【中小企業も要注意】2025年 情報セキュリティ最新動向! 10大脅威に対する「技術 × 教育 × 運用」三位一体の対策とは?
近年、サイバー攻撃はますます巧妙化・多様化しており、企業の規模を問わず、全ての組織がその脅威に直面しています。実際に、サイバー攻撃の被害件数や被害額も増加傾向にあり、各企業における対策の重要性も高まっています。
本記事では、情報セキュリティに関する最新動向をまとめてみました。
情報セキュリティ10大脅威と技術的な変化
▍解決策とともに見る情報セキュリティ10大脅威 2025[組織]
IPAは毎年、前年に発生した社会的影響の大きい情報セキュリティ事案を分析し、「情報セキュリティ10大脅威」を発表しています。
IPA「情報セキュリティ10大脅威 2025」
https://www.ipa.go.jp/security/10threats/10threats2025.html
ここで挙げられている脅威は、企業の事業継続や信頼性に深刻な影響を及ぼす可能性があり、内容を見ていくと、連続して選出されている脅威も目立ちます。
だからこそ「2024年はこんな脅威があったんだね」だけで終わらせることなく、自身に関係のある脅威に対しては、きちんと対策を行っていく必要があります。
ここでは、技術的な対策だけでなく、「教育」「運用」の観点も踏まえ、「技術 × 教育 × 運用」の三位一体で対策を考えてみました。
① ランサム攻撃による被害
- 技術的対策:EDR導入、バックアップ、メールフィルタリング、WAF
- 教育的対策:フィッシングメールの見極め訓練
- 運用的対策:インシデント対応計画、CSIRT整備
② サプライチェーンや委託先を狙った攻撃
- 技術的対策:外部接続のアクセス制御、ゼロトラスト設計
- 教育的対策:委託先との合同教育、セキュリティガイド共有
- 運用的対策:契約管理、第三者評価、ベンダー監査
③ システムの脆弱性を突いた攻撃
- 技術的対策:脆弱性診断、パッチ管理、WAF
- 教育的対策:開発者へのセキュア開発トレーニング
- 運用的対策:定期的な脆弱性レビュー、変更管理の強化
④ 内部不正による情報漏えい等
- 技術的対策:アクセス制御、DLP、ログ監視
- 教育的対策:倫理研修、内部通報制度の啓発
- 運用的対策:職務分掌の明確化、監査体制の整備
⑤ 機密情報等を狙った標的型攻撃
- 技術的対策:メールゲートウェイ、サンドボックス解析
- 教育的対策:模擬標的型攻撃訓練
- 運用的対策:多層防御設計、攻撃シナリオの定期見直し
⑥ リモートワーク等の環境や仕組みを狙った攻撃
- 技術的対策:VPN/MDM/ゼロトラスト
- 教育的対策:在宅勤務時のセキュリティルール教育
- 運用的対策:端末管理ルール、BYODの制限・ガイドライン
⑦ 地政学的リスクに起因するサイバー攻撃
- 技術的対策:脅威インテリジェンス連携、IDS・IPSの強化
- 教育的対策:国家レベルの攻撃の特徴と対応策の共有
- 運用的対策:リスク評価の見直し、BCPとの連携強化
⑧ 分散型サービス妨害攻撃(DDoS攻撃)
- 技術的対策:CDN活用、DDoS対策サービス、冗長化
- 教育的対策:影響範囲の周知、復旧訓練
- 運用的対策:ISP連携マニュアルの整備、対応フローの確立
⑨ ビジネスメール詐欺(BEC)
- 技術的対策:SPF・DKIM・DMARC、MFA(多要素認証)
- 教育的対策:上層部を含めた送金手続き確認訓練
- 運用的対策:送金ルール・承認プロセスの明文化
⑩ 不注意による情報漏えい等
- 技術的対策:誤送信防止、ファイル暗号化、閲覧制限
- 教育的対策:定期的な情報取り扱い教育、社内キャンペーン
- 運用的対策:ポリシー遵守状況の確認・フィードバック体制
ここに挙げたものが全てではないと思いますが、対策の参考やきっかけになれば幸いです。
▍サイバー攻撃/防御にAIが使われる時代に……
AIは、さまざまなかたちで私たちの身近なところにも活用されつつありますが、AIを攻撃に活用する例も増加し、サイバー攻撃の巧妙化、高度化が進んでいるといわれています。
一方で、AIを活用した防御の強化も進んでいます。
異常検知、振る舞い分析などいくつかの分野でAIが活用されています。今、AIを活用した防御の強化は、非常に注目されている分野になっています。
企業におけるセキュリティ投資の現状
セキュリティ対策への投資という視点での情報にも目を向けておきたいと思います。
▍大企業は増加傾向にあるが二極化も
日本の大企業におけるセキュリティ投資は、近年増加傾向にあるとされています。特に、サイバー攻撃の高度化やデジタル化の進展に伴い、企業はセキュリティ対策への投資を強化しているようです。
一方で、売上高1兆円以上の大企業では投資状況が二極化しているという指摘もあります。新規システム導入やDX推進への投資を優先することで、セキュリティへの投資が後回しになる傾向も出てきているようです。
▍中小企業は減少傾向
IPAが2025年2月14日に公開した「2024年度中小企業等実態調査結果」では、過去3年間で情報セキュリティ対策投資を行っていない企業の割合は62.6%という結果が出ています。2016年度の55.2%、2021年度の33.1%と比較しても、今年は減っているのが現状です。
また、情報セキュリティ対策投資を行っていない理由として、
- 必要性を感じていない(44.3%)
- 費用対効果が見えない(24.2%)
- コストがかかりすぎる(21.7%)
といった点が挙げられています。
IPA「「2024年度中小企業等実態調査結果/速報版」
https://www.ipa.go.jp/pressrelease/2024/press20250214.html
▍被害額も増加傾向、被害を受けた中小企業の半数は廃業に
サイバー攻撃の被害額という点では、大企業でも中小企業でも増加傾向にあるといわれています。中小企業においては重大なサイバー攻撃を受けた場合、半数を超える企業が廃業にまで至ってしまうともいわれています。
サイバー攻撃は企業の規模を問わず発生し、セキュリティ対策が手薄な企業を狙う傾向にもあります。規模が大きくないからといって安心はできません。
情報セキュリティへの取り組みは、なかなか前向きな投資とは捉えづらく、初期コストもかかります。しかし、経営判断として被害を未然に防ぎ、会社の信用失墜を避けるためには必要な投資といえるのではないでしょうか。
Web脆弱性診断はやっぱり重要です!
世の中の様子が分かってきたところで、「情報セキュリティ10大脅威 2025」の中でも上位に位置付けられる「システムの脆弱性を突いた攻撃」の対策について記載しておきます。
WebアプリケーションやWebサイトは、サイバー攻撃の主要なターゲットとなっており、「システムの脆弱性を突いた攻撃」は、事前に脆弱性を特定して対策を講じることで、被害を未然に防ぐことにつながります。つまり、Webアプリケーションの脆弱性診断を正しく活用することが対策になるのです。
私たちABURIDA®のWebアプリケーション脆弱性診断サービスの出番です!
Webアプリケーション脆弱性診断のメリット
- リスクの可視化:自社のシステムやアプリケーションが抱える脆弱性を洗い出し、対処すべき点を特定可能
- 攻撃予防:既知の脆弱性を修正することで、攻撃を防御
- 信頼性の向上:顧客や取引先に対し、セキュリティ対策を徹底していることを示すことで、ビジネスの信頼性にもつながる
また、EC事業者におけるWebアプリケーションの脆弱性診断が義務化されるのでは?という話題もあり、動向が注目されていました。
そして、2025年3月に発表された「クレジットカード・セキュリティガイドライン【6.0 版】」では、EC加盟店におけるカード情報保護対策の指針として、Webアプリケーションの脆弱性対策に「脆弱性診断又はペネトレーションテストを定期的に実施し、必要な修正対応を行う」ということが追加されています。
クレジット取引セキュリティ対策協議会「クレジットカード・セキュリティガイドライン【6.0 版】」
https://www.j-credit.or.jp/security/pdf/Creditcardsecurityguidelines_6.0_published.pdf
と、このお話はこのあたりにして……
EC事業者のみならず、WebアプリケーションやWebサイトの脆弱性診断は、サイバー攻撃からの防御策としてやはり重要な位置付けといえるのではないでしょうか。
診断サービスの選定について、こんなブログも書いてみました。
よろしければぜひご覧ください!
まとめ
今回のブログを書いていて、中小企業におけるセキュリティ投資が減少傾向にあるということ、また重大な攻撃を受けてしまうと半数以上が廃業に追い込まれるといわれていることに、とても驚きました。
経営のことは詳しくは分からないけど、セキュリティに投資をする前に優先すべきことがたくさんあるんだろうな……と思いつつ、万が一重大なサイバー攻撃を受けてしまって甚大な被害に遭ってしまっては、せっかく攻めの投資をしていても無意味になってしまう可能性もあるという現実。なんとも難しい世界ですね……。
セキュリティ対策につながるサービスに携わる1人として、なんとか平和な世の中を創りたい……と、改めてそう思いました。平和が1番!
ライター/ふぁんふぁん
愛犬をめで、楽器と戯れ、おいしいものにかぶりつく日常を送りつつ、信興テクノミストのハイブリッドWebセキュリティ診断「ABURIDA®️」のカスタマーサポートとして縁の下の力持ちになるべく修行中。