【最新版】10大脅威とは？初心者にも分かるリスクと対処法を徹底解説

「情報セキュリティ10大脅威」とは、IPA（独立行政法人情報処理推進機構）が毎年公表している、社会的影響の大きかったセキュリティ事案の総まとめです。候補は前年度に発生した事例から選出され、研究者や企業担当者など約200名で構成される「10大脅威選考会」によって審議・投票されます。

2025年版では、組織と個人に分けて発表され、特に組織向けではランサム攻撃やサプライチェーン攻撃といった事案が上位を占めました。個人向けでは順位を付さず五十音順で掲載され、どの脅威にも優先度を下げず対応するよう注意喚起されています。

※出典：独立行政法人 情報処理推進機構「情報セキュリティ10大脅威 2025」

企業を取り巻くサイバー攻撃は年々巧妙化し、ランサム攻撃やサプライチェーン攻撃など、被害が社会全体に及ぶケースも増えています。ここでは、「情報セキュリティ10大脅威」の中から組織編の10項目を取り上げ、概要と実践すべき対策をわかりやすく解説します。

1. ランサム攻撃による被害

ランサムウェアは、パソコンやサーバー内のデータを暗号化して利用できなくし、身代金を要求するサイバー攻撃です。近年は「暗号化＋盗んだ情報の公開を脅す」二重恐喝型も増え、被害が深刻化しています。

対策としては、複数の場所にバックアップを取り、定期的に復元テストを行うことが重要です。また、OSやソフトウェアの更新を徹底し、不審な動きを検知できるエンドポイント検知・対応（EDR：Endpoint Detection and Response）を導入すると効果的でしょう。さらに、従業員への教育を通じて、不審メールや怪しいリンクを開かない意識を根付かせることが欠かせません。

2. サプライチェーンや委託先を狙った攻撃

自社ではなく、取引先や委託先のセキュリティの弱点を突いて侵入されることを「サプライチェーン攻撃」といいます。

この対策には、取引先や委託先を選定する段階でセキュリティ基準を明確化し、契約書で管理体制を取り決めておくことが有効です。さらに、定期的なセキュリティ監査や調査を実施し、リスクを共有する仕組みを整えておきましょう。近年注目される「ゼロトラストセキュリティ（Zero Trust Security）」の考え方を取り入れ、外部からのアクセスを常に検証・監視する体制を築くことも大切です。

3. システムの脆弱性を突いた攻撃

OSや業務アプリケーションの脆弱性を狙った攻撃も依然として多いです。特に修正プログラム（パッチ）が出る前に狙われる「ゼロデイ攻撃」は危険性が高い手口といえます。

対策には、脆弱性情報を収集して速やかにパッチを適用する「パッチマネジメント体制」を整えることが欠かせません。さらに、ファイアウォールや侵入防止システムを導入して防御を強化すると安心でしょう。定期的な脆弱性診断や模擬攻撃（ペネトレーションテスト）を行い、潜在的なリスクを早めに発見して対処することも重要です。

4. 内部不正による情報漏えい等

従業員や委託先関係者による不正行為や不注意は、外部攻撃に匹敵するリスクです。重要情報を持ち出したり、誤って流出させてしまったりする恐れがあります。

対策としては、アクセス権限を「業務に必要な最小限」にとどめることが基本です。また、重要データは暗号化し、操作ログを記録・監視することで不正を早期に発見できます。内部通報制度を整え、不正を発見しやすい環境を作ることも効果的でしょう。加えて、従業員教育を通じて「情報は資産であり厳格に扱うもの」という意識を根付かせることが再発防止につながります。

5. 機密情報等を狙った標的型攻撃

標的型攻撃は、特定の企業や組織を狙い撃ちにするサイバー攻撃で、偽装メールや水飲み場攻撃（特定サイトを改ざんして訪問者を感染させる手口）が代表的です。長期的に潜伏して情報を窃取するケースも多く、従来型のセキュリティソフトだけでは防ぐのが難しいでしょう。

対策としては、未知のファイルを隔離して確認するサンドボックスや、端末の不審挙動を検知するエンドポイント検知・対応（EDR）を導入するのが有効です。また、送信ドメイン認証を導入してなりすましを防止するのもよいでしょう。さらに、社員へのフィッシング研修などを継続的に実施し、判断力を養うことも求められます。

6. リモートワーク等の環境や仕組みを狙った攻撃

テレワークやハイブリッドワークの普及に伴い、自宅や外出先からのアクセスを狙った攻撃も増えています。特にVPNの脆弱性や、私物端末のセキュリティ不足が狙われやすい状況です。

対策には「ゼロトラストセキュリティ」の導入や、多要素認証の利用が効果的でしょう。また、業務用スマートフォンやパソコンはMDM（モバイルデバイス管理）で一元管理し、紛失時の遠隔ロックやアプリの一括制御を可能にしておくことがおすすめです。さらに、自宅の通信環境でも暗号化を徹底し、従業員へのセキュリティ教育を欠かさないことが必要です。

7. 地政学的リスクに起因するサイバー攻撃

国際的な対立や地政学リスクを背景とした攻撃は、国家レベルで行われることもあり、被害規模が大きいのが特徴です。特にエネルギーや交通、製造業など重要インフラ分野は標的になりやすいでしょう。

対策としては、政府や業界団体から発信される最新の脅威情報を収集・分析し、自社に適用する体制を整えることが不可欠です。さらに、重要システムをインターネットから分離する、冗長化（バックアップシステムの併用）を図るなど、攻撃に耐えられる設計を組むことが大切になってきます。サプライチェーン全体でセキュリティ意識を共有し、国際的な協力も視野に入れた取り組みが求められます。

8. 分散型サービス妨害攻撃（DDoS攻撃）

分散型サービス妨害攻撃（DDoS：Distributed Denial of Service）は、大量の通信を一斉に送りつけ、サーバーやネットワークを過負荷にしてサービスを停止させる攻撃です。ECサイトや金融機関など、停止が直接損失につながる業種は特に注意が必要です。

対策としては、通信を分散処理するCDN（コンテンツデリバリーネットワーク）や、ファイアウォールを導入する方法があります。また、クラウド型のDDoS防御サービスを利用することで、大規模な攻撃にも対応可能です。異常な通信を早期に検知する監視体制と、緊急時の対応マニュアルを整備しておくことも欠かせません。

9. ビジネスメール詐欺

ビジネスメール詐欺は、上司や取引先になりすましたメールで送金や振込を指示し、金銭をだまし取る攻撃です。海外では数百億円規模の被害も報告されています。

この脅威の場合、技術的な対策だけでは限界があるため、業務フローでの確認が不可欠です。送信ドメイン認証を導入してなりすましを防ぐとともに、送金や口座変更の依頼があった場合は必ず複数人で確認する仕組みを取り入れましょう。さらに、従業員に対するセキュリティ教育を徹底し、「慌てず疑う習慣」を持たせることが被害防止につながります。

10. 不注意による情報漏えい等

USBメモリの紛失、メールの誤送信、書類の置き忘れといった人為的なミスは、情報漏えいの原因として今も多く発生しています。こうした事故は一度起きれば信頼の失墜や損害賠償に直結するため、技術と運用の両面からの対策が必要です。

対策には、デバイス制御や誤送信防止システムの導入に加え、日常業務でのダブルチェックや従業員教育が効果的です。さらに、EMM（モバイル端末管理）を活用すれば、業務端末を一元管理し、USB利用制限や遠隔ロック、アプリ配信などが可能になります。

特にAndroid専用のEMMである「LINC Biz emm」は、アプリの一括配信や遠隔ワイプなど、人的ミスによるリスクを減らすさまざまな機能を備えているので、情報漏洩対策にも役立つでしょう。

2025年の「情報セキュリティ10大脅威」では、組織向けの脅威の顔ぶれに大きな変化はなく、依然として「ランサム攻撃」や「サプライチェーン攻撃」が上位を占めています。つまり、企業にとっては引き続き見過ごせない定番リスクと言えるでしょう。

一方で、新しい動きもあります。例えば「システムの脆弱性を突いた攻撃」が順位を上げたほか、今年は初めて「地政学リスクに起因するサイバー攻撃」が登場しました。これは国際的な情勢不安がサイバー攻撃にも直結していることを示しています。

これらの結果から、従来の脅威への備えを続けつつ、新たに浮上したリスクにも視野を広げて対応していく必要があることがわかるでしょう。

2025年版「情報セキュリティ10大脅威」では、ランサム攻撃やサプライチェーン攻撃といった従来のリスクが引き続き上位を占める一方、地政学リスクを背景とするサイバー攻撃が新たに加わり、脅威の幅が広がっていることが示されました。

これに伴い企業は、これまでの対策を継続しながら、新しいリスクも見据えた総合的なセキュリティ体制を整えることが求められているといえるでしょう。

そのうえで欠かせないのが、日々の業務で利用するスマートフォンやPCといった端末の安全管理です。社員一人ひとりの注意だけに頼るのではなく、MDMツールを導入することで、設定の統一やアプリ配信、遠隔ロックなどを一元的に行え、ヒューマンエラーや不正利用によるリスクを大幅に減らせます。

Android専用のEMMである「LINC Biz emm」は、クラウド対応の柔軟な仕組みと手厚いサポートを備えており、セキュリティ強化と運用負担の軽減を同時に実現できる点が特長です。進化する脅威に備える第一歩として、ぜひご検討ください。