情報セキュリティ 10大脅威 2025の解説｜企業が取るべき対策とは？ - ペンタPRO：ペンタセキュリティが提供するセキュリティ情報まとめサイト

情報セキュリティの脅威は年々進化しており、攻撃件数も右肩上がりで増加しています。企業のセキュリティ責任者やITエンジニアにとって、最新の脅威動向を把握し、適切な対策を講じることは不可欠です。

独立行政法人情報処理推進機構（以下、IPA）は、2025年1月30日に「情報セキュリティ 10大脅威 2025」を発表しました。この10大脅威は、その前年に社会的影響が大きかった事案を基に選定され、セキュリティ対策の指針として広く活用されています。

本記事では、2025年版の脅威と昨年との違い、対策方法と注意点について解説します。

情報セキュリティ 10大脅威 2025の一覧と注目すべき変化

IPAが発表した「情報セキュリティ 10大脅威 2025 [組織]」では、以下の10項目が挙げられています。

出典：情報セキュリティ 10大脅威 2025 [組織] | 情報セキュリティ | IPA 独立行政法人情報処理推進機構

このうち、8項目は昨年から継続してランクインしています。特に1位の「ランサム攻撃による被害」と、2位の「サプライチェーンや委託先を狙った攻撃」は昨年から順位をキープしており、依然として対策の重要度が高い脅威と位置付けられています。

一方で、昨年度との変更点が3つあります。

変化1：新たな脅威「地政学的リスクに起因するサイバー攻撃」の登場

「地政学的リスクに起因するサイバー攻撃」が新設され、7位に選出されました。この脅威は、DDoS攻撃やランサム攻撃などの特定の攻撃手法を指すのではなく、国際的な政治情勢や国家間の対立を背景に発生する一連のサイバー攻撃全般を指します。

変化2：「ゼロデイ攻撃」は「システムの脆弱性を突いた攻撃」に統合

2024年版で5位にランクインしていた「修正プログラムの公開前を狙う攻撃（ゼロデイ攻撃）」が、2025年版では「システムの脆弱性を突いた攻撃」に統合されました。これにより、「システムの脆弱性を突いた攻撃」は7位から3位に順位を上げています。

変化3：5年ぶりにDDoS攻撃がランクイン

2025年版では、DDoS攻撃が8位に選出されました。2020年以来5年ぶりのランクインとなります。年末年始にかけて大規模なDDoS攻撃が複数発生し、その社会的影響が大きかったことが要因と考えられます。

2025年版10大脅威から見る、企業が特に対策すべき脅威

10大脅威のすべてに対策するには、多大なコストと時間を要します。そこで、本記事では最初に取り組むべき重要な対策として、2つの脅威に絞って紹介します。

ランサム攻撃

ランサム攻撃は、悪意のある第三者が企業のシステムやデータを暗号化し、復号のための身代金を要求する手法です。近年、攻撃の高度化や組織化が進み、被害規模も拡大しています。さらに、AIを活用した攻撃が増加し、専門知識を持たなくても攻撃を実行可能になったことで、ランサム攻撃は増加の一途をたどっています。

その影響は深刻で、2024年のKADOKAWAグループのシステム障害では、グループ全体で多くのサービスで停止状態が続く事態となりました。こうした事例からも、ランサム攻撃対策は最優先で取り組むべき課題といえます。

対策方法としては、以下の3つが挙げられます。

WAF（Web Application Firewall）によるアタックサーフェスの減少： ランサムウェアの侵入経路の一例として、脆弱なWebアプリケーションや公開サーバーのセキュリティホール等が挙げられます。WAFを導入することで、これらの脆弱性を防ぎ、攻撃の入口（アタックサーフェス）を減らすことができます。
機密情報の暗号化：近年、ランサムウェアでは「二重の脅迫」という攻撃方法が増加しています。データを暗号化して使用不能にするだけでなく、盗み取った情報を公開すると脅す手口です。この対策として、あらかじめ機密データに強力な暗号化を施しておけば、仮にデータが盗まれても攻撃者が読み解くことができないため、二重の脅迫を防ぐことができます。
データのバックアップと復旧計画の策定： 定期的なデータのバックアップを行い、異なる環境・ストレージに保管することで、万が一ランサム攻撃が成功してデータを暗号化されてしまった際にもデータ復元が可能です。ただし、バックアップを取っていたものの、復旧計画・手順に不備があり、復旧に失敗するケースもあるため、復旧計画も含めて万全に準備をすることが重要です。

分散型サービス妨害攻撃（DDoS攻撃）

DDoS攻撃は、多数のコンピュータから一斉に特定のサーバーやネットワークに大量の要求やトラフィックを送り、サービスを停止させる攻撃です。

2024年末から2025年初頭にかけて航空業界、金融機関の事例が話題になったこともあり、もし「DDoS攻撃の対策不足故にサービスが停止した」となると、顕在化しているリスクへの対策が遅れたとみなされ、企業としての信頼を失う恐れがあります。DDoS攻撃対策についても、早いうちに手を打つべきでしょう。

対策方法としては、以下の3つが挙げられます。

トラフィックの監視と異常検知：通常のトラフィックパターンを把握し、異常な増加、つまり攻撃を早期に検知する体制を整えます。インターネットサービスプロバイダー（ISP）やクラウドプロバイダーが提供するDDoS防御サービスを活用することで、大量のトラフィックを分散・遮断することができ、帯域消費型のDDoS攻撃のリスクを軽減することができます。
CDN（コンテンツデリバリネットワーク）の活用：CDNを利用すると、Webサイトへの攻撃トラフィックを複数の配信サーバーで分散して処理することで、DDoS攻撃の影響を軽減できます。また、CDNはキャッシュを利用するため、オリジンサーバーへの負荷を減らす効果もあります。
DDoS対策機能を持つWAFの導入：DDoS攻撃には、トラフィックを大量に発生させてネットワーク帯域を逼迫させる攻撃のほかに、大量のHTTPリクエストを送ることでサーバーを処理不能にさせるHTTPフラッド攻撃や、長時間にわたり大量のHTTP接続を専有してサーバーのリソースを枯渇させる「Slowloris DDoS攻撃」のような、アプリケーション層の脆弱性を狙う攻撃もあります。これらはネットワークの監視や輻輳対策をしていても検知できないため、対策としてアプリケーション層のDDoS攻撃への防御機能を持つWAFを導入することが必要です。

セキュリティ担当者が2025年に注意するべきポイント

ここまで、企業やシステム側で実施する対策について説明しました。一方で、セキュリティインシデント発生の原因は、個々人のセキュリティ意識の欠如にあることも多々あります。そこで、社員のセキュリティ意識の向上のために、セキュリティ担当者、開発者が特に意識しておくべきポイントを解説します。

標的型攻撃への防止策と対応力の向上

標的型攻撃は、特定の企業や組織を狙い、機密情報を盗むために高度に計画された攻撃です。攻撃者は巧妙なフィッシングメールやマルウェアを用いて侵入を試みます。技術的な対策として、マルウェア対策ソフトの常時最新化、EDR（Endpoint Detection and Response）などの高度な検知システムの活用が重要となります。また、社員向けの教育や不審メールの報告ルールの策定、標的型攻撃訓練の定期的実施を行い、実際の攻撃に対する意識と対応力を向上させる非技術的な対策も非常に有効です。

内部不正の防止

内部不正による情報漏えいやシステムの悪用は、外部攻撃と並ぶ大きな脅威です。特に退職予定者や特権アカウントを持つ社員による不正行為には注意が必要です。対策として、アクセス権限の最小化（最小権限の原則）、データの持ち出し制限、ログ監視による異常行動の検出等が挙げられます。これらの対策は、運用中のシステムに後から導入するとなるとハードルが高いですが、運用設計の時点で取り込むことで、比較的スムーズかつ低コストで導入できる傾向があります。セキュリティ担当者としては常に念頭に置いておくのがよいでしょう。

取引先・委託先も含めたセキュリティチェック

サプライチェーン攻撃では、標的企業の取引先や関連企業など、業務上のつながりを持つ組織のセキュリティの弱点を悪用し、最終的に標的企業への侵入を図ります。自社のセキュリティレベルを上げるだけでは対策しきれないため、取引先に対するセキュリティ評価の実施、定期的な監査、重要データへのアクセス制限などが有効です。セキュリティ担当者は、自社だけでなく、取引先に対してもチェックの目を光らせる必要があると常に認識しておくことが重要となります。