「IPA 情報セキュリティ10大脅威 2025」から読み解くサイバー攻撃の動向と対策
はじめに
近年、サイバー攻撃の手法や対象はますます多様化・高度化しており、企業のセキュリティ担当者や経営層にとって、最新の脅威動向を把握し、適切な対策を講じることが急務となっています。独立行政法人情報処理推進機構(IPA)が発表した「情報セキュリティ10大脅威 2025」では、2024年に社会的影響が大きかった情報セキュリティ事案がまとめられています。本コラムでは、この報告書の「組織編」について取り上げ、サイバー攻撃の最新動向と企業が取るべき対策について考察します。
ランキングの推移と動向
2020年の発表から2025年までの推移は以下の通りです。
「情報セキュリティ10大脅威 2025」では、組織向けの脅威として上記の項目が挙げられています。1位が「ランサム攻撃による被害」、2位に「サプライチェーンや委託先を狙った攻撃」となっており、これらは前年と同様の順位を維持しています。この背景には、いち企業の脆弱性対策だけでなく、企業グループ全体のITインフラ、また取引先を含むサプライチェーン全体のセキュリティ対策が依然として十分ではなく、攻撃者にとって今なお効果の高い手段になっていることを示唆する結果となっています。
昨年より順位が上がったのは、まず3位の「システムの脆弱性を突いた攻撃」です。この要因として考えられるのは、脆弱性対策情報が公開される前に攻撃者が脆弱性を悪用して攻撃を行ったり(ゼロデイ攻撃)、公開された脆弱性情報を悪用して攻撃することや、パッチ適用が遅れているシステムが攻撃者に狙われやすくなっていることが考えられます。6位の「リモートワーク等の環境や仕組みを狙った攻撃」は、コロナ禍をきっかけにリモートワークが常態化していることが背景にあり、VPNやリモートアクセス環境の脆弱性がより一層狙われやすくなっていることが要因として考えられます。8位の「分散型サービス妨害攻撃(DDoS攻撃)」は、IoT機器の普及によって攻撃に利用されるデバイスが増加していることが一因にあると考えられます。特にセキュリティ対策が不十分なIoT機器がボットネットとして悪用され、大規模なDDoS攻撃が容易に実行できる環境が整っていることがあると考えられます。
また7位には新たに「地政学的リスクに起因するサイバー攻撃」がランクインしており、国際情勢の変化がサイバーセキュリティに直接的な影響を及ぼしていることが示されています。
このランキングの推移から、サイバー攻撃の手法が年々巧妙化し、特に国家間の緊張や政治的背景を持つ攻撃が増加していることが読み取れます。企業はこれらの動向を踏まえ、セキュリティ対策の強化とともに、国際的な情勢にも注意を払う必要があります。
新たなリスク「地政学的リスクに起因するサイバー攻撃」とは
「地政学的リスクに起因するサイバー攻撃」とは、国家間の政治的・経済的な緊張や対立を背景に、特定の国や組織が他国の政府機関や企業、研究機関などを標的として行うサイバー攻撃を指します。具体的には、機密情報の窃取、重要インフラの破壊、経済的損失の誘発などが目的とされています。
例えば、2025年1月8日に警察庁が公表した「MirrorFaceによるサイバー攻撃について(注意喚起)」では、2019年以降、日本国内の学術機関やシンクタンク、政治家などを対象とした標的型攻撃メールや、半導体、情報通信、航空宇宙分野への脆弱性を悪用した攻撃が確認されており、これらの攻撃は、日本の安全保障や先端技術に関する情報の窃取を目的としていると考えられています。
このような地政学的リスクに起因するサイバー攻撃は、従来のサイバー脅威と比較して国家安全保障に直結するため、解決すべき課題が複雑化しています。企業や組織は、国際的な協力や情報共有の強化、グローバルな視点でのリスク評価と防御戦略の策定が求められます。
外部からのリスクに対する対策
これらの脅威に対し、企業としてどのような対策が必要となるでしょうか。まず、外部からのサイバー攻撃に対する対策として重要なのは、最新のセキュリティパッチの適用やシステムの脆弱性管理です。攻撃者は、既知の脆弱性を悪用して侵入を試みるため、定期的なシステム更新と脆弱性スキャンが不可欠です。
また、ネットワークの監視体制を強化し、異常なトラフィックや不審なアクセスを早期に検知する仕組みを導入することも効果的です。例えば、セキュリティ情報イベント管理(SIEM)ツールの活用などにより、リアルタイムでの監視と迅速な対応が可能となります。
さらに、サプライチェーン全体のセキュリティを見直し、取引先や委託先のセキュリティ対策状況を定期的に評価・監査することが求められます。サプライチェーンを狙った攻撃が増加している現状を踏まえ、自社だけでなく、関連するすべての組織と連携し、セキュリティ意識と対策を共有することが重要です。
内部からのリスクに対する対策
内部不正や情報漏えいを防ぐためには、まず従業員に対するセキュリティ教育の徹底が必要です。定期的な研修や啓発活動を通じて、情報セキュリティの重要性や具体的な対策方法を周知し、全社員の意識向上を図ります。
加えて、アクセス権限の適切な管理も重要です。業務上必要な最小限の権限のみを付与し、定期的に権限の見直しを行うことで、不正アクセスや情報漏えいのリスクを低減できます。特に管理者専用のアカウントは、悪用されないよう厳密に管理する必要があります。専用の管理ツールを使うことで、誰がどのように使っているかをリアルタイムで監視でき、不正な操作があった場合に即座に警告を出すことができます。
さらに業務で使用するパソコンやスマートフォンを一元管理できる仕組みを導入すれば、各端末の状況を把握しやすくなり、セキュリティ対策を効率的に実施できます。さらに、クラウドサービスやインターネットの利用を安全に管理することで、社内外からの不正アクセスやデータ流出リスクを減らすことが可能です。さらに情報が社外に持ち出されないよう監視することも重要であり、USBメモリや外部ストレージへのデータコピーを制限し、許可されていないクラウドサービスへのアップロードを防止することで、情報漏えいのリスクを効果的に抑えることができます。
内部不正は、単なる技術的な対策だけでは防ぎきれない側面もあります。従業員の満足度や労働環境の改善も、情報漏えいのリスクを低減する重要な要素となります。不満やストレスが蓄積された環境では、情報の持ち出しやサイバー犯罪への加担といったリスクが高まるため、経営層も含めた包括的な対策が求められます。
まとめ:組織の取るべき考え方と対策
サイバー攻撃の手法は年々高度化し、企業のセキュリティ対策もそれに応じて進化させる必要があります。「情報セキュリティ10大脅威 2025」から読み解くと、組織が取るべき対策として以下の3つのポイントが重要になります。
1.脅威の動向を継続的に監視すること
サイバー攻撃は日々進化しており、過去の対策が通用しなくなることもあります。企業のセキュリティ担当者は、最新の脅威情報を継続的に収集し、システムの更新や防御策の強化を怠らないようにする必要があります。さらに、ランサムウェア攻撃などの被害を最小限に抑えるためには、適切なバックアップ運用も不可欠です。データの定期的なバックアップを行い、安全な環境に保管することで、万が一のシステム障害やデータ損失時にも迅速に復旧できる体制を整えることが重要です。
2.技術的な対策と組織の意識改革を並行して進めること
セキュリティ対策は技術的な施策だけでなく、従業員や経営層の意識改革も必要です。セキュリティ研修の実施、情報管理の厳格化、内部統制の強化など、組織全体でセキュリティを向上させる取り組みが求められます。
また適切な認証の運用も効果的です。安全な認証を実現するためには、推測されにくいパスワードを設定し、使い回しを避け、適切に管理することが重要です。オンラインサービスの利用が増える中で、多要素認証やパスキーなどの最新の認証技術を活用することで、より強固なセキュリティ対策を実施できます。
さらにインシデント対応の体制を整えることも重要です。インシデント対応体制の有無は、被害の大きさに直結します。事前に対応フローを策定し、責任者や対応手順を明確にすることで、迅速かつ適切な対応が可能になります。定期的な訓練と準備を怠らず、万が一の事態に備えておくことが大切です。
3.ゼロトラストを前提としたセキュリティ戦略を構築すること
クラウドサービスの普及やモバイル端末の活用、テレワークの普及などにより、従来の境界防御型セキュリティはもはや通用せず、ゼロトラストアーキテクチャの採用が不可欠な時代となっています。ゼロトラストの基本理念は、「何も信頼しないこと」を前提に、常に検証すること。社内外すべてのアクセスを厳格に検証することで、企業の情報資産を保護し、セキュリティリスクを低減します。
具体的には、クラウドサービスを安全に使うための仕組みや、パソコンやスマートフォンなどの端末をまとめて管理する仕組み、システム全体の動きを監視して異常がないかチェックする仕組み、さらにログインの安全性を高める方法を組み合わせることが大切です。これらを導入することで、ネットワークやデバイス、ユーザーすべての面でセキュリティを強化し、企業全体のリスクをできるだけ減らすことができます。
サプライチェーンや委託先を狙った攻撃、地政学的リスクに起因する攻撃など、組織の枠を超えたサイバー脅威が増加しているため、企業単独での対策だけでなく、業界全体での情報共有や協力体制の構築も重要となります。
今後もサイバー攻撃の手法が進化することは避けられませんが、組織が適切な対策を講じることで、被害を最小限に抑えることは可能です。本コラムを参考に、最新のサイバー攻撃の動向を理解し、適切な対策を講じる一助となれば幸いです。