エコリクコラム

私たちのデジタルライフとビジネスを守る上で不可欠な情報セキュリティ。その最新の脅威トレンドを網羅した「情報セキュリティ10大脅威 2025」が、情報処理推進機構（IPA）によって2025年6月18日に更新されたことが発表されました。これは、2024年に発生した社会的に影響が大きかった情報セキュリティ事案を基に、IPAが脅威候補を選出し、情報セキュリティ分野の研究者、企業の実務担当者など約200名のメンバーからなる「10大脅威選考会」が審議・投票を行い、決定したものです。

今回の「10大脅威 2025」では、個人の10大脅威の順位は掲載せず、五十音順で並べている点が特徴です。これは、順位が高い脅威から優先的に対応し、下位の脅威への対策が疎かになることを懸念してのことです。IPAは、順位に関わらず自身に関係のある脅威に対して対策を行うことを期待しています。この新たなアプローチは、すべての人がサイバー脅威を「自分ごと」として捉え、包括的な対策を講じることの重要性を強く訴えかけています。

2025年6月18日に更新された情報セキュリティ10大脅威 2025について

「情報セキュリティ10大脅威 2025」は、組織と個人のそれぞれに焦点を当て、現代社会に蔓延するサイバー脅威の最新動向を具体的に示しています。今回は2025年6月18日に更新された最新版の情報に基づき、その詳細を見ていきましょう。

【組織の10大脅威 2025】

組織に対する脅威は、ますます巧妙化・多様化しており、サプライチェーン全体への攻撃や、AIなどの新技術を悪用した手口が顕著になっています。

1. ランサムウェアによる被害
• データやシステムを暗号化し、身代金を要求するマルウェア攻撃。事業停止、多額の復旧費用、信用失墜など、組織に甚大な被害をもたらします。依然として組織に対する最大の脅威であり続けています。
2. サプライチェーンの弱点を悪用した攻撃
• セキュリティ対策が手薄な関連会社や業務委託先を狙い、そこから主要な組織のシステムへ侵入する攻撃。自社だけでなく、取引先を含めたサプライチェーン全体のセキュリティ対策が求められます。
3. 標的型攻撃による機密情報の窃取
• 特定の組織や個人を狙い、機密情報や個人情報の窃取を目的とした攻撃。巧妙な手口で偽装メールや不正なウェブサイトに誘導し、マルウェア感染や認証情報の詐取を狙います。
4. 内部不正による情報漏えい
• 組織の従業員や元従業員、関係者による意図的、あるいは不注意による情報持ち出しや漏えい。退職時や転職時の情報持ち出しが特に問題となります。
5. AIの悪用
• AI技術（生成AIなど）を悪用したフィッシングメールの自動生成、フェイクニュースの拡散、音声・画像・動画の偽造（ディープフェイク）など、サイバー攻撃の高度化・巧妙化に利用される脅威。
6. ビジネスメール詐欺（BEC）
• 実在の取引先や経営者になりすまし、偽の送金指示や情報提供を求める詐欺。メールアカウントの乗っ取りや、巧妙な文面により従業員を騙し、多額の金銭的被害を引き起こします。
7. 脆弱性対策情報の公開に伴う悪用増加
• ソフトウェアやシステムの脆弱性情報が公開された後、その情報を悪用して攻撃を行う手口。脆弱性公開からパッチ適用までのタイムラグを狙われます。迅速なアップデート・パッチ適用が必須です。
8. 不注意による情報漏えい等の被害
• 従業員の誤操作、設定ミス、紛失など、悪意はないが不注意によって情報が漏えいしたり、システム障害が発生したりする脅威。セキュリティ意識の向上が重要です。
9. 災害発生時のシステム停止
• 地震、台風、洪水などの自然災害、あるいは大規模な停電やインフラ障害により、情報システムが停止し、事業継続が困難になる脅威。BCP（事業継続計画）の策定と訓練が不可欠です。
10. サービス妨害攻撃（DDoS攻撃など）によるサービス停止
• 特定のウェブサイトやサーバーに対し、大量のアクセスを集中させることで、サービスを機能停止に追い込む攻撃。ウェブサービスを提供する企業にとっては大きな脅威であり、顧客への影響も甚大です。

【個人の10大脅威 2025】

個人向けの脅威は、身近なサービスやデバイスを狙った手口が中心であり、日々のデジタル行動に潜むリスクを意識することが求められます。順位付けをせず、五十音順で並べることで、全ての脅威への意識的な対策を促しています。

• ■ アカウントの不正利用
• IDとパスワードの使い回しや、フィッシング詐欺などにより、オンラインサービスのアカウントを乗っ取られ、不正な購入、個人情報流出、他者への攻撃などに悪用される脅威。二段階認証の利用が必須です。
• ■ オンラインサービスへの不正ログイン
• オンラインバンキング、ECサイト、SNSなどへの不正ログインにより、金銭被害や個人情報の窃取、なりすまし投稿などが行われる脅威。パスワードの強化や生体認証の活用が有効です。
• ■ クレジット情報の不正利用
• フィッシング詐欺やマルウェア感染により、クレジットカード情報が盗まれ、オンラインでの不正利用が行われる脅威。不審なサイトでの入力は避け、利用明細の定期的な確認が必要です。
• ■ 詐欺サイト・偽アプリ
• 有名企業や公的機関を装った偽のウェブサイトやアプリにより、個人情報や金銭を騙し取る詐欺。公式サイトや公式ストアからのダウンロードを徹底し、URLやアプリの提供元を確認することが重要です。
• ■ 不審なメール・SMSからの情報詐取
• 実在の企業や人物を装ったメールやSMS（ショートメッセージサービス）を通じて、偽サイトへ誘導したり、個人情報を入力させたりするフィッシング詐欺。不審なリンクはクリックせず、公式サイトで確認する習慣をつけましょう。
• ■ 情報機器の盗難・紛失による情報漏えい
• スマートフォンやPCの盗難・紛失により、端末内に保存された個人情報や機密情報が流出する脅威。ロック機能の強化、データの暗号化、遠隔ロック・ワイプ機能の設定が重要です。
• ■ 不正アプリ・不正プログラムによる被害
• 公式ストア以外からのアプリインストールや、不審なリンクからのファイルダウンロードにより、マルウェアに感染し、個人情報の窃取や不正操作が行われる脅威。ウイルス対策ソフトの導入や、アプリの提供元確認が必須です。
• ■ プライバシー侵害
• SNSでの安易な個人情報公開、オンラインサービスでのデータ収集、盗撮・盗聴などにより、個人のプライバシーが侵害される脅威。公開範囲の確認や、サービス利用規約の理解が求められます。
• ■ ネット上での誹謗中傷・フェイク情報
• SNSや掲示板などでの悪意のある書き込み、誤情報の拡散により、精神的被害や信用失墜につながる脅威。情報のリテラシーを高め、安易な拡散は避けましょう。
• ■ ワンクリック詐欺・架空請求詐欺
• ウェブサイトの閲覧中に「登録完了」などの表示が出て高額請求されたり、身に覚えのない料金を請求するメールが届いたりする詐欺。慌てて連絡せず、無視するか消費生活センターなどに相談しましょう。

現状と課題について

情報セキュリティの脅威は年々進化し、巧妙化しています。現状と課題を認識し、対策を講じることが不可欠です。

【現状】

• 攻撃の高度化・自動化: AIや自動化ツールを用いることで、攻撃者はより効率的かつ大規模に攻撃を仕掛けることが可能になっています。
• サイバー攻撃のビジネス化: ランサムウェアなど、金銭を目的としたサイバー攻撃は、犯罪組織にとって「ビジネス」として確立されており、分業化も進んでいます。
• サプライチェーン全体の脆弱性: 大手企業が強固なセキュリティ対策を講じていても、サプライヤーや子会社のセキュリティが手薄な場合、そこが侵入口となりやすいという課題が顕在化しています。
• DXの加速とセキュリティの乖離: デジタルトランスフォーメーションの推進により、クラウドサービスの利用やリモートワークが普及する一方で、セキュリティ対策が追いついていないケースが見られます。
• 人材不足: 情報セキュリティに関する専門知識を持つ人材が不足しており、特に中小企業ではセキュリティ対策の導入・運用が難しい状況です。

【課題】

• 経営層のセキュリティ意識向上: 情報セキュリティを単なるIT部門の課題ではなく、経営リスクとして捉え、経営戦略の一環として投資を行う経営層の意識改革が必要です。
• 多層防御の徹底: 単一の対策に頼るのではなく、入口対策（ファイアウォール、IDS/IPS）、出口対策（プロキシ）、内部対策（認証強化、監視）など、多層的なセキュリティ対策を組み合わせることが重要です。
• 従業員のセキュリティ意識向上と教育: 定期的なセキュリティ研修、フィッシング訓練などを通じて、従業員一人ひとりのセキュリティ意識を高め、ヒューマンエラーによる情報漏えいを防ぐことが不可欠です。
• インシデント発生時の対応力強化: 万が一サイバー攻撃を受けた際に、被害を最小限に抑え、迅速に復旧するためのインシデントレスポンス体制の構築と、訓練の実施が求められます。
• 最新の脅威動向への追随: 新たな攻撃手法や脆弱性が日々生まれるため、IPAなどの公的機関やセキュリティベンダーからの最新情報を常に収集し、対策をアップデートし続ける必要があります。
• サプライチェーン全体の連携: 自社だけでなく、取引先や委託先を含めたサプライチェーン全体でセキュリティレベルを向上させるための、契約や情報共有、共同訓練などの連携強化が課題です。
• AIの利活用とリスク管理: AIは脅威となる一方で、セキュリティ対策に活用する（脅威検知、脆弱性分析など）ことも可能です。その潜在的なリスクを理解しつつ、適切に利活用を進めることが求められます。

「情報セキュリティ10大脅威 2025」は、私たちを取り巻くサイバーリスクの現状を明確に示し、対策の重要性を改めて警鐘を鳴らすものです。個人の脅威に順位を付けないというIPAの新たなアプローチは、私たちが日々のデジタル活動において、どの脅威も「自分ごと」として捉え、総合的な対策を講じることの重要性を強く訴えかけています。

組織においては、ランサムウェアやサプライチェーン攻撃といった大規模な脅威に対する多層防御とBCP策定が急務です。同時に、従業員のセキュリティ意識向上と内部不正対策も欠かせません。個人においては、アカウントの不正利用や詐欺サイト、不審なメールからの情報詐取など、身近に潜むリスクに対して、パスワードの強化、二段階認証の利用、不審なリンクのクリック回避など、基本的な対策の徹底が求められます。

デジタル化が加速する現代社会において、情報セキュリティは、もはやIT部門だけの責任ではなく、経営層から末端の従業員、そして私たち一人ひとりが深く関わるべき最重要課題です。この「10大脅威 2025」を指針とし、常に最新の脅威動向を把握し、適切な対策を講じ続けることで、安全で安心なデジタル社会の実現に貢献していきましょう。

「デジタル・IT専門職」関連の求人 一覧