情報セキュリティ10大脅威とは、IPA（情報処理推進機構）が毎年発表する、企業や組織にとって深刻な影響を及ぼす可能性の高いセキュリティリスクのランキングです。サイバー攻撃の手法が年々進化する中、企業は最新の脅威に対応するために、適切な対策を講じる必要があります。

2025年版では特に「ランサム攻撃」「サプライチェーン攻撃」「脆弱性を突いた攻撃」がトップ3にランクインし、多くの企業が直面するリスクとして注目されています。

以下が、2025年版の組織における情報セキュリティ10大脅威のランキングです。

• 1位 :　ランサム攻撃による被害
• 2位 :　サプライチェーンや委託先を狙った攻撃
• 3位 :　システムの脆弱性を突いた攻撃
• 4位 :　内部不正による情報漏えい等
• 5位 :　機密情報等を狙った標的型攻撃
• 6位 :　リモートワーク等の環境や仕組みを狙った攻撃
• 7位 :　地政学的リスクに起因するサイバー攻撃
• 8位 :　分散型サービス妨害攻撃（DDoS攻撃）
• 9位 :　ビジネスメール詐欺
• 10位 :　不注意による情報漏えい等

次に、トップ3の脅威について詳しく解説します。

ランサム攻撃とは、企業のデータを暗号化し、復旧のために身代金を要求するサイバー攻撃のことです。近年、この手法はますます巧妙化しており、単なるデータ暗号化にとどまらず、情報漏えいや二重恐喝のリスクも高まっています。

主な手口

• ・フィッシングメールを通じたマルウェア感染
• ・リモートデスクトップ（RDP）の不正アクセス
• ・ソフトウェアの脆弱性を悪用した攻撃

被害の影響

• ・業務の停止による経済的損失
• ・機密情報の漏えいによる信用失墜
• ・多額の身代金要求

対策

• ・重要データのバックアップとオフライン保管
• ・従業員向けのセキュリティ教育
• ・定期的なパッチ適用とシステムの最新化

サプライチェーン攻撃とは、企業が取引している委託先やサプライヤーのシステムを経由して本社のシステムに侵入する攻撃手法です。

主な手口

• ・ソフトウェアアップデートにマルウェアを仕込む
• ・委託先のシステムを侵害し、そこから本社ネットワークへ侵入
• ・クラウドサービスのAPIを悪用した攻撃

被害の影響

• ・取引先や顧客情報の漏えい
• ・業務システムの改ざんや停止
• ・信頼関係の崩壊と取引停止のリスク

対策

• ・取引先のセキュリティ評価を定期的に実施
• ・契約書にセキュリティ要件を明記
• ・取引先とのデータ連携におけるアクセス制限の強化

システムの脆弱性を悪用した攻撃は、企業のIT環境が複雑化するにつれて増加しています。特にゼロデイ攻撃（パッチが適用される前の脆弱性を狙う攻撃）は防御が難しく、企業にとって深刻な脅威です。

主な手口

• ・パッチ未適用のソフトウェアを標的にした攻撃
• ・古いシステムや未更新のWebアプリケーションの悪用
• ・IoTデバイスの脆弱性を突いた攻撃

被害の影響

• ・データの改ざんや漏えい
• ・システムの乗っ取りとマルウェアの拡散
• ・企業の信用低下や法的責任の発生

対策

• ・OSやソフトウェアの定期的な更新
• ・セキュリティパッチの即時適用
• ・脆弱性スキャンとペネトレーションテストの実施

上記の脅威に対して、企業は以下のような包括的な対策を講じる必要があります。

• ・従業員教育：フィッシング攻撃やソーシャルエンジニアリングへの対策として、定期的なセキュリティ研修を実施
• ・ゼロトラストの導入：ネットワーク内部であっても信頼せず、常にアクセスを監視・認証する仕組みを導入
• ・脅威インテリジェンスの活用：最新のサイバー脅威情報を収集し、早期対策を講じる

2025年の情報セキュリティ10大脅威のうち、特に「ランサム攻撃」「サプライチェーン攻撃」「脆弱性攻撃」が企業にとって重大なリスクとなっています。組織は、最新の脅威動向を把握し、適切なセキュリティ対策を講じることで、被害を未然に防ぐことが重要です。

企業のITセキュリティは、常に進化するサイバー攻撃と対峙する必要があります。定期的なセキュリティ診断とアップデートを怠らず、安心・安全なビジネス環境を維持していきましょう。