セキュリティソリューションマーケティングチームです。
独立行政法人情報処理推進機構(以下、IPA)が「情報セキュリティ10大脅威」の2025年版を公開しました。
本記事では、「情報セキュリティ10大脅威 2025」にランクインした脅威の詳細、実際の事例、そして具体的な対策案について解説します。
幅広い組織や企業に当てはまる内容になっていますので、ぜひ参考にしてください。
- 無料で相談・質問をする
セキュリティ対策にお悩みの方、製品の導入を検討中の方
目次
情報セキュリティ10大脅威とは
「情報セキュリティ10大脅威」とは、前年に発生した様々なセキュリティ事案から、IPAが脅威となる候補を選出し、専門家による審議・投票を経て決定されるものです。
個人に対する脅威と組織に対する脅威の2つの観点から、その年に社会的に影響を及ぼす可能性のあるセキュリティ脅威がランキング形式で発表されています。
セキュリティ動向をキャッチアップし、適切な対策を講じるための方針の参考にできるため、毎年多くの企業が注目しています。
本記事では、[組織編]について解説します。
IPAの「情報セキュリティ10大脅威 2025」[組織編]の解説
2025年1月30日に、「情報セキュリティ10大脅威2025」が公開されました*1。
2025年のランキングを見ると、従来から脅威とされてきた攻撃が引き続き深刻な問題である一方で、新たな脅威も加わっていることが分かります。
新たな脅威に関しては、「地政学的リスクに起因するサイバー攻撃」が初めてランクインしました。
政府機関や重要インフラなどを標的とした国家の関与が疑われるサイバー攻撃が増加しており、日本国内でもリスクが深刻化しています。
また、この地政学的リスクに起因するサイバー攻撃の一環として、分散型サービス妨害攻撃(DDoS攻撃)が圏外から8位に浮上しました。
1位の「ランサム(ランサムウェア)攻撃による被害」と2位の「サプライチェーンや委託先を狙った攻撃」は昨年と順位が変わらず、注目度の高い脅威です。
IPAは、企業や組織は[組織編]の脅威に対し、セキュリティ対策情報を継続的に収集し、使用している機器やサービスに適切なセキュリティ対策を講じつつ、各脅威が自組織の事業や体制にどのようなリスクがあるのか洗い出すことが重要であると述べています。
| 順位 | 「組織」向け脅威 | 前年順位 |
1 | ランサム攻撃による被害 | 1位→ |
2 | サプライチェーンや委託先を狙った攻撃 | 2位→ |
3 | システムの脆弱性を突いた攻撃 | 7位↑ |
4 | 内部不正による情報漏えい等 | 3位↓ |
5 | 機密情報等を狙った標的型攻撃 | 4位↓ |
6 | リモートワーク等の環境や仕組みを狙った攻撃 | 9位↑ |
7 | 地政学的リスクに起因するサイバー攻撃 | New! |
8 | 分散型サービス妨害攻撃(DDoS攻撃) | 圏外↑ |
9 | ビジネスメール詐欺 | 8位↓ |
10 | 不注意による情報漏えい等 | 6位↓ |
「情報セキュリティ10大脅威 2025」の傾向解説
今年のランキングから読み取れる脅威の傾向を解説します。
地政学的リスクに起因するサイバー攻撃が初選出
地政学的リスクに起因するサイバー攻撃とは、外交・安全保障上の対立をきっかけとして実行される、国家の関与が疑われる攻撃です。
機密情報の窃取、重要インフラの妨害による社会的混乱などを目的として行われます。
IPAは本脅威に該当するものとして、警察庁や内閣サイバーセキュリティセンターが注意喚起を行った「MirrorFace」によるサイバー攻撃を挙げています*2。
また、地政学的リスクに起因するサイバー攻撃の手段として頻繁に用いられるのが8位にランクインした分散型サービス妨害攻撃(DDoS攻撃)です。
特定のシステムに大量のアクセスを集中させることで、重要インフラや企業などのサービスを停止させる可能性があります。
これにより、事業だけでなく人々の生活にも支障をきたす恐れがあります。
のちほど詳細にご紹介しますが、昨年末に国内の航空会社が受けたDDoS攻撃による影響は、まだ記憶に新しいところです。
日本国内では、国家安全保障戦略において能動的サイバー防御の強化が進められており、官民連携によるサイバー対策の重要性が高まっています。
地政学的リスクに起因するサイバー攻撃への対策 関連資料
-
脅威インテリジェンス
ツールの活用資料Recorded Futureを活用し、地政学リスクを正確に把握し、グローバルな脅威に対応する方法を紹介した資料
-
DDoS攻撃対策も可能なSASEソリューション概要資料
SASEソリューション「Prisma Access」の概要、ユースケース、提供形態などがわかる資料
拡大するランサムウェア攻撃の侵入経路
感染した端末を暗号化し、復旧と引き換えに金銭を要求する「ランサムウェアによる被害」は、2021年から5年連続1位となっています。
DXの推進やクラウド・IoTの活用が進む中で、サイバー攻撃の対象となる領域(アタックサーフェス)は多様化しています。
「情報セキュリティ10大脅威 2025」にもランクインしているサプライチェーンや委託先の脆弱性、システムの脆弱性、リモートワーク環境が、攻撃者にとって格好の侵入口となっています。それぞれの経路について詳しく見ていきましょう。
サプライチェーンや委託先
攻撃者は直接ターゲットを狙うのではなく、セキュリティ対策が手薄な取引先や委託先、国内外の子会社などのシステムを狙うことで最終的な標的への侵入を試みています。
自組織だけではなく、自社ビジネスを取り巻くサプライチェーンの構造を意識し、取引先も含めた全体でのセキュリティ対策の管理と対策が重要です。
システムの脆弱性
攻撃者はOSやソフトウェアの修正前の脆弱性を悪用し、パッチ適用当の対策が行われていないシステムに対して攻撃を仕掛けてきます。
特にインターネットに直接接続するネットワーク機器(VPN機器等)や パッチ適用が難しいレガシーOSなどの脆弱性は、攻撃者に悪用されるリスクが高まっています。
脆弱性が発見されてから、それを悪用した攻撃が発生するまでの時間が短くなっているため、脆弱性対策情報が公開された場合、早急な対策の実施が求められています。
リモートワーク等の環境や仕組み
リモートワークの普及によって、VPN機器やリモートデスクトップの脆弱性や設定ミスを突いて侵入されるケースが増加しています。
警察庁によると、2024 年上半期におけるランサムウェア被害の感染経路のうち、80%以上がリモートワークに利用される機器等の脆弱性や強度の低い認証情報を悪用されるなど*3、リモートワーク環境が依然として狙われています。
さらに、個人のデバイスを業務に使用するBYOD(Bring Your Own Device)の普及により、管理が不十分な端末を通じたマルウェア感染のリスクも指摘されています。
被害に遭う前に読んでおきたい!ランサムウェア対策 関連資料
-
脅威予測とサプライチェーンリスクの統合管理
Recorded Futureで業界の脅威動向分析をする機能やサプライチェーンリスクを管理する機能についてご紹介する資料
-
脅威インテリジェンス
ツールの活用資料Recorded Futureを活用し、脆弱性管理プロセスを効率化する方法を紹介した資料
内部不正や不注意による情報漏えいは依然として根強い脅威
情報セキュリティの脅威というと、サイバー攻撃やマルウェアなど外部からの脅威が注目されがちですが、内部不正や従業員の不注意による情報漏えいも依然として深刻なリスクです。
2024年上場企業の「個人情報漏えい・紛失」事故の原因の約4割は不正・誤操作などの不注意によるもの*4です。
また、経済安全保障の観点からも「経済安全保障推進法」の施行を通じて、機密情報や重要データの保護が求められています。
サイバー攻撃などの外部脅威だけでなく、内部脅威に対しても情報漏えいリスクの対策を強化する必要があります。
内部不正による情報漏えいへの対策 関連資料
-
情報漏えい対策を
強化する方法DLP製品「CWAT」によって企業の情報漏洩対策を強化する方法について紹介する資料
-
エンドポイント型
情報漏えい対策製品
概要資料組織の重要情報を外部に流出させないCWATクラウドの機能、導入事例などを解説した資料
「情報セキュリティ10大脅威 2025」に関連する実際の脅威事例
ランクインしている脅威に関連する事例を紹介します。
「ランサムウェアによる被害」事例
オンライン動画サービスなどを提供するサーバーがランサムウェア感染、復旧難航(約2カ月間サービス停止)
侵害活動の拡大防止のため、データセンターでのシャットダウンや抜線による緊急措置が行われ、グループ全体のサービスや基幹システムが利用できない状況となった。
「サプライチェーンや委託先を狙った攻撃」事例
業務委託先のサーバーがランサムウェア感染、顧客の個人情報漏えいの可能性
2024年6月、大手金融企業の業務委託先である税理士事務所のサーバーがランサムウェアに感染し、顧客の個人情報が漏えいした可能性がある。ランサムウェアに感染した原因は通信機器の設定ミスを突かれた攻撃によるもの。
「システムの脆弱性を突いた攻撃」事例
医療センターのシステムがランサムウェア感染、電子カルテを含む情報システムが利用停止(システムの完全復旧に3か月)
2024年5月、医療センターの情報システムがランサムウェアに感染し、患者情報などの個人情報が漏えいした可能性がある。VPN機器の脆弱性が放置され、対応が十分でなかったため、攻撃の起点となってしまった。
「内部不正による情報漏えい等」事例
大手生命保険の元従業員が転職時に顧客情報を不正に持ち出し
2024年4月、元従業員が退職時に顧客情報を不正に持ち出し、転職先での営業活動に利用していたことが発覚。内部不正による情報漏えいは企業の信用問題にも関わる。
「分散型サービス妨害攻撃(DDoS攻撃)」事例
国内航空会社がDDoS攻撃を受け、システムに障害発生
侵2024年12月、大規模なDDoS攻撃を受け、当日の国内線、国際線のチケット販売が一時停止する等の影響が出た。攻撃発生からシステム復旧まで約6時間後を要した。
「情報セキュリティ10大脅威2025」への今後の対策案「セキュリティ担当が取るべき施策」
情報セキュリティの脅威は年々進化し、企業や組織に対するリスクも増大しています。
本章では、「情報セキュリティ10大脅威 2025」にランクインした各脅威への具体的な対策を紹介します。
10大脅威第1位「ランサム攻撃による被害」への対策
被害の予防および被害に備えた対策
サーバーや PC(エンドポイント)、ネットワークなどに適切なセキュリティ対策を行い、脅威が入り込むリスクを最小限にしましょう。
特にエンドポイントは、攻撃者が侵入の足がかりとして狙う重要なポイントであり、サイバーセキュリティの観点では最後の防衛ラインとしての役割を担っています。
そのため、EPP(Endpoint Protection Platform)やEDR(Endpoint Detection and Response)を導入し、マルウェアの侵入や感染を未然に防ぎ、被害拡大を食い止めることが重要です。
- すべてのアクセスを監視・制御しランサムウェアの侵入を防ぐSASE(Secure Access Service Edge)ソリューション「Prisma Access」
- EPP+EDRのオールインワンソリューション「Cortex XDR Prevent/Pro」
- MTD技術を用いた攻撃を成立させないエンドポイントセキュリティ「Morphisec」
IWIが提供する解決策
従業員へのセキュリティ教育
フィッシングメールの識別方法や安全なインターネット利用、インシデントが発生した際のエスカレーションなどについて定期的に教育の場を設け、人的ミスによる感染リスクを低減します。
データの定期的なバックアップ
重要データを定期的にバックアップし、攻撃を受けた際のデータ損失やシステム停止を最小限に抑え、迅速な復旧を目指します。
10大脅威第2位「サプライチェーンや委託先を狙った攻撃」への対策
アタックサーフェスマネジメント(Attack Surface Management、以下ASM)
VPN機器の脆弱性や設定ミス、海外現地法人のWebサーバーやドメインなど、サプライチェーンや委託先に潜むリスクを事前に把握・管理し、適切な対策を講じることで攻撃を未然に防ぐことができます。
- ASMツールとして活用可能な脅威インテリジェンス「Recorded Future」
- ASM機能も持ち合わせるAI駆動型SOC支援「Cortex XSIAM」
IWIが提供する解決策
取引先のセキュリティ評価
取引先、委託先のセキュリティ対策状況を定期的にチェックし、基準を満たす企業と取引を行うことでリスクを低減します。
- サプライチェーン全体のセキュリティ対策状況をチェックする「Recorded Future」
IWIが提供する解決策
10大脅威第3位「システムの脆弱性を突いた攻撃」への対策
脆弱性管理とパッチ適用
脆弱性対応の判断に有効なKEV(Known Exploited Vulnerabilities catalog:実際に悪用された脆弱性リスト。米国CISAが公開している)やメーカーが公開する脆弱性情報を収集し、OSやアプリケーションの定期的なパッチ適用、ソフトウェアの最新バージョンへの更新を徹底することで、脆弱性を狙った攻撃のリスクを軽減できます。
- VPN機器の脆弱性など、外部から見た企業の脆弱性を事前に洗い出し、管理・対策を徹底することで被害を防ぐ「Recorded Future」
- エンドポイントに存在する脆弱性を特定・可視化することで脆弱性を突いた攻撃を防ぐ「Cortex XDR」*5
- 新しいOSへの移行が後回しになり脆弱性対策ができていない、クローズド環境下にありパッチ適用が難しいレガシーOSへの対策「Morphisec」
IWIが提供する解決策
脆弱性診断の実施
定期的な脆弱性スキャンによって、潜在的なリスクを早期に発見・対応することが重要です。
- 脆弱性診断の内製化によって継続的なセキュリティチェック「Insight VM」
- ニーズや予算に合わせたホワイトハッカーによる高度な診断を短期間で実施「セキュリティ診断サービス」
IWIが提供する解決策
10大脅威第4位「内部不正による情報漏えい等」への対策
機密情報の保護・管理
重要情報を取り扱う端末で不正をさせない、万が一発生した場合でも即時に発見できる仕組みを構築することが重要です。
アクセス制限の適切な管理
従業員の役職や業務内容に応じて、情報へのアクセス権限を最小限に設定することで情報漏えいのリスクを低減します。
- 従業員のアクセス権限を適切に制御し、不正アクセスや情報漏えいを防ぐIAM(Identity and Access Management)ソリューション「Evidian IAM」
IWIが提供する解決策
10大脅威第5位「機密情報等を狙った標的型攻撃」への対策
従業員向け教育によって情報リテラシー、モラルの向上
標準型攻撃の手口に関する教育を行うことで、従業員それぞれが、不審なメールや添付ファイルに警戒するようになり、結果として企業や組織全体のセキュリティ意識が高まります。
認証強化
攻撃者による不正ログインを防ぐため、多要素認証や二段階認証などを導入することも効果的な対策です。
- パスワードの入力のほかにICカードやQRコードなどの所持情報や、指紋や静脈などの生体情報を追加することで、認証強化とWindows認証のパスワードレス化を実現「Evidian IAM」
IWIが提供する解決策
サーバーや PC、ネットワークに適切なセキュリティ対策を行う
サーバーや PC(エンドポイント)、ネットワークなどに適切なセキュリティ対策を行い、脅威が入り込むリスクを最小限にしましょう。
特にエンドポイントは、攻撃者が侵入の足がかりとして狙う重要なポイントであり、サイバーセキュリティの観点では最後の防衛ラインとしての役割を担っています。
そのため、EPP(Endpoint Protection Platform)やEDR(Endpoint Detection and Response)を導入し、マルウェアの侵入や感染を未然に防ぎ、被害拡大を食い止めることが重要です。
10大脅威第6位「リモートワーク等の環境や仕組みを狙った攻撃」への対策
ゼロトラストセキュリティの導入
社内ネットワークは安全、社外は危険、といった境界線に囚われず、全てのアクセスにセキュリティリスクがあると考えるゼロトラストモデルのセキュリティ対策が必要です。
- 重要資産へのアクセス状況の可視化、情報漏えい対策「CWAT」「CWATクラウド」
- 利用者やデバイスがいつでもどこでもセキュアにアクセス可能なネットワークを提供「Prisma Access」
IWIが提供する解決策
脆弱性管理とパッチ適用
リモートワーク環境の安全性を確保するためには、使用するシステムやソフトウェアの脆弱性を適切に管理し、迅速に対応することが不可欠です。
VPN機器やリモートアクセスツール、OS、アプリケーションの脆弱性を定期的にチェックし、脆弱性を放置せず早急に対応することで攻撃のリスクを最小限に抑えることができます。
- VPN機器の脆弱性や設定の誤りなど、外部から見た企業の脆弱性を可視化「Recorded Future」
- エンドポイントに存在する脆弱性を特定・可視化することで脆弱性を突いた攻撃を防ぐ「Cortex XDR」
IWIが提供する解決策
10大脅威第7位「地政学的リスクに起因するサイバー攻撃」への対策
情報収集と共有
政府機関やセキュリティ団体から提供される最新の脅威情報を収集し、組織内にて対策を検討します。
- 世界中の脅威情報を収集・分析しサイバー攻撃の予兆を検知する脅威インテリジェンス「Recorded Future」
IWIが提供する解決策
多層防御の構築
国家の関与が疑われる攻撃の手法は高度化しているので、ファイアウォールなどのネットワーク防御、EPP・EDRなどのエンドポイント防御など複数の防御策を組み合わせることで対策を強化します。
10大脅威第8位「分散型サービス妨害攻撃(DDoS攻撃)」への対策
DDoS攻撃対策ソリューションの導入
CDN(Contents Delivery Network)によって特定のサーバーにアクセスが集中するのを防ぎ、サービスの停止リスクを軽減します。
また、WAF(Web Application Firewall)によって不正アクセスを検知および遮断し、脅威からシステムを守ることができます。
これらの対策を組み合わせることで影響を最小限に抑え、安定したシステム運用を実現できます。
- 不審なトラフィックを検知・遮断し、サービスの安定稼働を確保、DDoS攻撃の脅威からビジネスを守る「Prisma Access」
IWIが提供する解決策
トラフィック監視の強化
異常なアクセスをリアルタイムで検知し、自動で対処する仕組みを導入します。
また、DoS攻撃を仕掛けるIPアドレスを特定し、アクセスを遮断することで被害を抑えることができます。
10大脅威第9位「ビジネスメール詐欺」への対策
メールフィルタリングの強化
ビジネスメール詐欺に利用されるなりすましメールやマクロ付き添付ファイルなど、危険なメールを排除します。
安易に添付ファイルやリンク・URLをクリックしない
従業員にセキュリティ教育を行うことで攻撃の手口を学び、不審なメールや添付ファイルに警戒するようになり、結果として企業や組織全体のセキュリティ意識が高まります。
送信ドメイン認証の導入
DMARC(Domain-based Message Authentication-Reporting and Conformance) システムなどを導入し、自社ドメインを騙ったなりすましメールを顧客が受信できないようにすることで攻撃リスクを低減します。
10大脅威第10位「不注意による情報漏えい等」への対策
データの暗号化
万が一データが組織外に流出しても、暗号化されていれば情報が悪用されるリスクを軽減できます。
従業員向けセキュリティ研修
ヒューマンエラーを減らすため、従業員に対し定期的な教育を実施し、企業や組織全体のセキュリティ意識の向上を目指します。
まとめ
情報セキュリティの脅威は年々変化しており、企業や組織は常に最新の対策を講じる必要があります。
「情報セキュリティ10大脅威 2025」に挙げられている脅威に対抗するためには、技術的な対策だけでなく、従業員の教育や組織全体のセキュリティ意識向上も欠かせません。
適切な対策を講じ、サイバー攻撃のリスクを最小限に抑えましょう。
- 無料で相談・質問をする
セキュリティ対策にお悩みの方、製品を検討中の方
出典 (参考文献一覧)
※1 独立行政法人情報処理推進機構(IPA) | 情報セキュリティ10大脅威2025(参照日:2025-02-20)
※2 警察庁、内閣サイバーセキュリティセンター | MirrorFace によるサイバー攻撃について(参照日:2025-02-20)
※3 警察庁ウェブサイト | 令和6年上半期におけるサイバー空間をめぐる脅威の情勢等について(参照日:2025-03-06)
※4 株式会社東京商工リサーチ | 2024年「上場企業の個人情報漏えい・紛失事故」調査(参照日:2025-02-20)
※5 Palo Alto Networks | [Cortex XDR/XSIAM]エンドポイントの脆弱性評価 - Host Insights add-on(参照日:2025-03-10)
