-1-150x150.png){kind=avatar}
コトラ(広報チーム) 
情報セキュリティ10大脅威とは
情報セキュリティ10大脅威は、独立行政法人情報処理推進機構(IPA)が毎年公表している、安全性を脅かす重要なリスクに関するランキングです。このランキングは、セキュリティ分野の専門家約200名による選考をもとに作成され、情報資産に損失を与える可能性がある主な要因を把握するために役立っています。2025年版でも急速に変化するサイバー攻撃の手法や社会的なトレンドに基づき、最新の脅威が選定されています。
情報セキュリティ脅威ランキングの概要
情報セキュリティ脅威ランキングは、前年度の脅威事例や社会情勢を反映した形で発表されます。近年は、ランサムウェアやサプライチェーン攻撃など、高度化するサイバー攻撃が上位を占めています。このランキングは、一般の利用者や企業が直面する可能性がある問題点を可視化し、具体的なセキュリティ対策を考える上での指標となっています。
個人編と組織編の違い
情報セキュリティ10大脅威は、「個人編」と「組織編」に分かれて発表されます。個人編では、主に個人が直面する具体的な脅威、例えば不正ログインやアカウント乗っ取りが取り上げられます。一方、組織編では企業や機関が直面し得る広範囲なリスク、例えばサイバー攻撃によるシステム停止やデータ漏えいが対象となります。これにより、個人と組織がそれぞれ適切なセキュリティ対策を講じることが推奨されています。
2025年注目される脅威の傾向
2025年に注目される脅威としては、さらなるランサムウェアの進化や、IoTデバイスを狙った攻撃が挙げられます。特にテレワークの普及に伴い、個人の端末やインターネット環境を狙った攻撃が増加する傾向にあります。また、サプライチェーン攻撃のように組織を標的とした攻撃も引き続き注目されており、これらのリスクに備えるため、ゼロトラストセキュリティの導入が今後ますます重要になると考えられています。
10大脅威の選定プロセス
情報セキュリティ10大脅威の選定プロセスは、専門的な知識を持つ約200名の選考メンバーによって行われます。まず、前年の重要な脅威事例や新たに登場した攻撃手法を精査し、それらの影響の大きさや発生頻度に基づいて順位付けが行われます。また、個人編では五十音順で脅威が発表される形式を採用しており、組織編と異なる視点でセキュリティに取り組む方向性を示しています。このプロセスを通じて、多様化する脅威に適応した防御策を提案することが目指されています。
2025年版10大脅威の詳細
第1位:ランサムウェア攻撃の進化
2025年の情報セキュリティ脅威ランキングにおいて、最も注目されるのはランサムウェア攻撃の進化です。ランサムウェアは、感染したシステムのファイルを暗号化し、復号のために金銭を要求するマルウェアの一種です。近年、これらの攻撃は巧妙化し、大規模な被害をもたらしています。
特に、標的型のランサムウェア攻撃が増加しており、企業の重要な情報資産を狙うケースが目立っています。また、ダブルエクストーションと呼ばれる手法では、ファイルを暗号化するとともに、情報を流出させると脅すことで、被害者への圧力が高まっています。ランサムウェア対策には、データバックアップやセキュリティアップデートの徹底、社員教育が重要です。
第2位:サプライチェーン攻撃の増加
2025年においてもサプライチェーン攻撃は引き続き注意が必要です。この攻撃は、取引先やビジネスパートナーのセキュリティの弱点を悪用する方法であり、対象企業の直接的な脆弱性を狙わない点が特徴です。
特に、ソフトウェアサプライチェーン攻撃の事例が増えており、正規のソフトウェアやアップデートに巧妙にマルウェアを仕込む手法が見られます。これにより、攻撃範囲が一気に拡大し、多数の組織や個人が影響を受ける可能性があります。防止策として、サプライチェーン全体のセキュリティ監査や信頼性の高い取引先との提携が求められます。
第3位:IoTデバイスの脆弱性を狙った攻撃
IoTデバイスの急速な普及に伴い、その脆弱性を悪用する攻撃が増加しています。家庭内のスマートデバイスから産業用のIoT機器まで、多岐にわたるデバイスが攻撃の対象となっています。
特に、パスワード管理の不備やファームウェアの更新不足が、攻撃の入口となるケースが多いです。また、IoTデバイスをボットネットとして利用し、大規模なDDoS攻撃を実行する手法も確認されています。IoTデバイスを安全に利用するためには、適切なパスワード設定や最新のセキュリティパッチの適用が不可欠です。
第4位:不正ログインやアカウント乗っ取り
情報漏えいや金銭的損害の引き金となる「不正ログイン」や「アカウント乗っ取り」も引き続き高い脅威として挙げられます。特に、フィッシングやソーシャルエンジニアリングを活用した手口が増加しており、不注意なクリックが大きな被害をもたらす例が報告されています。
加えて、パスワードの使いまわしも攻撃成功率を高める要因の一つです。不正ログインを防ぐためには、強力なパスワードの設定、多要素認証の導入、そしてフィッシングに対する注意喚起を行うことが重要となります。
その他注目される脅威
2025年版の10大脅威にランクインはしなかったものの、依然として注視が必要な脅威も存在します。たとえば、AIを活用したサイバー攻撃の増加です。攻撃者がAIを用いてターゲットの行動を分析し、より効率的な攻撃手法を編み出す可能性が高まっています。
また、一部の組織ではBEC(ビジネスメール詐欺)や標的型攻撃(APT)による経済的損失が拡大しています。これらの脅威についても引き続き警戒心を持ち、最新の情報や対策を取り入れることが求められます。
情報セキュリティ対策の最前線
ゼロトラストセキュリティの導入
近年、多くの企業が導入を進めている「ゼロトラストセキュリティ」は、新しい情報セキュリティモデルとして注目を集めています。ゼロトラストの基本的な考え方は、ネットワーク内外を問わず、すべてのアクセスを一度信任せずに検証するというものです。これにより、内部脅威や外部脅威双方からのセキュリティリスクを最小限に抑えることが可能です。また、遠隔業務が増加している現代の働き方に適したモデルとして、特に話題となっています。
AIを活用した脅威検知システム
AIを活用した脅威検知システムは、情報セキュリティ対策の未来を支える重要な技術です。AI技術により、従来の手動プロセスでは見つけられなかった潜在的な脅威をリアルタイムで検出し、迅速な対応を可能にします。ランサムウェアや標的型攻撃といった高度化する脅威に対してもAIの活用は大きな効果を発揮します。今後も進化が期待される分野の一つです。
社員向けセキュリティ教育の重要性
情報セキュリティの強化には、社員個々のリテラシー向上が欠かせません。不正ログインやBEC(Business Email Compromise)など、人為的な操作ミスや不注意による脅威が原因となる事故を防ぐには、社員が最新の脅威を理解し、適切に対応する知識を持つことが重要です。セキュリティセミナーや定期的な研修を通じて、全社的なリテラシー向上を実現しましょう。
最新のセキュリティツールと技術
テクノロジーの進化に伴い、セキュリティツールや技術も日々進化しています。例えば、次世代型ファイアウォールや侵入検知システム、エンドポイント保護プラットフォーム(EPP)などがその代表例です。これらのツールを活用することで、組織全体のセキュリティ体制を向上させることができます。また、クラウド環境の安全性を確保するための新技術も、特に注目されています。
定期的なセキュリティ診断の実施
組織のセキュリティ対策を万全に保つためには、定期的なセキュリティ診断が欠かせません。IPAなどの専門機関が提供するツールを利用し、自社のシステムやネットワークの脆弱性を洗い出すことが重要です。診断後は、指摘されたリスクへの迅速な対応を行うことで、より強固なセキュリティを実現できます。特にテレワークの普及により、セキュリティ環境が変化している現在、定期診断の重要性はさらに高まっています。
未来を見据えたセキュリティ戦略
セキュリティ人材育成の必要性
近年の情報セキュリティ脅威の多様化に対応するためには、高度な専門知識を持つ人材の育成が急務となっています。特にランサムウェアやIoTデバイスを狙った攻撃の増加に伴い、企業や政府機関は最新の脅威に精通したセキュリティエキスパートを育成する必要があります。また、情報セキュリティ業務に携わる人材だけでなく、全社員が基本的なセキュリティ知識を持つことも、内部不正や人為的ミスを防ぐ観点から重要です。
国際連携によるサイバー犯罪対策
サイバー犯罪は国際的な犯罪組織によるものが増加しており、一国のみでの対策では効果が限られる場合があります。そのため、国際連携がこれまで以上に求められます。例えば、各国の政府機関や専門機関が情報共有を行い、脅威の早期検知や被害の最小化を図る取り組みが注目されています。特にIPAのような組織が提供する情報を活用し、官民連携を強化していくことが鍵になります。
クラウド環境における安全性確保
テレワークの普及と共にクラウド利用が急速に拡大していますが、その一方でクラウド環境を狙った脅威も増加しています。特に不適切なアクセス管理や設定ミスが引き起こす脆弱性が問題視されています。クラウド環境のセキュリティを向上させるためには、ゼロトラストセキュリティの考え方を基本とし、アクセスルールを厳格化することが有効です。また、定期的なセキュリティ診断とモニタリングを行うこともリスク軽減につながります。
エンドポイント管理の強化
企業と個人の双方で使用される端末、いわゆるエンドポイントは、セキュリティ脅威の主要なターゲットになっています。特にUSBウイルスや不正ログインによる情報漏えいリスクは無視できません。これらの脅威に対抗するためには、端末のセキュリティ強化が必須です。具体的には、多要素認証の導入や、エンドポイント保護ソフトウェアの活用が有効です。また、マルウェア対策として最新のソフトウェアアップデートを欠かさないことも重要です。
企業と個人が取るべき今後のアクション
今後、情報セキュリティ脅威がさらに複雑化する中で、企業と個人の双方が積極的に行動を起こすことが求められます。企業には、定期的なリスクアセスメントの実施や、セキュリティ教育の徹底を推進する責任があります。一方、個人も疑わしいメールやリンクを開かないなど、基本的なセキュリティリテラシーを高める必要があります。また、世界中の専門家が参画した脅威情報の収集や対策の共有を進め、連携体制を構築することが、未来の安全を確保するための鍵となるでしょう。
