こんにちは、AIプライバシー忍者です。
先日、IPA(情報処理推進機構)が恒例の「情報セキュリティ10大脅威(組織編)」を公開しました。この資料は、前年に発生した情報セキュリティ事故や攻撃の傾向を分析し、組織が注意すべき脅威をランキング形式でまとめたものです。
毎年多くの企業がこのリストを参考に、自社のリスク評価や教育・対策の見直しを行っています。この記事では、2025年版のランキングをベースに、なぜそれが脅威なのか、何が変わったのか、そしてどう対策すべきなのかを、AIプライバシー忍者の視点でわかりやすく解説します。
目次
IPA「情報セキュリティ10大脅威 2025(組織編)」ランキング
まずは、今回発表されたトップ10の脅威を一覧でご紹介します:
- ランサム攻撃による被害
- サプライチェーンや委託先を狙った攻撃
- システムの脆弱性を突いた攻撃
- 内部不正による情報漏えい等
- 機密情報等を狙った標的型攻撃
- リモートワーク等の環境や仕組みを狙った攻撃
- 地政学的リスクに起因するサイバー攻撃
- 分散型サービス妨害攻撃(DDoS攻撃)
- ビジネスメール詐欺
- 不注意による情報漏えい等
ここからは、このランキングの中でも特に注目すべき項目をピックアップし、背景や対策について詳しく掘り下げていきます。
1位:ランサムウェアの脅威は依然として最大級
2025年版でも、1位は「ランサムウェアによる被害」でした。
組織のシステムやファイルを暗号化し、復元と引き換えに金銭を要求する――この攻撃は今やどの業界でも現実の脅威になっています。
最近では暗号化だけでなく、「盗んだ情報を公開するぞ」と二重に脅迫する手口が主流です。2024年には、大手エンタメ企業が攻撃を受けて長期間サービスを停止、医療機関では診療の中断や個人情報の漏洩が発生するなど、被害の深刻さが増しています。
しかも、狙われるのは大企業だけではありません。「セキュリティが甘そう」「支払い能力がある」と見られれば中小企業も標的になる時代です。
この脅威に対しては、「絶対に防ぐ」ではなく、「攻撃を受けてもすぐ復旧できる体制を整える」ことが現実的な対応になります。
具体的には、①オフラインバックアップの定期取得、②次世代ウイルス対策とも言えるEDR(エンドポイント検出と対応)ツールによる不審動作の検知、そして③標的型攻撃メール演習など、日頃の社員教育――これらの組み合わせが鍵になります。
2位:サプライチェーン攻撃は“間接的に狙ってくる”
サプライチェーン攻撃とは、自社ではなく取引先や外部委託先の弱点を突いて、自社に侵入してくるタイプの攻撃です。
たとえば、システム開発会社がマルウェアに感染し、そこから納品されたプログラムに悪意あるコードが含まれていたり、印刷業者の誤操作によって大量の個人情報が流出する――そうした「外部からの脅威」が今、非常に増えています。
特に中小企業では、委託先の管理を「契約書で済ませている」ケースが多く、実質的なチェックが行われていないことも少なくありません。
しかし、情報を管理する主体として責任を問われるのは、最終的には情報の出し手である自社です。
このリスクへの対応には、委託先にもセキュリティ対策を求める契約設計、監査、再委託の制限など、実務に踏み込んだ対策が求められます。
4位:内部不正による情報漏洩、誰もが“加害者”にも“被害者”にもなりうる
組織の中で働く人が、意図的に、あるいは退職時の不注意から機密情報を持ち出すというのが、内部不正による情報漏洩です。
「まさか、あの人が?」
そう思っていた人が、不満や誘惑から不正行為に走るケースは、決して珍しくありません。
たとえば、営業担当者が顧客リストを私的に使用したり、開発者が業務用データを外部に持ち出したりという例が実際に起きています。
対策としては、①アクセス権限の最小化、②利用ログの監視、③退職手続きのチェックリスト化など、「信頼」と「確認」のバランスをどう取るかが問われます。
6位:テレワークを巡る新たな脅威
コロナ禍以降、テレワークは定着しましたが、それに合わせて在宅環境を狙う攻撃も目立つようになりました。
個人宅のWi-Fiの設定が甘くて通信が傍受される、個人端末に潜んでいたマルウェアがVPN経由で社内に侵入する――こういった事例は、いまや珍しくありません。
対応としては、①会社支給の端末以外での業務を禁じること、そして②ルーター設定やVPN利用に関する教育を“形式だけでなく理解重視”で行うことが重要です。
10位:人的ミスの脅威は今も健在
「メールの宛先を間違えた」「間違ったファイルを添付して送ってしまった」。
こうした“うっかり”が情報漏洩の原因になるケースは今も数多く報告されています。
これを完全になくすことは難しいですが、たとえば送信前にアラートを表示したり、一定の条件で自動的に暗号化したりと、“ミスを前提に仕組みで防ぐ”ことは可能です。
また、週1回5分の社内注意喚起や、失敗事例の共有といった“習慣化された意識づけ”も、長期的には大きな効果を発揮します。
今こそ、「うちは大丈夫」から抜け出すとき
この10大脅威の中には、「うちには関係ない」と思ってしまうものもあるかもしれません。
しかし、どの企業にも、情報はあり、ヒトがいて、外部との接点がある限り、無関係な脅威などないのです。
自社のIT環境や業務プロセス、委託先や社員教育の状況を改めて点検してみること。
そして、起こり得るリスクを“自分ごと”としてイメージしておくこと。
それが、これからのセキュリティ対策のスタートラインです。
おわりに:脅威は知れば備えられる
IPAの「情報セキュリティ10大脅威」は、単なる年次報告ではなく、組織の未来を守るヒントが詰まった貴重な資料です。
これを読むことで、私たちは“いま何が起きているのか”を理解し、対策を講じることができます。
脅威は知れば怖くなくなる。知らなければ、備えることすらできない。
今後もAIプライバシー忍者は、こうした公的情報をわかりやすく読み解き、現場で役立つ知識としてお届けしていきます。
🛡️ 参考リンク
- IPA|情報セキュリティ10大脅威2025(公式ページ)
https://www.ipa.go.jp/security/10threats/10threats2025.html
