こんにちは、阿久梨絵です!
2025年1月、IPA(情報処理推進機構)より「 情報セキュリティ10大脅威 2025」が発表されました。
本記事では、企業や組織が直面するリスクにフォーカスし、実務で押さえておくべき脅威と対策のポイントをわかりやすく解説します。
2025年の「組織向け」セキュリティ10大脅威(IPA発表)
| 順位 | 脅威名 |
|---|---|
| 1位 | ランサム攻撃による被害 |
| 2位 | サプライチェーンや委託先を狙った攻撃 |
| 3位 | システムの脆弱性を突いた攻撃 |
| 4位 | 内部不正による情報漏えい等 |
| 5位 | 機密情報等を狙った標的型攻撃 |
| 6位 | リモートワーク等の環境や仕組みを狙った攻撃 |
| 7位 | 地政学的リスクに起因するサイバー攻撃(初登場) |
| 8位 | 分散型サービス妨害攻撃(DDoS攻撃) |
| 9位 | ビジネスメール詐欺(BEC) |
| 10位 | 不注意による情報漏えい等 |
※出典:[IPA「情報セキュリティ10大脅威 2025」](https://www.ipa.go.jp/security/10threats/10threats2025.html)
注目すべき3つのポイント
① ランサム攻撃は依然として最大の脅威
・10年連続でランクイン。データ暗号化+情報窃取+二重脅迫という複合型の手口が主流に。
・バックアップの多層化やEDR導入が急務です。
② サプライチェーン攻撃の巧妙化
・取引先や委託先を経由して侵入する手口が増加。
・委託先のセキュリティ評価や契約時のセキュリティ要件明記が重要です。
③ 地政学的リスクに起因する攻撃が初登場
・国家間の緊張や紛争を背景に、重要インフラや自治体が標的に。
・脅威インテリジェンスの活用やゼロトラストの導入が求められます。
企業が今すぐ取り組むべき対策
・ゼロトラストセキュリティの導入
・多要素認証(MFA)の徹底
・脆弱性管理とパッチ適用の自動化
・従業員へのセキュリティ教育と訓練
・インシデント対応体制の整備(CSIRT)
まとめ
2025年のセキュリティ脅威は、技術的な巧妙さと社会的背景の複雑さが融合しています。
「うちは大丈夫」と思わず、“侵入される前提”での備えがこれからの常識です。
この機会に、自社のセキュリティ体制を見直してみませんか?
阿久梨絵でした!
