被害アンケート)/2025年7月22日/https://mscompass.ms-ins.com/business-news/ransomware-police-report/
- DataClasys「警察庁データから見るランサムウェア被害の現状」/データクレシス/二次(一次は警察庁公表資料・IPA調査)/2026年5月18日/https://www.dataclasys.com/column/npa-cyber-threat-2025-ransomware-20250324/
