最新!2025年の情報セキュリティ10大脅威とその対策
- INDEX
-
情報セキュリティの脅威は年々進化し続けています。独立行政法人情報処理推進機構(IPA)が発表する「情報セキュリティ10大脅威」は、その年に最も影響を及ぼしたサイバー攻撃やリスクをランキング形式で発表するものです。
参考:https://www.ipa.go.jp/security/10threats/10threats2025.html
情報セキュリティ10大脅威とは?
「情報セキュリティ10大脅威 2025」は、2024年に発生した社会的影響の大きい情報セキュリティ事案から、IPAが脅威候補を選出し、情報セキュリティ分野の研究者や企業の実務担当者など約200名の専門家による「10大脅威選考会」において審議・投票を経て決定されたものです。2025年版の特徴
2025年1月30日に発表された、2025年版では、これまでの傾向を踏まえつつ、新たな攻撃手法やリスクも加わり、より高度化した脅威が確認されています。本稿では、2025年の情報セキュリティ10大脅威について詳しく解説し、組織や個人がどのような対策を取るべきかを考察します。情報セキュリティ10大脅威 2025 [組織]
| 順位 | 「組織」向け脅威 | 初選出年 | 10大脅威での取り扱い (2016年以降) |
|---|---|---|---|
| 1 | ランサム攻撃による被害 | 2016年 | 10年連続10回目 |
| 2 | サプライチェーンや委託先を狙った攻撃 | 2019年 | 7年連続7回目 |
| 3 | システムの脆弱性を突いた攻撃 | 2016年 | 5年連続8回目 |
| 4 | 内部不正による情報漏えい等 | 2016年 | 10年連続10回目 |
| 5 | 機密情報等を狙った標的型攻撃 | 2016年 | 10年連続10回目 |
| 6 | リモートワーク等の環境や仕組みを狙った攻撃 | 2021年 | 5年連続5回目 |
| 7 | 地政学的リスクに起因するサイバー攻撃 | 2025年 | 初選出 |
| 8 | 分散型サービス妨害攻撃(DDoS攻撃) | 2016年 | 5年ぶり6回目 |
| 9 | ビジネスメール詐欺 | 2018年 | 8年連続8回目 |
| 10 | 不注意による情報漏えい等 | 2016年 | 7年連続8回目 |
1. ランサムウェア攻撃の高度化と拡大
ランサムウェア攻撃は2024年に続き、2025年も最大の脅威とされています。攻撃者は暗号化だけでなく、企業の機密情報を窃取し、公開を盾に身代金を要求する「二重恐喝」の手法を多用しています。また、AIを活用した攻撃の自動化や、より高度なソーシャルエンジニアリングを駆使した侵入手口も確認されています。
対策
・定期的なバックアップの実施・高度なEDR(Endpoint Detection and Response)の導入
・ゼロトラストセキュリティの適用
2. サプライチェーン攻撃の増加
サプライチェーン攻撃とは、組織の取引先や委託先を経由して行われるサイバー攻撃です。特にソフトウェアのアップデート機能やクラウドサービスを狙った攻撃が増加しています。対策
・取引先のセキュリティ監査の強化・ソフトウェアの署名検証の徹底
・アクセス管理の強化
3. システムの脆弱性を狙った攻撃
ゼロデイ攻撃やパッチ適用の遅れを狙った攻撃が続いています。特に、クラウド環境の脆弱性を突いた攻撃が急増しており、クラウドサービス利用企業にとっては大きなリスクとなっています。対策
・ソフトウェアの最新バージョン適用・脆弱性スキャンの実施
・WAF(Web Application Firewall)の導入
4. 内部不正による情報漏えい
従業員や関係者による情報漏えいも引き続き大きな問題です。特にテレワーク環境では、情報管理の監視が難しく、無断持ち出しや悪用のリスクが高まっています。対策
・従業員のアクセス権限管理の強化・DLP(Data Loss Prevention)の導入
・従業員へのセキュリティ意識向上トレーニング
5. 標的型攻撃の巧妙化
特定の企業や団体を狙った標的型攻撃は、AIを活用したフィッシングメールなど、より巧妙な手法へと進化しています。対策
・メールセキュリティ対策の強化・多要素認証(MFA)の徹底
・SIEM(Security Information and Event Management)の導入
6. リモートワーク環境の脆弱性を狙う攻撃
VPNの設定ミスや、個人デバイスを介した侵入が増加しています。対策
・ゼロトラストアーキテクチャの導入・セキュアなリモートアクセスの確保
・従業員へのセキュリティ教育
7. 地政学的リスクを伴うサイバー攻撃
国家支援型攻撃やハクティビズムが活発化し、政治的・経済的影響を与える攻撃が増加しています。対策
・インテリジェンス情報の活用・サイバーレジリエンス強化
・政府機関との連携
8. DDoS攻撃の増加
サービス妨害を目的としたDDoS攻撃は、ボットネットを活用し大規模化しています。対策
・CDN(Content Delivery Network)の活用・DDoS防御ソリューションの導入
・トラフィック監視の強化
9. ビジネスメール詐欺(BEC)の被害拡大
巧妙な詐欺メールにより、経営層や経理部門が狙われています。対策
・メールの認証技術(DMARC/SPF/DKIM)の適用・経理部門の教育強化
・送金前の確認プロセスの徹底
10. 不注意による情報漏えい等
単純なミスが大きなセキュリティ事故につながるケースが多発しています。対策
・セキュリティ意識向上トレーニング・自動化によるリスク低減
・厳格なデータハンドリングポリシー
情報セキュリティ10大脅威 2025 [個人]
| 「個人」向け脅威(五十音順) | 初選出年 | 10大脅威での取り扱い (2016年以降) |
|---|---|---|
| インターネット上のサービスからの個人情報の窃取 | 2016年 | 6年連続9回目 |
| インターネット上のサービスへの不正ログイン | 2016年 | 10年連続10回目 |
| クレジットカード情報の不正利用 | 2016年 | 10年連続10回目 |
| スマホ決済の不正利用 | 2020年 | 6年連続6回目 |
| 偽警告によるインターネット詐欺 | 2020年 | 6年連続6回目 |
| ネット上の誹謗・中傷・デマ | 2016年 | 10年連続10回目 |
| フィッシングによる個人情報等の詐取 | 2019年 | 7年連続7回目 |
| 不正アプリによるスマートフォン利用者への被害 | 2016年 | 10年連続10回目 |
| メールやSMS等を使った脅迫・詐欺の手口による金銭要求 | 2019年 | 7年連続7回目 |
| ワンクリック請求等の不当請求による金銭被害 | 2016年 | 3年連続5回目 |
個人にとっての脅威も多様化しています。特に以下のリスクが2025年も重要視されています。
・フィッシング詐欺:偽サイトに誘導し、個人情報を盗む手口
・クレジットカード情報の不正利用:オンライン決済時のセキュリティ不備を狙う攻撃
・スマホ決済の悪用:QRコード決済の偽装など
・偽警告詐欺:ウイルス感染を装った詐欺
・不正アプリによる情報漏えい:SNSやゲームアプリに潜む危険
・ワンクリック詐欺:不当請求による金銭被害
個人が取るべき対策
・強固なパスワードと二段階認証の活用・公共Wi-Fiの利用時にはVPNを使用
・公式ストア以外からのアプリインストールを避ける
・不審なメッセージやリンクを開かない
まとめ
情報セキュリティの脅威は年々進化し、組織や個人に大きな影響を与えています。特に2025年には、AIを使った攻撃の高度化や国家間のサイバー攻撃リスクが懸念されています。これに対抗するため、最新のセキュリティ情報を常に把握し、適切な対策を取ることが求められます。また、情報セキュリティは、組織全体での意識と行動によって強化されます。組織としてセキュリティ対策を見直し、脅威に備える準備を進めましょう。
弊社が提供する AssetView Cloud + は、IT資産やSaaS管理、社内外のデバイス制御を強化し、内部不正や外部からの攻撃による情報漏洩を防ぐための包括的なセキュリティ対策を提供します。これにより、進化する脅威から組織を守るための効果的な管理と制御が可能になります。
特に、ハイブリッドワークやフルリモートワークなど、働き方の多様化が進む中で、内部不正や外部攻撃によるリスクが増加しています。この課題に対処するためには、日常的に端末の利用状況を把握し、適切な制御を行うことが不可欠です。また、インシデント発生時には、迅速に証跡を把握できる体制が必要です。しかし、企業の多くは人材不足や管理工数、コストの問題で十分なセキュリティ対策を実施できていないのが現実です。
それらの課題を解消するソリューションがAssetView Cloud + です。効率的なセキュリティ対策を実現し、管理コストを削減しながら、セキュリティ向上に貢献します。まずは、お気軽にお問い合わせください。
