情報セキュリティ 10大脅威 2025の解説|企業が取るべき対策とは?

IPAが「情報セキュリティ 10大脅威 2025」を発表しました。この記事では昨年からの変更点と特に対策すべき脅威、注意点などについて解説します。ただ10大脅威を知って終わりにするのではなく、対策までセットで行えるようにしましょう。

セキュリティインサイト ピックアップ

情報セキュリティの脅威は年々進化しており、攻撃件数も右肩上がりで増加しています。企業のセキュリティ責任者やITエンジニアにとって、最新の脅威動向を把握し、適切な対策を講じることは不可欠です。

独立行政法人情報処理推進機構(以下、IPA)は、2025年1月30日に「情報セキュリティ 10大脅威 2025」を発表しました。この10大脅威は、その前年に社会的影響が大きかった事案を基に選定され、セキュリティ対策の指針として広く活用されています。

本記事では、2025年版の脅威と昨年との違い、対策方法と注意点について解説します。

情報セキュリティ 10大脅威 2025の一覧と注目すべき変化

IPAが発表した「情報セキュリティ 10大脅威 2025 [組織]」では、以下の10項目が挙げられています。

出典:情報セキュリティ 10大脅威 2025 [組織] | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構

このうち、8項目は昨年から継続してランクインしています。特に1位の「ランサム攻撃による被害」と、2位の「サプライチェーンや委託先を狙った攻撃」は昨年から順位をキープしており、依然として対策の重要度が高い脅威と位置付けられています。

一方で、昨年からの変更点が3つあります。

変化1:新たな脅威「地政学的リスクに起因するサイバー攻撃」の登場

新たな脅威として、「地政学的リスクに起因するサイバー攻撃」が分類され、サイバーセキュリティ上の懸念事項として7位に選ばれました。

この脅威は、DDoS攻撃(分散型サービス妨害)やランサムウェア攻撃のような特定の攻撃手法を指すものではありません。そうではなく、国際的な政治の緊張、国家間の対立、戦争や制裁といった地政学的な背景に影響されて発生する一連のサイバー攻撃全体を指しています。

たとえば、国家が関与しているとされる攻撃グループが、特定国の政府機関・インフラ・民間企業などを標的にして行うサイバー攻撃がこれにあたります。政治的な意図や報復措置としてサイバー攻撃が行われるケースが増えており、企業や組織は従来の対策だけでは不十分になる可能性があります。

変化2:「ゼロデイ攻撃」は「システムの脆弱性を突いた攻撃」に統合

2024年版のサイバー脅威ランキングでは、「修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)」が5位に位置づけられていました。

しかし、2025年版ではこのゼロデイ攻撃が、より広い意味を持つ「システムの脆弱性を突いた攻撃」に統合されました。これにより、ゼロデイ攻撃を含むさまざまな脆弱性悪用がひとつのカテゴリとして扱われるようになり、「システムの脆弱性を突いた攻撃」は前年の7位から大きく順位を上げ、3位にランクインしています。

この変化は、ゼロデイ攻撃に限らず、修正が未対応の古い脆弱性や、設定ミスによるセキュリティホールなど、あらゆる脆弱性を標的とした攻撃が深刻化していることを示しています。

変化3:5年ぶりにDDoS攻撃がランクイン

2025年版のサイバー脅威ランキングで、DDoS(分散型サービス妨害)攻撃が8位にランクインしました。これは、2020年版以来5年ぶりのランクインとなります。

今回の順位浮上の背景には、年末年始にかけて発生した複数の大規模なDDoS攻撃があります。これらの攻撃により、一部のウェブサービスが一時的に利用できなくなるなど、社会やビジネスに大きな影響を与えたことが要因と考えられます。

DDoS攻撃は、多数のコンピューターから一斉にアクセスを集中させ、ターゲットのサーバーやネットワークを機能停止に追い込む手口です。特定の業種やサービスを狙った攻撃だけでなく、政治的・経済的なメッセージを伴うケースもあり、サイバー攻撃の手段として再び注目されています。

2025年版10大脅威から見る、企業が特に対策すべき脅威

10大脅威のすべてに対策するには、多大なコストと時間を要します。そこで、本記事では最初に取り組むべき重要な対策として、2つの脅威に絞って紹介します。

ランサム攻撃

ランサム攻撃は、悪意のある第三者が企業のシステムやデータを暗号化し、復号のための身代金を要求する手法です。近年、攻撃の高度化や組織化が進み、被害規模も拡大しています。さらに、AIを活用した攻撃が増加し、専門知識を持たなくても攻撃を実行可能になったことで、ランサム攻撃は増加の一途をたどっています。

その影響は深刻で、2024年のKADOKAWAグループのシステム障害では、グループ全体で多くのサービスで停止状態が続く事態となりました。こうした事例からも、ランサム攻撃対策は最優先で取り組むべき課題といえます。

対策方法としては、以下の3つが挙げられます。

  • WAF(Web Application Firewall)によるアタックサーフェスの減少: ランサムウェアの侵入経路の一例として、脆弱なWebアプリケーションや公開サーバーのセキュリティホール等が挙げられます。WAFを導入することで、これらの脆弱性を防ぎ、攻撃の入口(アタックサーフェス)を減らすことができます。
  • 機密情報の暗号化:近年、ランサムウェアでは「二重の脅迫」という攻撃方法が増加しています。データを暗号化して使用不能にするだけでなく、盗み取った情報を公開すると脅す手口です。この対策として、あらかじめ機密データに強力な暗号化を施しておけば、仮にデータが盗まれても攻撃者が読み解くことができないため、二重の脅迫を防ぐことができます。
  • データのバックアップと復旧計画の策定: 定期的なデータのバックアップを行い、異なる環境・ストレージに保管することで、万が一ランサム攻撃が成功してデータを暗号化されてしまった際にもデータ復元が可能です。ただし、バックアップを取っていたものの、復旧計画・手順に不備があり、復旧に失敗するケースもあるため、復旧計画も含めて万全に準備をすることが重要です。

分散型サービス妨害攻撃(DDoS攻撃)

DDoS攻撃は、多数のコンピュータから一斉に特定のサーバーやネットワークに大量の要求やトラフィックを送り、サービスを停止させる攻撃です。

2024年末から2025年初頭にかけて航空業界、金融機関の事例が話題になったこともあり、もし「DDoS攻撃の対策不足故にサービスが停止した」となると、顕在化しているリスクへの対策が遅れたとみなされ、企業としての信頼を失う恐れがあります。DDoS攻撃対策についても、早いうちに手を打つべきでしょう。

対策方法としては、以下の3つが挙げられます。

  • トラフィックの監視と異常検知:通常のトラフィックパターンを把握し、異常な増加、つまり攻撃を早期に検知する体制を整えます。インターネットサービスプロバイダー(ISP)やクラウドプロバイダーが提供するDDoS防御サービスを活用することで、大量のトラフィックを分散・遮断することができ、帯域消費型のDDoS攻撃のリスクを軽減することができます。
  • CDN(コンテンツデリバリネットワーク)の活用:CDNを利用すると、Webサイトへの攻撃トラフィックを複数の配信サーバーで分散して処理することで、DDoS攻撃の影響を軽減できます。また、CDNはキャッシュを利用するため、オリジンサーバーへの負荷を減らす効果もあります。
  • DDoS対策機能を持つWAFの導入:DDoS攻撃には、トラフィックを大量に発生させてネットワーク帯域を逼迫させる攻撃のほかに、大量のHTTPリクエストを送ることでサーバーを処理不能にさせるHTTPフラッド攻撃や、長時間にわたり大量のHTTP接続を専有してサーバーのリソースを枯渇させる「Slowloris      DDoS攻撃」のような、アプリケーション層の脆弱性を狙う攻撃もあります。これらはネットワークの監視や輻輳対策をしていても検知できないため、対策としてアプリケーション層のDDoS攻撃への防御機能を持つWAFを導入することが必要です。

セキュリティ担当者が2025年に注意するべきポイント

ここまで、企業やシステム側で実施する対策について説明しました。一方で、セキュリティインシデント発生の原因は、個々人のセキュリティ意識の欠如にあることも多々あります。そこで、社員のセキュリティ意識の向上のために、セキュリティ担当者、開発者が特に意識しておくべきポイントを解説します。

標的型攻撃への防止策と対応力の向上

標的型攻撃とは、特定の企業や団体を狙って行われる、あらかじめ計画された巧妙なサイバー攻撃です。目的は、機密情報や個人情報などの重要データを盗み出すことで、一般的な無差別攻撃とは異なり、特定の組織に合わせて手口がカスタマイズされるのが特徴です。

攻撃者は、見慣れた取引先や実在する人物を装ったフィッシングメールを送りつけるなど、信頼を逆手に取った方法で侵入を図ります。メールに添付されたファイルやURLにマルウェアが仕込まれており、開いた瞬間にシステムに侵入される危険があります。

このような攻撃に対抗するには、技術的な対策と人への教育(非技術的な対策)の両方が欠かせません。

まず技術面では、以下のような対策が重要です:

・マルウェア対策ソフトを常に最新版に保つ

・EDR(Endpoint Detection and Response)などの高度な検知・対応システムを導入する

一方、非技術的な対策としては、以下の取り組みが効果的です:

・社員向けのセキュリティ教育を定期的に行う

・不審なメールを見つけた際の報告ルールを明確にする

・標的型攻撃を想定した模擬訓練(標的型攻撃メール訓練)を実施する

これらにより、社員一人ひとりが攻撃を「受けない・広げない」ための意識と対応力を高めることができます。

内部不正の防止

内部不正による情報漏えいやシステムの悪用は、外部からのサイバー攻撃と同じくらい深刻な脅威です。特に注意すべきなのは、退職予定者や管理者権限(特権アカウント)を持つ社員による不正行為です。これらの人物はシステムへのアクセス範囲が広く、意図的にデータを持ち出したり、システムを改ざんしたりするリスクが高くなります。

こうした内部不正に備えるためには、以下のような対策が有効です:

アクセス権限の最小化(最小権限の原則):業務に必要な範囲のみに権限を限定し、不要な機能にはアクセスできないようにする。

データの持ち出し制限:USBメモリや外部クラウドへの保存を制限し、社外への情報流出を防ぐ。

ログ監視:アクセス記録や操作ログを日常的に監視し、不自然な行動(深夜のアクセスや大量ダウンロードなど)を検知する。

これらのセキュリティ対策は、システム運用が始まってから追加で導入しようとすると、手間やコストが大きくなる傾向があります。そのため、システムの設計段階や導入初期の時点であらかじめ組み込んでおくことが、スムーズかつ低コストでの運用に繋がります。

特に、システム設計に関わる担当者やセキュリティ責任者は、内部不正のリスクを「例外的なこと」ではなく、「常に起こりうる現実的な脅威」として意識することが重要です。

取引先・委託先も含めたセキュリティチェック

サプライチェーン攻撃とは、攻撃者が標的企業そのものではなく、その企業と業務上つながりのある取引先や関連会社などのセキュリティの弱点を狙って侵入する手口です。つまり、直接狙うのではなく、比較的セキュリティ対策が甘い周辺企業を足がかりにして、最終的に標的の企業にたどり着くという、非常に巧妙な攻撃です。

このため、いくら自社のセキュリティ対策を強化していても、取引先の管理が不十分であれば、そこを突破口に攻撃されるリスクは残ります。

対策としては、以下のような取り組みが有効です:

・取引先や委託先に対するセキュリティ評価の実施(チェックシートやヒアリングなど)

・定期的なセキュリティ監査の実施(契約先に対する訪問・オンライン確認)

・重要データやシステムへのアクセス権を最小限に制限すること(必要な範囲だけ許可する)

このように、セキュリティ対策は「自社だけ強ければよい」ものではありません。セキュリティ担当者は、サプライチェーン全体を見渡し、取引先のセキュリティ状況にも注意を払う姿勢が求められます。

まとめ

この記事では、2025年度版「情報セキュリティ10大脅威」について、新たに加わった項目や順位の変更点、特に注意すべき脅威やその対策を紹介しました。

前述の通り、サイバー攻撃は年々巧妙化・増加しており、どの組織・システムも攻撃の対象になり得る時代です。自分の担当する業務やシステムが、「いつ」「どんな手口で」狙われるかは予測できません。

だからこそ、10大脅威の内容を「知って終わり」ではなく、それぞれに対して“何をすべきか”を具体的に行動に移すことが重要です。

たとえば、

・社内のシステムにゼロデイ攻撃への備えはあるか

・社員教育や標的型攻撃訓練は実施されているか

・取引先のセキュリティ状況は把握できているか

といった点を、自社の状況と照らし合わせて定期的に見直すことが、セキュリティレベルの維持・向上につながります。

特に、ランサムウェア対策として強力な暗号化機能を実装したい場合は、D.AMOのような最新の暗号化ソリューションの導入をおすすめします。