侵入から29分、企業は復旧できるのか――AIランサムウェア時代の新常識

3月31日は「ワールドバックアップデー」でした。従来はデータ保護の重要性を再認識する日とされてきましたが、2026年は状況が大きく変わっています。今、企業に問われているのは「バックアップしているか」ではなく、「攻撃を受けてもどれだけ早く復旧できるか」です。AIを悪用したサイバー攻撃が急増する中で、バックアップの考え方そのものが変わりつつあります。

• 

  バックアップの有無ではなく、「どれだけ早く復旧できるか」が企業の明暗を分ける時代になっている　Photo:PIXTA

AI攻撃で何が変わったのか

現在、AIを活用したランサムウェア攻撃は急速に高度化・自動化しています。クラウドストライクの「2026年版グローバル脅威レポート」によると、2025年のAIを活用したサイバー攻撃は前年比で89%増加しました。

特に深刻なのが、侵入後の拡大スピードです。攻撃者が内部ネットワークに広がるまでの平均時間（ブレイクアウトタイム）は29分まで短縮され、前年から65%も高速化しています。

大規模言語モデル（LLM）を使い、侵入から展開までを自動化する攻撃手法「バイブ・ハッキング」も現れています。こうした状況では、「防ぐこと」を前提とした従来のセキュリティ対策だけでは不十分になりつつあります。

なぜバックアップにスピードが求められているのか

現在、企業には単なるデータ保護から、多層的なサイバーレジリエンスへの進化が求められています。これは、従来の予防策に加え、高速な復旧能力を統合するものです。攻撃を完全に防げなくても、数日や数週間ではなく、数分から数時間で業務を回復できる状態を意味します。

AIエージェントがリアルタイムで顧客対応を担う時代、ダウンタイムは単なる「不便」では済まされません。復旧に数日かかるだけでも、業務停止や顧客対応の停止につながり、企業活動に影響が出ます。

AIを活用した顧客対応や業務自動化が進む中で、システム停止は単なる不便では済みません。売上機会の損失やブランド毀損といった、経営レベルのリスクになります。

このため、バックアップは「あるかどうか」ではなく、「どれだけ早く復旧できるか」が重要な指標になっています。

バックアップは「分離すれば安全」なのか

長年にわたり、インフラチームは「バックアップと本番データを同一ハードウェアに混在させない」という厳格なルールに従ってきました。これは物理的セキュリティと性能の両方の観点から合理的であり、バックアップ処理が本番環境の性能を圧迫するリスクがあったためです。

しかし2026年には、高性能のフラッシュにより、性能面の懸念は過去のものとなりました。さらに、物理的に分離しているだけではセキュリティは保証されません。ネットワーク経由で管理可能なエアギャップの環境は、実質的に完全に隔離されているとは言えません。

真のレジリエンスを実現するには、セキュアで隔離された復旧環境（SIRE: Secure Isolated Recovery Environment）が不可欠です。これは、攻撃者の影響が及ばない、論理的に切り離されたデータセットを確保することを意味します。この環境で、フォレンジック調査、クリーンアップ、そして重要サービスの迅速な復旧が可能になります。

そのため現在は、「分離しているか」だけでなく、「バックアップ環境が物理的に隔離され、障害時にも書き込みが保護されているか」が重要になっています。

企業はどこまで復旧できればいいのか

もう一つの変化が、「復旧時間」に対する要求の厳格化です。

EUの「デジタル・オペレーショナル・レジリエンス法（DORA）」をはじめ、各国の規制では、単に攻撃を防ぐだけでなく、「どれだけ早く業務を復旧できるか」が重視されています。

金融や公共分野では、重要サービスを数時間以内に復旧できることが事実上の前提になりつつあります。

つまり、バックアップは単なるIT運用の話ではなく、コンプライアンスや事業継続の観点からも見直しが必要な領域になっています。

ワールドバックアップデーを“見直しのきっかけ”で終わらせないために

ワールドバックアップデーは、データ保護を見直す良い機会です。しかし現在の脅威環境では、「一度設定して終わり」の対策では不十分です。

バックアップ、脅威検知、復旧プロセスを含めて継続的に見直し、実際に復旧できる状態を維持することが求められています。

AIの活用が進むほど、データの価値は高まり、それと同時にリスクも増大します。 バックアップはもはや保険ではなく、企業の事業継続を支える基盤として捉える必要があります。