2025年の情報セキュリティ10大脅威が発表されました 〜 初選出のセキュリティ脅威とは!? 〜
- 2025年5月9日
- 中小機構 中小企業支援アドバイザー 村上知也
- セキュリティ
IPA(独立行政法人 情報処理推進機構)より2025年の情報セキュリティ10大脅威が発表されました。組織編と個人編が発表されていますが、今回は解説資料が公開されている組織編について内容を確認していきます。後日、個人編についても解説資料が公開されましたら記事を掲載いたします。
毎年の発表の際に資料を確認することで、社内やご自身のセキュリティ意識も高まりますので、一度目を通してみてはいかがでしょうか?
連続選出の脅威が大半の中、新しく地政学的リスクがランクイン
毎年発表される情報セキュリティ10大脅威の2025年版がIPAから発表されました。今回は組織編の内容を見ていきます。セキュリティの脅威について、過去にはウイルスやワームの名前そのものが挙げられることもありました。しかし、攻撃手段が多様化してきたため、そもそもの脅威自体が挙げられるようになりました。
そのため、毎年大きな変化はなくなり、◯年連続という脅威ばかりです。ここ10年間で10年連続掲載されているものもあります。ランサム攻撃、内部不正による情報漏えい、標的型の攻撃といった具合です。
さらに一つ一つの脅威というより、組み合わせによる脅威が増えています。標的型攻撃でログイン情報を獲得して、その後にランサム攻撃を行うなどです。
しかしその中で、初選出の脅威が登場しました。7位の地政学的リスクに起因するサイバー攻撃です。
(出典) 独立行政法人 情報処理推進機構「情報セキュリティ10大脅威 2025」を基に作成https://www.ipa.go.jp/security/10threats/10threats2025.html
地政学的リスクに起因するサイバー攻撃
サイバー攻撃は全世界からできるので、近年はますます地政学リスクは高まっているといえます。
この脅威に関する解説文の冒頭部分をそのまま引用します。
”政治的に対立する周辺国に対して、社会的な混乱を引き起こすことを目的としたサイバー攻撃を行う国家が存在する。そのような国家は、外交・安全保障上の対立をきっかけとして、嫌がらせや報復のためにサイバー攻撃を行うことがある。また、自国の産業の競争優位性を確保するために周辺国の機密情報等の窃取を目的とした攻撃や、自国の政治体制維持のために外貨獲得を目的とした攻撃に手を染める国家もある。このような国家からの攻撃に備えて、組織として常にサイバー攻撃への対策を強化していく必要がある。”
(出典)独立行政法人 情報処理推進機構「情報セキュリティ 10大脅威 2025 組織編」23頁
https://www.ipa.go.jp/security/10threats/eid2eo0000005231-att/kaisetsu_2025_soshiki.pdf
実際に攻撃された事例もいくつか掲載されています。例えば、2024年10月に日本の自治体サービスへのサイバー攻撃がありました。ロシアを支持するハッカー集団が、日米軍事演習に対する抗議のため、日本の自治体や交通機関等のウェブサイトに対してサイバー攻撃を行ったことをSNSに投稿しています。その結果、山梨県のWebサイトに海外からアクセスが集中し、4時間ほど閲覧しにくい状態が続きました。さらに、自民党、名古屋市、福岡空港、北海道のフェリー会社等のサイトも、一時的に閲覧しにくい状態になっていました。
今後もこのような攻撃は無くならないでしょう。
それでは、中小事業者はどのように対策をしていけばいいのでしょうか。
対策は? 〜情報セキュリティ対策の基本を徹底しよう
今回の「地政学的リスクに起因するサイバー攻撃」だけに的を絞った対策があるわけではありません。基本的な共通対策を実施し、必要に応じて個別の対策を実施することになります。
10大脅威の発表とともに、「セキュリティ対策の基本と共通対策」という20ページの資料も公開されていますので、この資料から対策について確認していきましょう。
https://www.ipa.go.jp/security/10threats/eid2eo0000005231-att/kihontokyoutsuu_2025.pdf
セキュリティ対策の基本が掲載されています。いつもの内容ですね。しかしこれらを徹底するだけでも意外と難しいものです。
(出典)独立行政法人 情報処理推進機構「セキュリティ対策の基本と共通対策 情報セキュリティ10大脅威2025版」4頁 『表1.1 情報セキュリティ対策の基本』 https://www.ipa.go.jp/security/10threats/eid2eo0000005231-att/kihontokyoutsuu_2025.pdf
① ソフトウェアの更新
使用しているソフトウェアは常に最新の状態に保つことが大切です。ただし、何も確認せずにアップデートを行うと、他のソフトが正常に動作しなくなるなどのトラブルが起きる可能性があります。まずは、使用しているアプリケーションが対応しているOSのバージョンを確認し、そのうえでソフトウェアを更新しましょう。
② セキュリティソフトの利用
ウイルス対策としては、Windowsに標準搭載されているDefenderでも効果があります。ただし、きちんと有効になっていることを確認しておきましょう。設定ミスがないよう、しっかりチェックすることが重要です。
③ パスワードの管理・認証の強化
短いパスワードの使用や、同じパスワードの使い回しは避けましょう。パスワードチェッカーを使えば、そのパスワードが既に漏えいしているか確認できます。もし漏えいしていた場合は、すぐに変更してください。また、最近では証券会社を狙ったフィッシング詐欺も話題になっており、二要素認証は今や必須の対策と言えます。
④ 設定の見直し
社内では、ファイル共有の権限設定を定期的に見直すことが必要です。異動後も他部署の資料にアクセスできる状態では問題です。また、Wi-Fiの設定を確認しましょう。特に古いWi-Fiルーターを使っている場合は、セキュリティが不十分な可能性があるため、買い替えを検討する必要があるかもしれません。
⑤ 脅威・手口を知る
毎年、IPAが発表している「10大脅威」は、最新の脅威やその手口を知るために非常に役立ちます。後日公開される個人編の解説書もぜひ読んでいただき、セキュリティへの意識を高めていきましょう。
プラスアルファの対策は?
まずは先程の基本の5項目がしっかりと守れていることが大事ですが、それができたら、クラウドサービスを利用する場合は、プラスアルファで以下の項目も確認しておきましょう。
(出典) 独立行政法人 情報処理推進機構「情報セキュリティ対策の基本と共通対策 情報セキュリティ10大脅威2025版」4頁『表1.2 情報セキュリティ対策の基本+α』
https://www.ipa.go.jp/security/10threats/eid2eo0000005231-att/kihontokyoutsuu_2025.pdf
個別設定を見直す前に、クラウドサービス選定前の事前調査であったり、なにかインシデントが発生する前に、責任範囲を明確化したりといった、セキュリティ方針を明確にすることが求められています。
脅威への共通の対策
脅威の種類は多岐に渡りますが、対策には共通しているものも多くあります。以下の7つが対策できているか確認しておきましょう。
フィッシングを防ぐためにURLクリックをしないことなど、情報リテラシーを高めいていくには社員への教育が重要になります。
さらに適切な報告/連絡/相談を行ったり、インシデント発生時における対応の体制整備が重要になるでしょう。
(出典) 独立行政法人 情報処理推進機構「情報セキュリティ対策の基本と共通対策 情報セキュリティ10大脅威2025版」5頁『表1.3 複数の脅威に有効な対策』https://www.ipa.go.jp/security/10threats/eid2eo0000005231-att/kihontokyoutsuu_2025.pdf
また毎年脅威の第1位であるランサムウェアへの対応としては、適切なバックアップが求められます。100%完全に守り切るセキュリティは存在しないため、何かあったときでも事業が継続できるようにBCP対策の一環としても求められています。
まとめ
セキュリティ対策の難しさは、「一度実施すれば終わり」ではない点にあります。毎年のように新たな脅威が現れるうえ、より安全なセキュリティ規格も次々に登場します。
そのため、社内のセキュリティ状況を定期的に見直し、棚卸しすることが求められます。毎年発表されるIPAの「情報セキュリティ10大脅威」を確認することは、自社のセキュリティ対策を振り返る良い機会となるでしょう。
