2025.04.03

#25 IPA 10大脅威 2025「複数の脅威に有効な7つの対策」 ～対策し続けるために弊社ができること～

情報漏洩対策

セキュリティ

ランサムウェア対策

はじめに

いつも弊社セキュリティレポートをご愛読いただきまして誠にありがとうございます。

2024年4月に執筆しました#13 IPA 10大脅威 2024年も変わらぬ脅威に引き続き、今年もIPA独立行政法人情報処理推進機構セキュリティセンターより発表された「情報セキュリティ10大脅威 2025［組織］」（以下IPAレポート）^※を素材にして、その1年を振り返り弊社の取り組みや考え方をご紹介いたします。

昨年はIPAレポートと同時に発表される「セキュリティ対策の基本と共通対策」にも着目し、「対策し続けること・運用の重要性」に着目し、本レポートを執筆いたしました。

本年は「対策し続けるために弊社がお客様にご支援できること」を中心に執筆いたしましたので、是非ご覧ください。

※参考資料：情報セキュリティ10大脅威 2025

情報セキュリティ10大脅威 2025［組織］　 順位の特長は？

情報セキュリティ10大脅威2025 「組織」向け脅威の順位

※IPA独立行政法人情報処理推進機構セキュリティセンター　情報セキュリティ10大脅威 2025［組織編］より引用

2025年のレポートとして特徴的なのは、第7位の「地政学的リスクに起因するサイバー攻撃」と、第8位の「分散型サービス妨害攻撃（DDoS攻撃）」の2点で、それ以外はここ数年恒例のようにランキングに掲載されています。

・第7位「地政学的リスクに起因するサイバー攻撃」

昨今の国家間の外交・安全保障上の対立をきっかけとした嫌がらせや報復のためのサイバー攻撃が、自治体・交通機関・学術機関・マスコミ・シンクタンク等で幅広く発見されました。

・第8位「分散型サービス妨害攻撃（DDoS攻撃）」

ちょうど2024年年末から2025年年始にかけて交通機関と複数の金融機関で障害が起きたことは記憶に新しく、昨今の国際情勢と国内の身近な事象が反映されたランキングであると推察します。

DDoS攻撃の対策はCDNやWAF、IDS/IPS、DDoS対応サービス等のネットワークの領域が中心となり、今すぐ弊社にできることは限られております。

しかし、従来からセキュリティと性能管理の可視化を生業としている弊社として、それらのDDoS対策製品/サービスとWebサイトの応答遅延やサービスへの支障等を"セキュリティとシステム性能の可視化の両面から何らかのご支援ができるのでは？"と考えています。

「毎年恒例」の理由：変わらない攻撃の「糸口」と変化し巧妙化する「手口」

次に、第7位と第8位以外の順位を占めた項目について話を移したいと思います。

不謹慎な言い方ながら「毎年恒例」となる順位の背景は、攻撃の糸口は本質的に変わってないものの、年々新しい手口が現れ巧妙化するために、それらの対策を徹底させることが困難であることが挙げられます。

加えてクラウドやSaaS等の新しい技術やサービスについてのユーザー側の知識不足や不備もあげられます。

情報セキュリティ対策の基本

※IPA独立行政法人情報処理推進機構セキュリティセンター　情報セキュリティの基本と共通対策2025より引用

クラウドサービスを使う場合の対策の基本+α

※IPA独立行政法人情報処理推進機構セキュリティセンター　情報セキュリティの基本と共通対策2025より引用

IPAレポートの「セキュリティ対策の基本と共通対策」では、攻撃の糸口が本質的に変わっていないので「セキュリティ対策の基本」を唱えています。

しかし徹底が困難であるため、複数の脅威に共通して有効な「共通対策」を実施することで、ある意味、セキュリティ対策の効率的で網羅的なアプローチを推奨しています。

よく耳にします「どこから対策すればいいか？」の答えになるかもしれません。

対策し続けるために弊社がお客様にご支援できること

ここからは「複数の脅威に有効な対策」に目を向けて、「対策し続けるために弊社がお客様にご支援できること」を整理します。

各項目の詳細については、今後配信いたします本年度のセキュリティレポートでお伝えしてまいります。

複数の脅威に有効な対策

※IPA独立行政法人情報処理推進機構セキュリティセンター　情報セキュリティの基本と共通対策2025より引用

①認証を適切に運用する

IPAレポートでは、本人を特定するためのIDとパスワードの設定と運用管理を中心として記述されていますが、組織においてはさらに多要素認証が求められます。

弊社では本人の特定のみならず、認可（適切な権限の付与剥奪）の重要性を提案しています。

社員の入社・異動・昇進・出向・退職等のライフサイクルに沿った適切なアクセス権限の管理や、グローバル組織・グループ会社・業務委託・協力会社等を含む様々な就労形態を加味したアクセス権限の統治について、製品サービスのご提供を通じてお客様を支援しています。

特に、上記の延長において特権アカウントの管理を提案する機会が非常に増えております。

認証/認可/特権の管理については、ぜひ弊社にご相談ください。

多くの事例をもとに、お客様の課題解決を支援いたします。

②情報リテラシー、モラルを向上させる

③添付ファイルの開封やリンク・URLのクリックを安易にしない

こちらの2つは「人のセキュリティ」と言われる領域で、事故を起こさないための教育や訓練と、それでも間違いは起こるので技術を持って守るという、双方のアプローチがあります。

既に多くのお客様はメールとWEBのセキュリティ対策を実施されている領域かと推察しますが、弊社では以下の領域で特徴のあるソリューションを用意し、お客様をご支援いたします。

• • BECも含め検知/防御能力に優れた防御ツール

  • メール攻撃の訓練と教育とリテラシーの分析フォロー

  • メールを介した内部からの情報漏洩の抑止

  • 信頼の証としてのDMARC対応

④適切な報告／連絡／相談を行う

⑤インシデント対応体制を整備し対応する

平時における情報の収集や社内への展開、コミュニケーションはリテラシー向上につながる重要な活動ですし、万が一の際の社内外への報告や相談は、隠ぺいを無くし、お取引先との信頼関係を維持するうえでも重要な活動です。

それらの活動の中核組織としてのCSIRTを組成し、インシデント対応計画書の文書化と専門家を含めたインシデント対応体制の確保が肝になります。

弊社でも多くのお客様からCISRT組成の相談を受け、その組成と定着をご支援しています。

また、多くのお客様に共通して必要な機能や体制であるため「お客様向け特別オファリング」として有事の体制確保と平時からの備えをパッケージにしてお届けする発表を今後予定しています。

IPAレポートには、ネットワーク領域の対策、脆弱性対策、エンドポイントの対策、ネットワーク監視、境界監視、クラウド設定監視、更には統合運用管理ツールやペネトレーションテストの実施まで多岐に渡る対策が記述されています。

このあたりに「一体どこまでやればいいのか」といった疑問が湧いてくる点でもありますし、やり続けるためには、やはり運用人材の確保と育成、高度化への対応がポイントになります。

弊社では、防御技術の提案だけでなく、必ず監視運用も考慮した実績のある製品と監視サービスを推奨、ご提案しています。

また既存の製品を活用される場合においても、シェアード統合SOCで複数防御製品の監視を統合して一元化する統合ログ管理システムと監視体制レベル1の統合と、その後ろ盾としてより高い技術力とサイバー知見を持つレベル2の体制および有事の対応支援であるインシデント対応を組み合わせてご提案しております。

前述「⑥サーバーやPC、ネットワークに適切なセキュリティ対策を行う」は、防御対策ですが、もう一つランサムウェア対策として重要なのが復旧領域の対策です。

多くのお客様が「有事の際、本当に復旧できるのだろうか？」と、様々に連携し複雑化したシステムのバックアップの運用が適切であるか疑問を持たれています。

この対策には、ランサムウェア攻撃の手口を理解した上で、対象となるデータのバックアップの取得、保管、復旧における現状の棚卸評価と対策の立案が必要になります。

弊社ではNIST CSFとそのランサムウェアリスクマネージメント（NISTIR 8374）に基づいた現状の棚卸評価と課題の洗い出しを実施し、グループ会社である株式会社BackStoreのクラウドバックアップサービスで、お客様の課題解決を現状調査から実装までご支援することができます。

まとめ

複数の脅威に有効な7つの対策と、弊社がご支援できることをご紹介いたしました。

次回以降、今回ご紹介した支援内容の詳細と共に、最新の事例や動向をお伝えしてまいります。

ぜひご期待ください。

最後に、筆者は一昨年弊社グループの親会社で起こったインシデントを当事者として体験し対応に追われました。

本当に必要だったことやその体験で学んだことに基づいて、これからもお客様からの相談者になれるよう活動をしてまいります。

ご支援ご鞭撻のほど、よろしくお願いします。

執筆者

本間　将一

営業技術本部 MP統括部　執行役員

2022年2月IIM入社 セキュリティー部門責任者 
外資系大手SIerにて15年あまりセキュリティーサービスの事業責任者として、製品のインテグレーョン、セキュリティーコンサルティング、運用サービスやSOCの事業の企画や販売に従事し、2022年2月より現職に着任。