「知らなかった…」では済まされない!2025年の情報セキュリティ10大脅威まとめ
なつめ
お仕事ライフハック
最近、「個人情報が流出した」「企業がサイバー攻撃を受けた」といったニュースをよく目にしませんか?「怖いな」と感じつつも、具体的にどのような脅威があるのか、何をすればよいのか分からないという方も多いかもしれません。
そこで今回は、IPA(独立行政法人情報処理推進機構)が発表した「情報セキュリティ10大脅威 2025(組織編)」について簡単に概要をお伝えします。セキュリティ対策の第一歩は、「どんな脅威があるのか」を知ること。ぜひ最後まで読んで、会社や組織の安全を守るためのヒントにしてください!
情報セキュリティ10大脅威 2025とは?
このランキングは、2024年に発生したセキュリティ事故をもとに、専門家が選定したものであり、組織向けと個人向けの2種類があります。重要なのは、順位に関わらず、すべての脅威が重要ということです。過去の事例を参考にしながら、基本的な対策を続けることが大切です。
では、2025年の10大脅威を見ていきましょう!
1. ランサム攻撃による被害
企業のデータを暗号化して使えなくし、身代金(ランサム)を要求する攻撃です。最近は、「盗んだデータを公開する」と脅すケースも増えています。対策としては、定期的なデータのバックアップが重要です。
2. サプライチェーンや委託先を狙った攻撃
取引先や委託先のシステムを乗っ取り、大企業のネットワークへ侵入する手口です。取引先のセキュリティ対策状況も把握し、アクセス管理や契約時のセキュリティ要件を見直すことが有効です。
3. システムの脆弱性を突いた攻撃
ソフトウェアの更新を怠ると、脆弱性(システムの弱点)を突かれることがあります。特に、ゼロデイ攻撃(脆弱性が公開される前の攻撃)は深刻です。定期的なアップデートを徹底しましょう。
4. 内部不正による情報漏えい等
従業員や関係者が情報を不正に持ち出したり、売却するリスクがあります。アクセス権限の管理や退職時のデータ持ち出しチェックを強化しましょう。
5. 機密情報等を狙った標的型攻撃
特定の企業や組織を狙ったメールやファイルを利用した攻撃が増えています。従業員が怪しいメールを開かないよう、セキュリティ意識を高める研修を定期的に行うと効果的です。
6. リモートワーク等の環境や仕組みを狙った攻撃
VPNやクラウドサービスの利用が増える中、それらを標的とした攻撃が増えています。多要素認証(MFA)の導入や安全な通信環境の確保が重要です。
7. 地政学的リスクに起因するサイバー攻撃
国際情勢の影響を受け、政治的な目的で特定の国や企業が狙われるケースがあります。定期的な情報収集と対策強化が求められます。
8. 分散型サービス妨害攻撃(DDoS攻撃)
大量のアクセスを送りつけ、サーバーをダウンさせる攻撃です。特に、金融機関やECサイトが狙われることが多いです。通信量の監視やCDN(コンテンツ配信ネットワーク)の活用が効果的です。
9. ビジネスメール詐欺(BEC)
攻撃者が上司や取引先になりすまして偽の送金指示を送る手口です。最近では生成AIを使った音声や動画のなりすまし詐欺も登場しています。送金前の確認ルールを徹底しましょう。
10. 不注意による情報漏えい等
設定ミスや誤操作で個人情報が流出する事故も少なくありません。データの取り扱いルールを定め、従業員の教育を徹底することが必要です。
共通するセキュリティ対策
これらの脅威に共通して有効な対策をいくつかご紹介します。
- ✅ 定期的なソフトウェア更新(脆弱性対策)
- ✅ 多要素認証(MFA)の導入(不正アクセス防止)
- ✅ 怪しいメールやリンクを開かない意識づけ(標的型攻撃・BEC対策)
- ✅ 重要データの定期バックアップ(ランサム攻撃対策)
- ✅ 送金や情報共有時のダブルチェック(ビジネスメール詐欺対策)
- ✅ 従業員向けのセキュリティ研修の実施(内部不正・不注意による漏えい対策)
まとめ
今回は「情報セキュリティ10大脅威2025(組織編)」についてご紹介しました。
IPAの公式サイトでは、各脅威の詳細や対策が詳しく解説されています。分かりやすい資料もあるので、さらに深く知りたい方はぜひチェックしてみてください!
▶ 情報セキュリティ10大脅威 2025(IPA公式サイト)
日々の情報セキュリティ対策は細かい作業や気をつけることが多く、大変に感じることもあるかもしれません。できることから一緒に少しずつ取り組んでいきましょう。
私も、まずはパスワードの強化から始めてみようと思います!