情報セキュリティ10大脅威2025

１．10年連続ランサムウェア

　IPA（独立行政法人情報処理推進機構）が毎年恒例の「情報セキュリティ10大脅威 2025」をこうひょうしました。なんと10年連続で1位は「ランサム攻撃による被害」でした。

https://www.ipa.go.jp/pressrelease/2024/press20250130.html

ランキングの基準は「情報セキュリティにおける脅威のうち、2024年に社会的影響が大きかったトピック」なので、メールの誤送信等は件数的には圧倒的に多いでしょうが、システム障害等による社会的影響ということでは、ランサムウェアによるサーバ等の暗号化被害は収まるどころか被害内容も多様化しつつあります。

２．多くは脆弱性の放置が原因

　不正アクセスを許す原因としては、VPN機器等の脆弱性を突かれるケースが多いようです。またはアカウント情報の漏洩やなりすましから不正アクセスし、横展開していくというパターンでしょうか。こうした脅威に対しては、いわゆるゼロトラストソリューションによる情報セキュリティ対策を進めている事業者も増えてきているようですが、初期費用・運用費用の面から中小企業においては直ぐに導入するというわけにはいかないようです。

　とはいえ、こうした対策を検討しないでおくことは脅威の放置になります。ゼロトラストは概念なので、特定のソリューションを導入しておしまいというわけではありません。しかしながら、段階的に導入するポイントはあります。

３．三つのステップで

　第一段階としては、不正アクセスという社内ネットワークの入口対策の強化です。アカウント管理サービスとセットで多要素認証の導入により、アクセス制限を強化します。また自宅などにおける仕事の割買いが多いケースでは、利用者エンドポイント機器であるノートPCにEDRを導入しておくことで、ふるまい検知→対応を自動化や遠隔監視（別途サービス）をすることも大切です。

　第二段階としては、インターネットへのアクセスにおける通信制御です。何でもかんでもWEBサイトにアクセスできるのは危険です。なりすましサイトに誘導されてアカウント情報を盗まれるというケースもあり、業務に関係のないWEBサイトへはアクセスできない、会社が許可しているクラウドサービスにしかアクセスできないような利用対策が必要です。

　こうした通信監視をすることで、野良端末や許可していないクラウドサービスの自由利用を制限します。いわゆるシャドーIT対策というものです。

　第三段かとしては、日々、収集されるPC等の操作ログやインターネット通信等のログなどを統合的に集計・分析して脅威をブロックしたり、内部者による不正な情報の持ち出しを制限したりするデータ漏洩防止対策等の出口対策の導入です。

４．「2024年度中小企業等実態調査結果」速報版の読み解き

　IPAからは、「2024年度中小企業における情報セキュリティ対策の実態調査報告書」の速報版(本プレスリリース)も公開されています。

https://www.ipa.go.jp/pressrelease/2024/press20250214.html#topics_01

詳細な報告書は4月頃にIPAのウェブサイトで公開される予定ですが、気になった点を少しだけコメントします。

①貴社が受けたサイバー攻撃の手口

　脆弱性管理ができていないことがトップ。

　サイバーハイジーン（衛生管理）をしておけば、かなりの脅威を防げるので、今一度、基本的な対策を継続して行うことが必要です（継続は力なり）。

　ID・パスワードは漏洩しているものと考えたほうがいいでしょうし、多要素認証は必須になりつつあります。サイバーセキュリティ対策における入口対策の肝なので、ここを突破されたら内部で検知・撃退・データ漏洩防止（出口対策）を施していなければ横展開（ラテラルムーブメント：外部の攻撃者やマルウェアが企業の内部ネットワークの侵入に成功した後、ネットワーク内を横移動し侵害範囲を拡大していく攻撃手法）されてランサムウェア感染という事例は、ここ何年もの間、定番のインシデントになっています。

　ICTサプライチェーンによるインシデントも増えています。堅牢な大手企業よりもその取引先である下請け中小企業に不正アクセスして、そこから元請企業を狙うという手口です。この観点からもASM（アタックサーフェス管理）の重要性が叫ばれています。

②貴社が受けたサイバー攻撃の被害

　自社サイトやサービスの停止は、事業継続の面から業績に直結します。インシデントというと個人情報や機密情報の漏洩（機密性の喪失）をイメージされると思いますが、実はサービス停止（昨年のニコニコ動画のサービス停止：可用性の喪失）のように収益の減少（プラス損害賠償のケースも）による業績悪化のほうが怖いのです。

　情報セキュリティにおけるリスクマネジメントとは、このようなビジネスリスクの観点から適切にアセスメントをして対策を講じておかないと最悪倒産という事態を招きかねず、まさにマネジメントの責任においても重要なのです。

③サイバーインシデントにより取引先に影響があった

②でふれたように自社の被害は顧客や取引先にも波及するので、まさに事業継続の危機に直結しています。

④約7割の企業が組織的なセキュリティ体制が整備されていない

　そもそもの問題は、情報セキュリティのリスクマネジメントが機能していないことです。ISMSを取得しているとかPマークを持っているとかは意味がありません。適切な運用がなされて認証を受けているかどうかが問われています。

　そのためには現状分析（脆弱性診断）を行って、脅威からの侵害を受けにくくする対策が必要です。またサイバー攻撃の脅威は変化しているので、一度対策をしたらおしまいではなく、定期的に脆弱性診断をして継続的な対策が必要です。

⑤過去3期における情報セキュリティ対策投資を行っていない企業は約6割

投資金額を見ると100万円未満が圧倒的に多いです。確かに情報セキュリティ投資は費用対効果が見えにくいといえます。しかし、ある日、突然、サイバー攻撃によって会社が倒産するリスクに対する投資と考えれば必須です。

　もっと現実的に考えると、情報システム管理者を一人雇用するとなると年収700万円くらいは必要になります（毎年）。社会保険料コストや福利厚生費等を合わせると人材によっては1,000万円くらいになるでしょう。しかし、24時間365日監視してくれるわけではありません。週休二日、有給五日以上、年末年始・夏休みなど、未稼働日の監視はできません。

　しかも、中小企業で自社サーバをおいて管理するというのは現実的ではないでしょうから、手頃なクラウドサービスを複数導入してリモートワーク（在宅勤務や出張先業務）でアクセスするとなるとゼロトラスト的な情報セキュリティが必要になります。ここに1,000万円とまでいかなくとも500万円以上1,000万円以下の投資をするなら、費用対効果の面からも許容できるはずです（実際には企業規模によりもっとかかることがあります）。そうした意思決定の検討すらしていないとしたら、マネジメントの怠慢です。

⑥情報セキュリティ関連製品やサービスの導入状況は微増

　さて、少額な情報セキュリティ投資の内容を見ていると「マルウェア対策ソフト・サービスの導入」がトップですね。IT資産管理の投資も少なく、脆弱性の高いアタックサーフェスであるPC端末等の管理・把握ができていなければ、そりゃあ攻撃者につけこまれます。

　冒頭の入口対策の面からみると、アイデンティティ管理ができていないことと相まって、「さあ、侵入してください」と言っているようなものです。

⑦セキュリティ対策投資を行っている企業の約5割が、取引につながった

　おやおや、情報セキュリティ投資が取引につながるということは、費用対効果がありますね。

⑧サイバーセキュリティお助け隊サービスの導入企業の5割以上が、セキュリティ対策の導入が容易

　ワンパッケージで導入が可能はメリットかもしれません。しかし、サイバーセキュリティ対策の基本は多層防御やシステムの冗長性も考慮する必要があります。対策をしたら不正アクセスを受けないとか内部不正がなくなるということではありません。リスクを軽減できるだけであり、そのまま放置していたらリスクは増加することでしょう。サイバー攻撃の脅威は年々巧妙化しています。

　事業の継続のためにも情報セキュリティについてのリスクマネジメントが重要な時代です。