情報セキュリティ10大脅威 2025を徹底解説:組織向けトップ10の脅威と対策
はじめに
毎年IPAが発表している情報セキュリティ10大脅威の2025年版が公開されました。本記事では、その組織版の脅威を1位から10位まで順に解説し、それぞれに対する具体的な対策も紹介します。組織が直面する最新の脅威を理解することで、適切なサイバーセキュリティ対策を講じるための参考になれば幸いです。
情報セキュリティ10大脅威
1.ランサム攻撃による被害
ランサム攻撃は、2016年から10年連続でトップに選ばれる脅威です。攻撃者は情報システムに侵入し、データを暗号化して解除の対価として身代金を要求します。対策には、データの定期的なバックアップ、リアルタイムの監視システム、そして全社的なセキュリティ意識の向上が必要不可欠です。
EDRの導入や、脅威を侵入させないための過剰な権限や通信経路の開放の見直し、許可されていないプロセスによる侵害をブロックするソリューションによる対策が考えられます。
2.サプライチェーンや委託先を狙った攻撃
2019年より順位を上げ続けている脅威です。ハッカーは脆弱な取引先を経由して、ターゲット企業に侵入を試みます。この脅威を防ぐためには、サプライチェーン全体のリスク管理を徹底し、取引先のセキュリティ基準を確認することが重要です。
3.システムの脆弱性を突いた攻撃
システムの脆弱性が攻撃の入り口となるケースが増えています。適切な脆弱性管理を行い、定期的なソフトウェアのパッチ適用が求められます。また、脆弱性スキャンの実施も効果的です。悪用が報告されている脆弱性の対応の優先順位を上げるなど、柔軟な運用変更を検討する必要もあるかもしれません。
4.内部不正による情報漏えい等
内部不正は、信頼している従業員やパートナーによる行為で大きな損失を招きます。アクセス権の制限や定期的な監査の実施、セキュリティガイドラインの明確化が重要です。過剰な権限を付与しないことや、サイバーセキュリティの定期的な教育も重要です。
5.機密情報等を狙った標的型攻撃
標的型攻撃は特定の企業や組織を狙った手法で、情報漏洩や機密データの盗難を目的としています。高度な標的型攻撃を完全に防ぐことは難しいですが、エンドポイントセキュリティとマルチレイヤーの防御システム構築が鍵です。
6.リモートワーク等の環境や仕組みを狙った攻撃
リモートワーク環境の拡大は新たなセキュリティリスクを生んでいます。VPNの安全性確認や従業員デバイスのセキュリティ設定の強化が必要です。また、VPNを通せば安全というわけではありません。不正な通信を監視してブロックする対策や、より細かくアクセスコントロールを行うSASEなどの対策が必要です。
7.地政学的リスクに起因するサイバー攻撃
2025年に初選出されたこの脅威は、国際関係の変化や政治的な緊張が引き金となる攻撃を指します。たとえばロシアが西欧諸国と対立することによってロシアに潜むサイバー犯罪者が安全に対立国に攻撃しやすくなる等の事例があります。
イスラエルによるサイバー攻撃など、国家間の関係悪化によって発生するサイバー攻撃の脅威は、日本のグローバル企業にとっても考慮すべきリスクです。
8.分散型サービス妨害攻撃(DDoS攻撃)
DDoS攻撃は大量のトラフィックでサービスを停止させる攻撃手法です。防御策として、トラフィックの監視とスケーラブルなインフラ設計が挙げられます。最近ではオンプレミスでの被害が多い傾向にあり、クラウド(もしくはSaaS)のCDNにより攻撃緩和することでかなりリスクを減らすことができます。
2024年の年末から多く発生しているDDoS攻撃は、L3~L7の広いレイヤーに人間の動きを真似たBotを用いて大量アクセスをしてきました。クラウドのCDNだけで不安な場合は、多層防御が有効です。たとえばWAAPのDDoS対策を入れてCDNに届くアクセスを減らすことが考えられます。
9.ビジネスメール詐欺
ビジネスメール詐欺は、巧妙なメールを用いて企業の役員や担当者を欺く手法です。メールフィルタリングの強化や従業員トレーニングが防止に効果的です。DMARCやDKIM技術を用いて、なりすましを防ぐことも一定の効果があるでしょう。
弊社では従業員から経営層までセキュリティトレーニングをご用意しております。詳しく知りたい方は、ぜひ以下のサイトよりお役立ち情報をご覧ください。
10.不注意による情報漏えい等
人為的なミスは情報漏洩の一因です。従業員の意識啓発のための研修と、包括的なセキュリティポリシーを制定し、日常的に遵守することが必要です。クラウド基盤の設定ミスについてはCNAPPをぜひご検討ください。
まとめ
この記事では、情報セキュリティ10大脅威 2025における組織向けのトップ10の脅威を詳細に解説しました。これらの脅威に対する理解を深めることで、組織は効果的なセキュリティ対策を講じることができます。セキュリティ対策は絶え間ない進化が求められる分野ですので、ぜひ最新の情報を取り入れながら戦略を強化してください。
弊社では、従業員教育のための訓練・教育サービス(*1)や、パブリッククラウド環境のセキュリティ対策として、純国産CNAPPのサービス(*2) を提供をしています。SOCでの運用サポートサービスも行っておりますので、詳しく知りたい方は、ぜひ以下のサイトよりお役立ち情報をご覧ください。
これ以外でも弊社にご相談いただければいずれの脅威についても適切な提案をさせていただきます。
