デジタル技術の活用が当たり前となった現代において、情報セキュリティ対策はもはやIT部門だけの課題ではなく、企業経営そのものを左右する重要なテーマとなっています。ひとたびサイバー攻撃を受ければ、機密情報の漏えいにとどまらず、システム停止による業務中断や取引先・顧客からの信頼低下など、事業継続に深刻な影響を及ぼしかねません。
本記事では、独立行政法人情報処理推進機構(IPA)が毎年公表している「情報セキュリティ10大脅威」の最新版(2025年版)を基に、現在特に注意すべきサイバー脅威の全体像を分かりやすく解説します。
組織と個人の双方が直面する最新の脅威を正しく理解し、すぐに実践できる具体的な対策を知ることで、企業全体のセキュリティ意識向上と、実効性のある対策推進につなげていただくことを目的としています。
情報セキュリティ10大脅威とは?
「情報セキュリティ10大脅威」とは、企業や個人が直面するサイバーリスクの中でも、特に影響が大きく、注意喚起が必要と判断された脅威を体系的に整理したものです。
年ごとの社会情勢や技術動向、実際に発生した被害事例を踏まえて選定されており、現在どのような攻撃が増加しているのか、また今後どの分野に重点的な対策が求められるのかを把握するための重要な指標となっています。
本セクションでは、この「情報セキュリティ10大脅威」の定義や目的、なぜ企業や個人にとって理解が不可欠なのかを整理して解説します。
情報セキュリティ10大脅威の定義
「情報セキュリティ10大脅威」とは、その年に発生した社会的に影響の大きかった情報セキュリティの事案の中から、IPAが脅威候補を選出し、情報セキュリティ分野の研究者や企業の実務担当者など約200名の選考会メンバーによる審議・投票を経て決定される、その年最も注意すべき脅威のリストです。
公開元と作成の目的(IPAなど)
この脅威リストは、独立行政法人情報処理推進機構(IPA)によって毎年公表されています。作成の主な目的は、企業・組織、そして個人が直面しているセキュリティリスクを明確にし、社会全体のセキュリティ意識を高め、適切な対策を促すことにあります。
なぜ「10大脅威」が重要なのか
IPAが公表するこのリストは、単なるランキングではありません。実際に発生した被害に基づいているため、現在、最も被害が拡大している、または今後大きな影響を与える可能性が高い脅威を知るための羅針盤となります。これにより、漠然とした対策ではなく、リソースを最も効果的に投入すべきポイントを把握し、対策の優先順位を決定することが可能になります。
【最新版】情報セキュリティ10大脅威の全体像
情報セキュリティ10大脅威(2025年版)は、「組織」と「個人」の二つの視点から脅威がまとめられています。
組織における脅威(最新の具体的な脅威例を紹介)
組織における脅威は、被害の大きさや深刻度に基づき順位付けされています。
| 順位 | 脅威の名称 |
| 1位 | ランサム攻撃による被害 |
| 2位 | サプライチェーンや委託先を狙った攻撃 |
| 3位 | システムの脆弱性を突いた攻撃 |
| 4位 | 内部不正による情報漏えい等 |
| 5位 | 機密情報等を狙った標的型攻撃 |
| 6位 | リモートワーク等の環境や仕組みを狙った攻撃 |
| 7位 | 地政学的リスクに起因するサイバー攻撃 |
| 8位 | 分散型サービス妨害攻撃(DDoS攻撃) |
| 9位 | ビジネスメール詐欺 |
| 10位 | 不注意による情報漏えい等 |
個人における脅威(最新の具体的な脅威例を紹介)
個人における脅威は、順位付けによる優先順位の誤解を防ぐため、五十音順で掲載されています。
| 脅威の名称 |
| フィッシングによる情報窃取 |
| なりすましや不正アクセス |
| 不正アプリや不正サイトへの誘導 |
| インターネット上の誹謗・中傷、偽情報・誤情報の拡散 |
| 情報機器の不適切な利用による情報漏えい |
| プライバシー侵害 |
過去からの傾向と今年の注目すべき変化
- ランサム攻撃(ランサムウェアによる被害)は不動のトップ:
2025年版においても「ランサム攻撃による被害」は不動の1位となっており、企業にとって最も深刻な脅威であり続けています。 - サプライチェーン攻撃の進化:
「サプライチェーンの弱点を悪用した攻撃」が「サプライチェーンや委託先を狙った攻撃」に名称がマイナーチェンジされ、その脅威の具体性がより強調されています。 - 地政学的リスクの初選出:
「地政学的リスクに起因するサイバー攻撃」が7位に初選出されました。これは国際情勢の緊張が、国内の組織を狙ったサイバー攻撃に直結するリスクが高まっていることを示唆しています。
組織が重点的に対策すべき脅威と対策
組織を狙ったサイバー攻撃は年々高度化・巧妙化しており、特定の業種や企業規模に限らず、あらゆる組織が被害に遭うリスクを抱えています。とりわけ、ランサムウェア攻撃やサプライチェーン攻撃、テレワーク環境を狙った攻撃などは、ひとたび侵入を許すと事業停止や情報漏えいといった深刻な影響を及ぼしかねません。
本セクションでは、IPAが公表する「情報セキュリティ10大脅威(2025年版)」の中から、組織として特に優先度の高い脅威を取り上げ、それぞれの攻撃手法の特徴と、実務に直結する具体的な対策を解説します。限られたリソースの中でも効果的に取り組むための考え方を整理し、自社のセキュリティ強化に役立ててください。
ランサムウェアによる被害と対策
ランサムウェアは、企業のシステムやデータを暗号化し、その解除と引き換えに身代金(ランサム)を要求する攻撃です。近年では、データを暗号化するだけでなく、窃取した情報を公開すると脅す「二重脅迫」の手口が主流となっています。
| 対策例 | 詳細 |
| バックアップの取得と管理 | 定期的なバックアップを、ネットワークから分離された(オフラインの)環境に保存することが必須です。 |
| 多要素認証(MFA)の有効化 | 重要なシステムやファイルへのアクセスに多要素認証を有効にし、不正アクセスによる侵入を防ぎます。 |
| アクセス権限の見直し | 「最小権限の原則」に基づき、従業員のアクセス権限を必要最小限に制限します。 |
| セキュリティソフトの導入と更新 | ウイルス対策ソフトやEDR/XDRなどのセキュリティ製品を導入し、常に最新の状態に保ちます。 |
サプライチェーンの弱点を悪用した攻撃とその対策
ターゲット企業に直接攻撃するのではなく、セキュリティ対策の弱い関連企業や委託先を踏み台にして、本命の企業ネットワークに侵入する攻撃です。
| 対策例 | 詳細 |
| 取引先のセキュリティ評価 | サプライチェーン全体のリスクを把握するため、取引先や委託先のセキュリティ基準をチェックし、契約で明確にルール化します。 |
| ゼロトラストセキュリティの導入 | ネットワークの内外を問わず「何も信頼しない」ことを前提に、すべてのアクセスを検証・管理するモデルを導入します。 |
| 予兆・被害の早期検知 | 攻撃の予兆や被害を早期に検知するための体制やツール(EDR/XDRなど)を導入します。 |
| インシデント対応の連携 | 万一感染が発生した場合の対応手順を明確化し、関係企業との連携フローを確立します。 |
テレワーク等のニューノーマルな働き方を狙った攻撃とその対策
VPN機器やリモートデスクトップ(RDP)といった、テレワーク環境に必須の仕組みの脆弱性を悪用し、企業の内部ネットワークへの侵入を試みる攻撃です。
| 対策例 | 詳細 |
| リモートアクセス環境のセキュリティ強化 | VPN機器やRDPには、推測されにくい強力なパスワードと多要素認証(MFA)を設定し、認証情報を厳重に管理します。 |
| リモートワーク規定の整備 | リモートワークにおける情報資産の取り扱い、利用端末、通信ルールなどを定めた規定を整備し、従業員へ周知徹底します。 |
| セキュリティ教育の再実施 | 従業員に対し、リモートワークにおけるセキュリティ意識向上のための教育を定期的に実施します。 |
個人が注意すべき主な脅威と対策
個人で利用するスマートフォンやPCも、企業の機密情報への入り口となり得るため、組織全体で対策を講じる必要があります。
フィッシングによる情報窃取とその対策
メールやSMS、SNSなどを利用して、銀行や大手サービスになりすまし、偽のウェブサイトへ誘導してIDやパスワード、クレジットカード情報などの個人情報を盗み取る手口です。
| 対策例 | 詳細 |
| 安易なリンクやQRコードのクリックを避ける | 送信元が不確かなメールやSMS、SNSのリンクや添付ファイルは安易に開封・クリックしない。 |
| 正規サイトの確認 | ログインや個人情報入力を促すメールが来た場合、メール内のリンクではなく、自身でブラウザから正規のウェブサイトを検索して開いて確認します。 |
| 多要素認証の利用 | 可能な限り多要素認証を有効にし、パスワードが盗まれても不正ログインされないようにします。 |
なりすましや不正アクセスとその対策
盗み出したID・パスワードを使ってサービスに不正ログインしたり、他人に成りすまして金銭を騙し取る行為です。
| 対策例 | 詳細 |
| 推測されにくいパスワードの設定 | 生年月日や名前など、推測されやすい文字列は避けて、数字、アルファベット、記号などを組み合わせた複雑なパスワードを設定します。 |
| パスワードの使い回しを避ける | サービスごとに異なるパスワードを設定します。パスワードマネージャーの利用を推奨します。 |
| 退職者のアカウント削除 | 企業としては、退職者のアカウントは速やかに削除し、アクセス権限を見直します。 |
不正アプリや不正サイトへの誘導とその対策
広告や偽の警告表示などで不安を煽り、不正なアプリのインストールや、個人情報を入力させる不正なウェブサイトへ誘導する手口です。
| 対策例 | 詳細 |
| アプリの提供元を確認 | アプリは必ず公式のアプリストア(App Store、Google Playなど)からのみインストールし、提供元が信頼できるか確認します。 |
| OSやソフトの最新化 | OSやアプリケーションの脆弱性を突かれないよう、修正プログラムを迅速に適用し、常に最新の状態に保ちます。 |
| 情報発信の慎重化 | インターネット上に一度発信した情報は完全に消去することが難しいため(デジタルタトゥー)、真偽が判断できない情報や機密情報は発信しないように慎重に行ないます。 |
情報セキュリティ対策を社内全体で強化する方法
組織のセキュリティを強化するには、システム導入だけでなく、人為的なミスを防ぐための包括的な対策が不可欠です。
全社員のセキュリティ意識向上のための教育・訓練
セキュリティ対策の基本は「人」です。従業員一人ひとりのセキュリティリテラシーを高めることが、最も効果的な対策の一つとなります。
- 標的型メール訓練の実施:
不審なメールを見分け、報告する手順を習得するための訓練を定期的に行ないます。 - 就業規則・社内運用規則の理解:
全社員に就業規則や社内運用規則を理解させ、事故を起こさないことが自身を守ることにもつながるという意識付けを行ないます。 - 継続的な取り組み:
新入社員や長期休暇の前後など、人の入れ替わりやイベントを考慮し、定期的に教育を実施します。
多要素認証やゼロトラストモデルの導入
現代のサイバー攻撃は境界防御(ファイアウォールなど)を容易に突破するため、より強固な認証とアクセス管理の仕組みが必要です。
- 多要素認証(MFA)の導入:
パスワードに加え、スマートフォンなどで生成されるワンタイムパスワードなど、複数の要素を組み合わせて本人確認を行なう仕組みを導入します。 - ゼロトラストセキュリティの活用:
社内ネットワークであっても「信頼できない」ことを前提とし、すべてのアクセスに対して認証・認可を要求するセキュリティモデルを導入・活用します。
インシデント発生時の対応フローの整備(BCP対策)
万が一、セキュリティインシデントが発生した場合に、被害を最小限に抑え、事業の継続を可能にするための準備が必要です。
- 対応フローの明確化:
感染時や情報漏えい発生時のネットワーク遮断、管理者への報告、外部専門機関への相談といった対応手順を明確化し、文書化します。 - 定期的な訓練:
策定したインシデント対応計画に基づき、定期的な訓練(シミュレーション)を実施し、実効性を高めます。 - 報告先の把握:
緊急時の報告先、報告方法を従業員一人ひとりが把握できるようにします。
まとめ:情報セキュリティ10大脅威を知り、適切な対策で企業と個人を守る
情報セキュリティ10大脅威を正しく理解することは、企業と個人がデジタル社会で活動するうえで欠かせない前提条件です。サイバー攻撃は特定の企業や業界だけを狙うものではなく、規模の大小を問わず、すべての組織にとって現実的なリスクとなっています。
本記事で紹介したように、ランサムウェア攻撃への備えやサプライチェーン全体を意識した対策、そして従業員一人ひとりのセキュリティ意識向上は、いずれも単発の取り組みでは十分とは言えません。技術的な対策と運用・教育を組み合わせ、継続的に見直していくことが重要です。
情報セキュリティ対策は「一度導入すれば終わり」ではなく、環境や脅威の変化に応じて改善を重ねていく取り組みです。最新の脅威動向を把握し、自社の実情に合った対策を着実に積み重ねることで、企業価値と事業継続性、そして従業員や顧客の信頼を守り続けていきましょう。
