情報セキュリティ白書とセキュリティ

今年もIPAから情報セキュリティ白書が発行されました。本コラム執筆時点ではPDF版のみの提供となりますが、書籍は9月下旬の発行となります。
今回のコラムでは、2025年版情報セキュリティ白書の内容をまとめてみました。

背景と目的

情報セキュリティ白書2025では、2024年度を中心とした国内外のサイバーセキュリティ情勢を整理しています。
特に、ランサムウェア・標的型攻撃・DDoS攻撃の継続・巧妙化に加え、地政学リスクやAI・偽情報といった『認知領域』への攻撃動向が目立つようになっています。

こうした環境変化を受けて、「備え」だけでなく「制度・仕組み・設計段階からの防御（セキュア・バイ・デザイン）」が本格的に必要となってきていることを理解が目的と言えるでしょう。

主なトレンドと注目テーマ

● 攻撃の「量」から「質・範囲」へ
攻撃数そのものだけでなく、手口の洗練化、サプライチェーン・認知空間（偽情報・AI悪用）への侵攻が増加しています。つまり、「どこを攻めるか／どう攻めるか」が進化しており、防御側も範囲を広げる必要があります。

● AIの攻防と認知領域のリスク
AI技術の進展は防御・攻撃双方で加速し、AIそのものへの攻撃や悪用、さらに偽・誤情報の拡散がサイバー空間の新たな戦線となっています。セキュリティ担当者にとって「AIをどう守るか」、「AIをどう活用するか」が重要な問いになっています。

● 制度・設計からの防御強化：セキュア・バイ・デザイン
国内では、能動的サイバー防御の体制整備（国家サイバー統括室）や、製品・サービスの評価およびラベリング制度（JC-STAR）が運用開始されています。また、システム設計段階から脆弱性を管理するという「セキュア・バイ・デザイン」への動きが明確になりました。

● 人材・制度・国際標準化の追い上げ
人材育成・製品認証・国際標準化という三軸が、政策・産業・組織レベルで強化されています。特に中小規模組織の取り組み普及も、白書内で大きく扱われています。

読んでおくべきポイント

● 自組織の脅威認識を範囲広めに捉える
ランサムウェアやDDoSだけでなく、AI悪用・偽情報・国際サイバー攻撃も視野に。自社リスクマップを見直す価値があります。

● 設計段階からの防御（セキュア・バイ・デザイン）を実践課題に
既存体制だけでなく、開発・調達・サプライチェーン・運用まで設計段階から守る仕組みを組み込むことが求められています。情報セキュリティ白書でもこの点の動きが明確に記載されています。

● AI活用には「守り」と「活かし」の両輪を意識する
AIを活用して効率化・高度化を図る一方で、そのAIを攻撃対象として位置付けるリスクも見逃せません。攻防双方から備えるべきです。

● 制度・認証・国際動向を組織戦略に反映する
国としての政策・制度整備が進んでおり、製品・サービス選定での認証制度、サプライチェーン全体でのセキュリティ評価などが今後のスタンダードとなる可能性があります。

● スピードと継続性を意識した文化づくり
技術・制度が進む中、最も帰結を生むのは「継続的な実践」と「組織文化」です。情報セキュリティ白書で示された普及活動や人材育成の流れを単発ではなく積み上げていくことが肝要です。

まとめ

「情報セキュリティ白書」は、従来型のサイバー脅威だけでなく、AI・偽情報・国際サイバー攻撃という新たな戦線に対して、制度・設計・人材の面からどう備えるかを整理した、一歩先のセキュリティ実践書と言えます。
セキュリティ担当者・マネジメント層ともに、情報セキュリティ白書を契機に「攻め／守り」「技術／制度」「継続／文化」の３軸で自社のセキュリティ戦略を振り返ってみることをお勧めします。