10大脅威とセキュリティ

毎年冬に発表される情報セキュリティ10大脅威の2025年版が、2025年1月30日に発表されました。
各脅威に対する解説資料は、3月下旬に公開予定となっています。

「情報セキュリティ10大脅威」は、毎年1月に昨年1年間に発生した社会的に影響が大きかったと考えられる情報セキュリティにおける事案から、独立行政法人情報処理推進機構(IPA)が脅威候補を選出し、情報セキュリティ分野の研究者や企業の実務担当者などのメンバーからなる「10大脅威選考会」が脅威候補に対して審議・投票を行い、決定したものになります。
発表された2025年版の組織編について、留意点を解説いたします。

《組織(法人)向け》
組織の上位ランキングは2024年と変動なく「ランサムウェアによる被害」はついに5年連続の1位となりました。
連動して「サプライチェーンの弱点を悪用した攻撃」、つまりシステム利用者だけではなく委託先やシステムディーラーのメンテナンス経路などの脆弱性を狙った攻撃が脅威として挙げられています。自組織だけでなく、関係各社と連携してセキュリティ対策の構築と運用が必要です。

新たに「地政学的リスクに起因するサイバー攻撃」がランクインしました。
これは、国際的な政治・経済情勢の変化や対立がサイバー攻撃の引き金となり、組織の情報資産やインフラに深刻な影響を及ぼすリスクを指しています。
この脅威の初選出は、地政学的な緊張が高まる中、国家や政治的動機を持つ攻撃者によるサイバー活動が増加している現状を反映しています。これらの攻撃は、高度な技術と組織力を持つため、防御が難しく、被害も甚大となる可能性があります。

また、「分散型サービス妨害攻撃(DDoS攻撃)」が5年ぶりに再登場しています。
DDoS攻撃は、サーバやネットワークに大量のトラフィックを送り込み、サービスを停止させる手法で、2024年後半から2025年初頭にかけて大きなインシデントがニュースになっていました。

これらの新たな脅威に対処するためには、組織は以下の対策を検討する必要があります。
・地政学的リスクのモニタリング：国際情勢の変化を常に注視し、自組織への影響を評価する体制を構築します。
・高度なサイバー攻撃への備え：侵入検知システムや異常行動分析ツールの導入など、先進的なセキュリティ対策を強化します。
・DDoS攻撃対策の再評価：トラフィックの異常を検知する仕組みや、攻撃時に迅速に対応できるプロバイダとの連携体制を整備します。

情報セキュリティの脅威は日々進化しています。最新の脅威動向を常に把握し、適切な対策を講じることで、被害の発生や拡大を未然に防ぐことが求められます。