情報セキュリティ10大脅威2025 解読！組織の脆弱性をどう克服する？

2025年1月30日、IPA（独立行政法人 情報処理推進機構）が「情報セキュリティ10大脅威2025」（組織編）を公表しました。このランキングは、昨今ますます複雑化し巧妙化するサイバー攻撃への対策を検討するための重要な指針です。

特に、猛威をふるっているランサムウェアが依然として大きな脅威としてランクインしていることや、新たに「地政学的リスクに起因するサイバー攻撃」が登場したことが注目されています。

本記事では、IPAが発表したランキングを基に、それらの脅威がもたらす影響と組織が取るべき対応策について詳しく解説します。これを通じて、企業や組織が直面するリスクをどのように軽減し、未来に向けた安全な環境を築いていけるかを共に考えていきましょう。

2025年版・情報セキュリティ10大脅威とは

順位	情報セキュリティ10大脅威 2025 [組織]	昨年順位
1位	ランサム攻撃による被害	→1位
2位	サプライチェーンや委託先を狙った攻撃	→2位
3位	システムの脆弱性を突いた攻撃	↑7位
4位	内部不正による情報漏えい等	↓3位
5位	機密情報等を狙った標的型攻撃	↓4位
6位	リモートワーク等の環境や仕組みを狙った攻撃	↓9位
7位	地政学的リスクに起因するサイバー攻撃	NEW
8位	分散型サービス妨害攻撃（DDoS攻撃）	↑ランク外
9位	ビジネスメール詐欺	↓8位
10位	不注意による情報漏えい等	↓6位

2025年1月30日、独立行政法人情報処理推進機構（IPA）より「情報セキュリティ10大脅威2025」が発表されました。この発表は、企業や組織が直面するサイバー攻撃やセキュリティリスクに対して優先的に注視すべき脅威のランキングを示すもので、毎年最新の状況を反映して公開されています。2025年版では、一部脅威の再登場や順位変化、新たに登場した脅威も含まれ、継続的なセキュリティ対策の重要性を示す内容となっています。

組織向けのランキングでは、ランサムウェアやサプライチェーン攻撃といった定番の脅威が引き続き上位を占めています。

特にランサムウェアは2021年以降、不動の1位を維持しており、新たな手法「ノーウェアランサム」や多重脅迫型攻撃といった高度化が確認されています。また、2025年版では地政学的リスクに起因するサイバー攻撃が初めて選出されており、国家間の緊張を背景とした攻撃が企業に及ぶリスクが増加しています。

このように、情報セキュリティ10大脅威2025は、年々高度化・多様化する脅威を反映しており、IPAは企業や個人が備えを怠らず、最新情報に基づいた効果的なセキュリティ対策を講じる必要性を強調しています。

情報セキュリティ10大脅威2025で注目したいポイント

ランサム攻撃による被害が依然として1位

IPAが発表した「情報セキュリティ10大脅威2025」では、ランサム攻撃が引き続き1位にランクインしました。ランサムウェアは、組織のデータやシステムを暗号化し、その解除と引き換えに身代金を要求するサイバー攻撃手法です。2023年以降、「ノーウェアランサム」と呼ばれる新たな攻撃手法が登場し、多重脅迫型攻撃が増加しています。これにより、単なる金銭要求だけでなく、被害者へのさらなるプレッシャーがかけられるケースが多発しています。企業や組織にとって、ランサム攻撃への対策は依然としてセキュリティ対策の最優先事項となっています。

サプライチェーン攻撃の拡大と新たな手法

サプライチェーンを狙う攻撃は近年大きな課題となっており、今回も2位にランク付けされています。この攻撃手法では、直接的な標的ではなく、取引先や委託先などのセキュリティの弱点を悪用されます。そのため、組織全体でのセキュリティ強化が重要視されています。特に2025年には、攻撃手法がさらに高度化し、サプライチェーン全体を管理するセキュリティ戦略の欠如が脅威の温床となる可能性があります。

地政学的リスクに起因するサイバー攻撃の登場

2025年版の情報セキュリティ10大脅威には、新たな脅威として地政学的リスクに関連するサイバー攻撃がランクインしました。これは、国家や組織間の緊張が高まる中、政治的・経済的な目的で行われるサイバー攻撃が背景にあります。このような攻撃は、国家規模での感染やインフラの混乱を引き起こす可能性があるため、特に注目すべき脅威となります。

内部不正の増加とその要因

内部不正による情報漏えいは、10年連続でランキングに含まれる根深い問題です。その主な要因として、リモートワークの広がりや従業員の意識不足、また不満の増加といった点が挙げられます。IPAはこの脅威に対し、単なる技術的なアプローチだけでなく、従業員教育や意識啓発など、人的要素への対策が必須であると指摘しています。

DDoS攻撃の復権: 規模とターゲットの変化

2025年の情報セキュリティ10大脅威では、DDoS攻撃が再びランクインしました。DDoS攻撃は、一時的な影響力を持つ攻撃手法として知られていますが、最近では規模の拡大とターゲットの多様化が進んでいます。一部の攻撃は、金融機関や重要インフラを狙うなど、国家規模の影響を与えるケースも報告されています。これにより、従来の防御対策だけでは対応しきれない状況が生まれており、最新のセキュリティツールの導入が求められています。

2025年度の情報セキュリティ10大脅威を事例と共に解説

1位「ランサムウェアによる被害」

2025年も情報セキュリティの最大の脅威として「ランサムウェアによる被害」が1位を占めています。この脅威は2021年から連続で首位に位置しており、組織に多大な打撃を与える攻撃手法です。攻撃者は企業の重要なデータを暗号化し、その解除のために高額な身代金を要求します。さらに、2023年以降は「ノーウェアランサム」と呼ばれる新しい手法が登場し、犯罪者がデータを暗号化せずに漏洩を脅しの材料とするケースが増えています。また、「暗号化＋漏洩＋サービス停止」といった多重脅迫型の攻撃手法も普及しており、企業は迅速で包括的なセキュリティ対策が求められます。

ランサムウェアについてはこちらの記事でも解説しています。

2位「サプライチェーンの弱点を悪用した攻撃」

サプライチェーン攻撃は2025年も2位にランクインしており、取引先や委託業者経由でシステムに侵入する手法が増加しています。特に、サプライチェーンに含まれる中小規模の企業のセキュリティが脆弱である場合、それを足掛かりに大規模な企業のネットワークへ侵入する事例が目立っています。IPAは、こうした攻撃への対策として、サプライチェーン全体でのセキュリティ基準の厳密化や、パートナー企業との協力体制の構築を提案しています。

3位「システムの脆弱性を突いた攻撃」

ランクアップを果たした「システムの脆弱性を突いた攻撃」は、未修正のソフトウェアの欠陥や既知の弱点を利用する手法が特徴です。近年では、修正プログラム（パッチ）が公開される前のゼロデイ攻撃も増加傾向にあり、企業は定期的な脆弱性診断や迅速なパッチ適用が重要だとされています。

4位「内部不正による情報漏えい等」

内部不正は内部の従業員や関係者が意図的に情報を持ち出したり、意図しなくてもセキュリティポリシーを破ることで、組織に重大な被害をもたらすケースが報告されています。

さらに、学校や教育機関などでは、教員による設定ミスが情報漏えいを引き起こす事例も見られます。特に、リモートワークやオンライン教育環境の普及により管理しきれない範囲が広がり、内部不正やミスによる情報漏えいのリスクが高まっています。
対策として、組織内でのアクセス権限の厳格化や監視体制の強化、さらに教育機関特有の運用ミスを防ぐためのマニュアル整備やプライバシー意識向上の取り組みが推奨されています。

5位「機密情報等を狙った標的型攻撃」

標的型攻撃は特定の企業や組織を狙った手法で、特に機密情報を狙うケースが多く報告されています。この攻撃は、巧みに設計されたフィッシングメールを用いることで、ターゲットを罠にかける特徴があります。サイバー攻撃が高度化する中で、従業員一人ひとりがセキュリティ教育を受けることが対策の鍵となります。

6位「リモートワーク等の環境や仕組みを狙った攻撃」

コロナ禍以降、急速に普及したリモートワークは新たな働き方を支える一方で、テレワーク用に整備された仕組みそのものが攻撃対象となるリスクが顕在化しています。特に、VPN装置の脆弱性や未管理デバイスの利用が標的になります。IPAはリモートワークに対応したセキュリティポリシーの策定やエンドポイントセキュリティの導入を推奨しています。

7位「地政学的リスクに起因するサイバー攻撃」

今回初めて10大脅威に選出された「地政学的リスクに起因するサイバー攻撃」では、国家的関与が疑われる高度な攻撃が注目されています。特に、国際情勢の緊張が高まる中で、特定国の重要インフラや政治的影響力のある組織が標的とされる傾向が見られます。企業は国際的なサイバー情勢を常に把握し、適応的なセキュリティ対策を講じる必要があります。

8位「分散型サービス妨害攻撃（DDoS攻撃）」

「分散型サービス妨害攻撃（DDoS攻撃）」は、インターネットサービスを停止させることを目的とした攻撃で、今回5年ぶりに10大脅威に再登場しました。これにより、標的となった企業のサービスが一時的に利用不可能となり、莫大な直接損失や機会損失をもたらします。攻撃は一層高度化しており、目的も単なる嫌がらせから金銭要求や競争他社の妨害まで多岐にわたります。対策として、事前の攻撃対策と緊急対応マニュアルの作成が重要です。

「分散型サービス妨害攻撃（DDoS攻撃）」は、インターネットサービスを停止させることを目的とした攻撃で、今回5年ぶりに10大脅威に再登場しました。これにより、標的となった企業のサービスが一時的に利用不可能となり、莫大な直接損失や機会損失をもたらします。攻撃は一層高度化しており、目的も単なる嫌がらせから金銭要求や競争他社の妨害まで多岐にわたります。

対策としては、CDN（コンテンツ配信ネットワーク）やWAF（Webアプリケーションファイアウォール）の導入による防御力の強化、トラフィックの常時監視と異常検知の仕組みの整備があげられます。また、万が一の事態に備えた緊急対応マニュアルの整備や訓練も、事業継続の観点から重要です。

9位「ビジネスメール詐欺」

「ビジネスメール詐欺（BEC）」は、信頼を装った攻撃者が企業間での取引における通帳情報や財務情報を狙うものです。詐欺行為は、攻撃対象となる企業の一部の従業員を狙い、巧妙に設計されたメールを送り付けることから始まります。対策としてモニタリングの徹底や、メールの真偽を判断するガイドラインの共有が求められます。

10位「不注意による情報漏えい等」

「不注意による情報漏えい等」は、従業員のミスによって発生するセキュリティ事故を指します。具体例として、情報の誤送信や機密データの誤公開が挙げられます。こうしたリスクは内部教育やガイドラインの整備による改善が可能です。特に、IPAが推奨するように「セキュリティ文化」を組織全体に根付かせることが鍵になるでしょう。

「不注意による情報漏えい等」は、従業員のヒューマンエラーによって発生するセキュリティ事故を指します。メールの誤送信や資料の誤公開といった個人の操作ミスに加え、最近ではクラウドサービスの設定ミスによる情報漏えいが目立っています。たとえば、アクセス権限の誤設定により、機密データが外部から閲覧可能になっていたといったケースです。不注意による情報漏えいへの対策は、社内のセキュリティルールの見直しや、従業員向けセキュリティ教育の定期的な実施による対応が効果的です。

サイバー攻撃に対して企業が取るべき対策

このように、情報セキュリティを脅かすサイバー攻撃が日本を含め、全世界で展開されるようになってきました。サイバー攻撃のリスクをゼロにすることはできませんが、多様なアプローチを徹底することにより、被害を最小限に抑えられます。

システムに潜む脆弱性を診断し危険度を評価「脆弱性診断サービス」

「脆弱性診断」とは、自社システム内のセキュリティホールを特定し、その弱点へ攻撃された場合のリスクを評価する取り組みです。これにより、潜在的な脆弱性を事前に発見し、対策を講じることでセキュリティを強化できます。脆弱性診断を受けることで、自社がまず何から取り組むべきなのかを明らかにできます。

以下のページでは、「脆弱性診断に」よって被害を最小化し、最適なセキュリティシステムを構築するための具体的なプロセスを紹介しています。

脆弱性診断の手続きや内容についてはこちらから

24時間365日、ICT環境のセキュリティ運用を支援「CEC HOC」

「CEC HOC」は、「Cyber NEXT」が提供するサイバー衛生管理に特化したセキュリティサービスです。このサービスでは、日々更新される共通脆弱性識別子（CVE）を基にリアルタイムで脆弱性を監視します。また、AIを利用した24時間365日の監視体制により、人の行動履歴から内部犯行や情報漏えいの予兆を検知し、インシデントを未然に防止します。

CEC HOCについて詳しくはこちらから

24時間365日体制で監視、異常と判断した際は即座に通報「CEC SOC」

「CEC SOC」は、企業が対策すべきセキュリティポイントを網羅的にカバーし、インシデント発生時の被害を最小限に抑えるためのサービスです。マルウェア感染発生時の初動対応に加え、感染が確認されたゾーン以外にも痕跡がないかを分析することで、インシデントの影響範囲を評価します。

CEC SOCについて詳しくはこちらから

SOCを選ぶメリットに関する資料ダウンロードはこちらから

不正アクセスや情報漏えいへの対策「デジタルフォレンジック」

「デジタルフォレンジック」とは、セキュリティリスクにさらされたデバイスを調査し、インシデントの原因を究明し、証拠を保全する施策です。このプロセスは、同様のインシデントを再発させないための分析を行うとともに、攻撃手法や侵入経路を特定して得られたデータをセキュリティ対策に活用することで自社に適した高度なセキュリティシステムを構築することができます。

詳しい取り組み内容については、以下のページも参考にしてください。

また、デジタルフォレンジックは事後対応の一種ですが、事前対応である脆弱性診断によって、対応方針を明確にすることもできます。

万全のセキュリティ対策を講じるなら「Cyber NEXT」にお任せください

この記事では、IPAが公開する「情報セキュリティ10大脅威 2024」について紹介しながら、脅威への対策を検討する際のポイントを解説しました。

情報セキュリティリスクは年々高まっており、もはやそのリスクをゼロに抑えることは不可能と言えます。それでも徹底したセキュリティ対策を実行することで、被害を最小限に留め、事業の継続性を確保することは可能です。

シーイーシーのトータルセキュリティソリューション「Cyber NEXT」はお客様のシステムが万が一セキュリティリスクにさらされても、直ちに脅威を検知し適切な対策ができる、安心のサービスを提供しています。予防から事後対策に至るまでの幅広いアプローチにより、システムの最適な運用環境を維持・管理することで、もしもの事態に備えることが可能です。

最先端のセキュリティ環境を構築し、維持するために役立つ「Cyber NEXT」のマネージドセキュリティサービスについては、以下のページよりご確認ください。

関連サービス

セキュリティ関連のお役立ち資料はこちらから

セキュリティ関連の相談会はこちらから

セキュリティ関連の他の記事はこちらから

過去の情報セキュリティ10大脅威についての記事はこちら