情報処理推進機構(IPA)が発行する「情報セキュリティ白書2025」※1 が公開されました。これはサイバーセキュリティに関する最新の脅威動向や対策を網羅した年次報告書(レポート)です。本記事ではこの白書の内容を初心者にもわかりやすく解説し、情シスが特に注目すべきポイントをまとめます。ランサムウェアから生成AIまで、なぜそれらを理解しておく必要があるのか、ポイントごとに見ていきましょう。
①ランサムウェアや生成AI悪用など、2025年の脅威は高度化しており、中小企業も例外なく狙われている。
②政府は「能動的サイバー防御」やセキュア・バイ・デザインなど、国全体でサイバー対策を強化しており、企業にも連携が求められる。
③基本対策・バックアップ・サプライチェーン対策など、小さな一歩からでも始めることが、事業継続と未来への投資になる。
月曜日の朝にお送りする「情シス『目』ニュース」では、日々発信されるさまざまなトピックスを情シス・エンジニアの方々向けに「再解釈」した情報を掲載中。AI、働き方、経済など幅広いニュースをピックアップし、業務に役立つほか、つい同僚に話したくなる面白い話題まで身近で自分事化しやすくお届けします。
白書2025によれば、近年サイバー空間の脅威はますます増大し、高度化しています。ここでは現在進行形で企業を脅かす主要な脅威動向について解説します。基本的な攻撃であっても油断できない状況にあり、新たな技術の悪用も懸念されています。
2024年以降もランサムウェア攻撃や標的型攻撃、DDoS攻撃などは国内外で多数観測されており、手口も巧妙化しています。実際、国内では大手飲料メーカーや大手エンターテインメント企業がランサムウェア被害を受け、動画配信サービスが停止に追い込まれる深刻な事例も発生しました。中小企業も例外ではなく、白書によれば約23%の中小企業がすでにサイバーインシデントを経験しているのです。にもかかわらず「自社には関係ない」とセキュリティ投資をしていない企業が約62%存在し、その理由の多くが「必要性を感じない」という認識でした。しかし、被害は大企業だけでなく中小企業にも及んでおり、基本的な対策を怠れば事業継続に直結するリスクがあります。いまなお猛威を振るうランサムウェアなど既知の脅威こそ、まず十分な備えが必要なのです。
近年は地政学リスクの高まりを背景に、国家が関与するサイバー攻撃や偽情報(フェイクニュース)の拡散といった“情報戦”も観測されています。特に生成AI(Generative AI)の悪用は新たな脅威として顕在化しています。実際、各国の選挙では生成AIが大量の偽情報作成に利用され、選挙妨害が行われました。こうしたフェイク情報の氾濫は社会の混乱や政府・企業への信頼失墜を招きかねず、国家安全保障上の脅威とみなされています。
さらに白書では、AI関連技術の進展が攻撃側・防御側の双方で顕著である一方、サイバー攻撃によるAIシステム自体への攻撃やAIの悪用への懸念も指摘されています。言い換えれば、AIはサイバーセキュリティにおける両刃の剣です。攻撃者はChatGPTのような生成AIで巧妙なフィッシングメールやマルウェアを作成しやすくなり、防御側もAIで異常検知を高度化できます。情シスにとって生成AIの台頭は無視できないポイントであり、新手の詐欺手口やディープフェイクといったリスクに備えるとともに、自社でのAI活用時にも安全対策を考慮する必要があります。
増大する脅威に対抗すべく、セキュリティ対策の新たな潮流も生まれています。白書2025では国のサイバーセキュリティ政策や技術的取り組みの進展も解説されており、これは中小企業にとっても他人事ではありません。この章では政府主導の施策から企業が今すぐ取り組める対策まで、要チェックなポイントを整理します。
日本政府は近年、サイバー攻撃に対し受け身ではなく積極的に防御する体制(能動的サイバー防御)へシフトしつつあります。実際、2023年には「サイバー対処能力強化法」という法律が制定され、国家サイバー統括室の設置など攻撃を未然に防ぐための体制整備が進められました。政府自らがサイバー攻撃の兆候を早期に察知し、被害発生前に対処することを目指すもので、白書でも今後の官民連携強化が期待されています。
この動きは企業にも重要です。国主導の枠組み強化により、重要インフラやサプライチェーン全体の防御水準が高まると同時に、企業側にも情報共有や迅速な対応が求められるでしょう。情シスは国から発信されるセキュリティ情報や支援策を注視し、自社の対策に活かすことが必要です。サイバー攻撃が深刻化する今、政府も踏み込んだ防御策に乗り出していることを理解しておきましょう。
もう一つのキーワードが「セキュア・バイ・デザイン」です。これはシステムや製品の設計段階からセキュリティを組み込み、脆弱性を事前に排除しようという考え方で、白書でも重要なトレンドとして紹介されています。例えばIoT製品の安全性を「見える化」するJC-STAR(セキュリティ要件適合評価・認証制度)が新たに運用開始され、製品ごとのセキュリティレベルが表示されるようになりました。
また、自社だけでなく取引先を含めたサプライチェーン全体のセキュリティ強化も大きな課題です。白書によれば政府はサプライチェーンのリスク対策を政策的に推進しており、広く企業間でセキュリティ水準を底上げする取り組みが求められています。事実、ある有名セキュリティ製品のアップデート不具合が世界中の航空・医療・金融業界に大規模障害を引き起こした例もあり、一つのソフトウェアの問題がサプライチェーン全体に波及しうる現実が浮き彫りになりました。中小企業も大企業の下請けや取引先である以上、サプライチェーンの一部です。他社ごとと捉えず、自社の製品・サービスにセキュリティを織り込むとともに、仕入先や委託先とも協力して安全性を確保する姿勢が重要です。
では具体的に、情シスは自社でどんな対策に取り組むべきでしょうか。白書の内容やIPAの提言を踏まえ、中小企業に推奨される以下の基本対策をおすすめします。
ウイルス対策ソフトやファイアウォール、メールフィルタリングなどの導入率は中小企業では不十分です(ファイアウォールは導入率37.3%、メールフィルタは16.2%に留まる)。これら基本ツールを揃え、標的型攻撃やランサムウェアへの備えを強化しましょう。
ランサムウェア被害では「バックアップがあっても復元できなかった」ケースが多発しています。重要データのバックアップはもちろん、定期的なリストア(復元)テストを実施し、有事に確実に復元できる体制を整備してください。
専門のセキュリティ担当部署がない企業が大半ですが、外部の力を借りることも検討しましょう。例えば国家資格である情報処理安全確保支援士(登録セキスペ)や、IPAの「サイバーセキュリティお助け隊」サービスなどを活用し、社外の専門家と連携して自社のセキュリティ水準を高めることができます。
前述の通り、自社だけ守っても被害は防ぎきれません。取引先やパートナー企業とも協力し合い、互いにセキュリティ向上に努めることが推奨されています。取引先に基本対策の実施状況を確認したり、情報共有体制を作るなど、チェーン全体での底上げを目指しましょう。
以上のような対策は「今さら基本的すぎる」と感じるかもしれません。しかし白書2025でも強調されている通り、セキュリティは『コスト』ではなく『事業継続のための投資』です。小さな施策でも良いので、できることから着手することが何より重要なのです。
サイバーセキュリティ対策にかける費用は、一見コストに感じられるかもしれません。しかし重大インシデントが起これば、事業停止や信用失墜といった損失は計り知れません。セキュリティは事業を守るための投資であり、攻撃を未然に防ぐことで将来の損失を回避する保険とも言えます。経営層にもこの意識を共有し、積極的な投資判断を促すことが情シスには求められます。
また、セキュリティ対策は一度実施すれば終わりではありません。新しい脅威は日々生まれているため、継続的な体制の見直しと情報収集が不可欠です。例えばIPAのウェブサイトや各種ニュースを定期チェックし、最新の脆弱性情報や攻撃手口をキャッチアップしましょう。生成AIの進化など環境変化にもアンテナを張り、社内ルールや訓練内容をアップデートすることが大切です。常に最新の知見を取り入れ、社内のセキュリティ水準を向上させ続ける姿勢が、将来のリスク軽減に直結します。
白書2025は非常に多くの示唆を与えてくれますが、重要なのはそこから得られた知見を自社の行動につなげることです。解説を読んで理解したポイントをぜひ自社のセキュリティ強化に役立てて、安心・安全な事業運営の実現に繋げていきましょう。
著者:犬を飼っているゴリラ
大手IT企業に入社し、フロントエンド、PFシステムの開発に従事。その後、IaaSサービスなどの各種サービス事業開発に携わったのち、大手HR・販促事業会社に転職した。2018年にMBAを取得し、現在も国内大手メーカーの新規事業企画、プロダクトオーナーなどを担っている。
(TEXT:犬を飼ってるゴリラ、編集:藤冨啓之)
月曜日の朝にお送りする「情シス『目』ニュース」では、日々発信されるさまざまなトピックスを情シス・エンジニアの方々向けに「再解釈」した情報を掲載中。AI、働き方、経済など幅広いニュースをピックアップし、業務に役立つほか、つい同僚に話したくなる面白い話題まで身近で自分事化しやすくお届けします。
本特集はこちら
30秒で理解!フォローして『1日1記事』インプットしよう!
