近年、サイバー攻撃の手口が巧妙化しており、企業にとって情報セキュリティの強化はますます重要になっています。独立行政法人情報処理推進機構（IPA）が発表した「情報セキュリティ10大脅威 2025」を参考に、発表された10個の組織向け脅威の中から特に注意が必要な上位3つの脅威とその対策についてわかりやすく解説します。

「情報セキュリティ10大脅威」とは？

「情報セキュリティ10大脅威」は、IPAが毎年発表する、情報セキュリティに関する主要なリスクをまとめたランキングです。企業や個人が直面するサイバー攻撃の傾向を分析し、前年に発生した社会的に影響が大きかったと考えられる事案を基に作成されます。

発表の目的

企業や組織、個人がサイバー攻撃のリスクを理解し、適切なセキュリティ対策への理解を深めることを目的としています。特に、セキュリティ対策をこれから強化したい企業にとってどのような攻撃が脅威であるのかを把握し、優先的に対策を進めるための重要な情報源となります。

「情報セキュリティ10大脅威 2025」では、組織向けと個人向けの脅威がそれぞれ分類され、それぞれの攻撃手法について詳細に解説されています。

企業が直面する脅威とその対策3選

本記事では組織向け脅威の上位3つについて詳細と対策を説明します。

1. ランサムウェア

ランサムウェアとは、悪意のある第三者が企業や個人のデータを暗号化し、解除のために身代金（ランサム）を要求するサイバー攻撃です。

最近では支払いに応じなければデータを削除したり、外部に流出させると脅される「二重恐喝」型のランサムウェア攻撃が増えています。

「二重恐喝」型とは攻撃者はデータを暗号化するだけでなく、身代金を支払わなければそのデータを公開すると脅迫してきます。

これにより、企業はデータの暗号化によって業務が停止するリスクだけでなく、

• 顧客情報の流出による信頼低下
• 取引先への影響（サプライチェーン全体のリスク拡大）
• 法的責任の発生（個人情報保護法や契約違反による訴訟リスク）

など、より深刻な被害を受ける可能性があります。

ランサムウェアへの対策

①データのバックアップを定期的に取る

バックアップはオフライン環境やクラウドサービスなど、攻撃を受けた際に影響を受けにくい場所に保存しましょう。複数の場所に分散してバックアップを保持するのが望ましいです。

②メールの添付ファイルやリンクが不審ではないか確認する

不審なメールの特徴として、

• 差出人のアドレスが不自然（公式ドメインに似せた偽アドレス）
• 添付ファイルの拡張子が.exeや.zip（不審なプログラムの可能性）
• 本文が短く、リンクをクリックさせる誘導（例：「重要なお知らせです。こちらをクリックしてください。」）

などが挙げられます。不審だと感じたらその時点でメールやファイルを開封しないようにしましょう。

③セキュリティソフトを最新の状態に保つ

最新のウイルスに対応できるよう、定期的にセキュリティソフトを更新しましょう。

ソフトの更新を忘れないようにするコツは、定期的にソフトの更新情報を調べることです。

2. 取引先を通じて狙われる攻撃（サプライチェーン攻撃）

企業の直接的なセキュリティ対策が強化される一方で、攻撃者は直接標的の企業を狙うのではなく、取引先や業務委託先の脆弱性を狙うケースが増えています。

これにより、取引先の脆弱性をつかれることで企業のネットワークに侵入され、不正アクセスや情報漏えいが発生するリスクがあります。

取引先を通じて狙われる攻撃への対策

①取引先のセキュリティ対策を確認する

以下の方法を用いることで、取引先のセキュリティ水準を評価できます。

• セキュリティチェックリストを活用する（情報管理の体制や脆弱性への対応について確認）

参考：IPA作成「情報セキュリティ自社診断」

• セキュリティ認証（ISO27001, SOC2）の取得状況を確認する

②アクセス制限の厳格化

取引先が社内システムにアクセスする場合、最小限の権限のみを付与し、利用期間終了後は速やかにアクセスを無効化する。それによって攻撃が届かないように分断することができる。

③契約書にセキュリティ要件を明記

情報管理に関する責任を明確にし、取引先に適切な対策を義務付ける。

3. システムの脆弱性を狙った攻撃

システムやソフトウェアの脆弱性が悪用されることで、外部から不正にアクセスされるリスクが高まっています。特に、従業員が退職した後に放置されたアカウントや適切に管理されていないシステムが攻撃の標的となることが多いです。

システムの脆弱性への対策

①不要なアカウントや権限を削除する

退職した社員のアカウントが残っていると悪用されるリスクがあります。例として、元社員が意図的に機密情報にアクセスする、外部の攻撃者によって放置されたアカウントを乗っ取られ社内ネットワークへ侵入されるといった事例が実際に起こっています。

そのため、アカウントの整理を定期的に実施し不要な権限を削除することで、アカウントの悪用リスクを低減することができます。

②社内のパソコンを定期的に点検する

点検内容は以下の通りです。

• OSやソフトウェアの最新アップデートが適用されているか
• 不要なソフトウェアがインストールされていないか（不正なプログラムや未承認のアプリがないかチェック）
• ネットワークの異常な通信は発生していないか（通常とは異なる通信が発生していないかログを確認）

まとめ

サイバー攻撃が重大な問題となっている昨今、企業はサイバー攻撃のリスクを正しく認識し、具体的な対策を講じることが求められます。

特に、

• ランサムウェア攻撃による業務停止や情報流出を防ぐため、オフライン・クラウドバックアップの実施や、不審なメールへの警戒を徹底する。

• 取引先を通じた攻撃を防ぐため、取引先のセキュリティチェックを行い、アクセス制限や契約での明確なルールを設ける。

• システムの脆弱性を狙った攻撃に対処するため、不要なアカウントの整理やシステムの定期的な点検を実施し、常に最新のセキュリティ対策を適用する。

これらの対策を実践することは、企業の情報資産を守り、サイバー攻撃のリスクを最小限に抑えることに繋がります。対策は技術的なものだけでなく、従業員の教育や意識改革も重要な要素となります。

サイバー攻撃の手口は年々進化しているため、継続的に最新の脅威動向を把握し、対策を強化し続けることが不可欠です。今できる対策から着実に進め、安全なIT環境を構築しましょう。

今すぐ企業で取り組めるセキュリティ対策チェック項目

以下に本記事読了後すぐに確認できるセキュリティ対策チェック項目を記載するのでぜひが活用ください。

✅ 使用しているソフトウェアやOSが最新のバージョンに更新されているか

✅ データのバックアップを定期的に実施し、オフライン環境やクラウドに保存しているか

✅ 全従業員に対し、不審なメールの見分け方や対処法について教育しているか

✅ 退職者や不要なアカウントの削除、権限の見直しを定期的に実施しているか

✅ パスワードの強化（長く複雑なものにする・二要素認証(ID+パスワード等)を導入）を行っているか