Security Report

#25 IPA 10大脅威 2025「複数の脅威に有効な7つの対策」 ~対策し続けるために弊社ができること~

作成者: 山本 太郎|Apr 2, 2025 3:00:00 PM

や6

 

 

 

 



 

 

 

 

 

はじめに

いつも弊社セキュリティレポートをご愛読いただきまして誠にありがとうございます。
2024年4月に執筆しました#13 IPA 10大脅威 2024年も変わらぬ脅威に引き続き、今年もIPA独立行政法人情報処理推進機構セキュリティセンターより発表された「情報セキュリティ10大脅威 2025[組織]」(以下IPAレポート)を素材にして、その1年を振り返り弊社の取り組みや考え方をご紹介いたします。
 
昨年はIPAレポートと同時に発表される「セキュリティ対策の基本と共通対策」にも着目し、「対策し続けること・運用の重要性」に着目し、本レポートを執筆いたしました。
本年は「対策し続けるために弊社がお客様にご支援できること」を中心に執筆いたしましたので、是非ご覧ください。

 

※参考資料:情報セキュリティ10大脅威 2025

 

 

情報セキュリティ10大脅威 2025[組織]  順位の特長は?

 

情報セキュリティ10大脅威2025「組織」向けの脅威の順位
順位 「組織」向け脅威 初選出年

10大脅威での取り扱い

(2016年以降)
1
ランサム攻撃による被害
2016年
10年連続10回目
2
サプライチェーンや委託先を狙った攻撃
2019年
7年連続7回目
3
システムの脆弱性を突いた攻撃
2016年
5年連続8回目
4
内部不正による情報漏えい等
2016年
10年連続10回目
5
機密情報等を狙った標的型攻撃
2016年
10年連続10回目
6
リモートワーク等の環境や仕組みを狙った攻撃
2021年
5年連続5回目
7
地政学的リスクに起因するサイバー攻撃 
2025年
初選出
8
分散型サービス妨害攻撃(DDoS 攻撃)
2016年
5年ぶり6回目
9
ビジネスメール詐欺
2018年
8年連続8回目
10
不注意による情報漏えい等
2016年
7年連続8回目
※IPA独立行政法人情報処理推進機構セキュリティセンター 情報セキュリティ10大脅威 2025[組織編] より引用

 

 

2025年のレポートとして特徴的なのは、第7位の「地政学的リスクに起因するサイバー攻撃」と、第8位の「分散型サービス妨害攻撃(DDoS攻撃)」の2点で、それ以外はここ数年恒例のようにランキングに掲載されています。
 
・第7位「地政学的リスクに起因するサイバー攻撃」
昨今の国家間の外交・安全保障上の対立をきっかけとした嫌がらせや報復のためのサイバー攻撃が、自治体・交通機関・学術機関・マスコミ・シンクタンク等で幅広く発見されました。
 
・第8位「分散型サービス妨害攻撃(DDoS攻撃)」
ちょうど2024年年末から2025年年始にかけて交通機関と複数の金融機関で障害が起きたことは記憶に新しく、昨今の国際情勢と国内の身近な事象が反映されたランキングであると推察します。
 
DDoS攻撃の対策はCDNWAFIDS/IPSDDoS対応サービス等のネットワークの領域が中心となり、今すぐ弊社にできることは限られております。
しかし、従来からセキュリティと性能管理の可視化を生業としている弊社として、それらのDDoS対策製品/サービスとWebサイトの応答遅延やサービスへの支障等を"セキュリティとシステム性能の可視化の両面から何らかのご支援ができるのでは?"と考えています。
 

 

「毎年恒例」の理由:変わらない攻撃の「糸口」と変化し巧妙化する「手口」

次に、第7位と第8位以外の順位を占めた項目について話を移したいと思います。

 

不謹慎な言い方ながら「毎年恒例」となる順位の背景は、攻撃の糸口は本質的に変わってないものの、年々新しい手口が現れ巧妙化するために、それらの対策を徹底させることが困難であることが挙げられます。
加えてクラウドやSaaS等の新しい技術やサービスについてのユーザー側の知識不足や不備もあげられます。

 

 

情報セキュリティ対策の基本
攻撃の糸口 情報セキュリティ対策の基本 目的
ソフトウェアの脆弱性 ソフトウェアの更新

脆弱性を解消して脆弱性を悪用した攻撃による

リスクを低減する
マルウェアに感染 セキュリティソフトの利用 攻撃を検知してブロックする
パスワード窃取 パスワードの管理・認証の強化

パスワード窃取による情報漏えい等のリスクを

低減する
設定不備 設定の見直し 誤った設定を悪用した攻撃をされないようにする
誘導(罠にはめる) 脅威・手口を知る 手口から重視すべき対策を理解する
※IPA独立行政法人情報処理推進機構セキュリティセンター セキュリティ対策の基本と共通対策 より引用

 

 

情報セキュリティ対策の基本+α
備える対策

情報セキュリティ対策の基本+α

 目的
クラウドの選定 選定前の事前調査

クラウドサービスのガイドラインに沿った

運営をしている業者やそのサービスを選定する
インシデント前半 責任範囲の明確化(理解)

クラウドサービスを契約する際は、

インシデント発生時に誰(どの組織)がどこまで

インシデント対応する責任があるのかを明確化(理解)する
クラウドの停止 代替案の準備 業務が停止しないように代替策を準備する
クラウドの仕様変更 設定の見直し

更新情報は常に確認し、

仕様変更により意図せず変更された設定は

適切な設定に修正する

(設備不備により発生する情報漏洩や攻撃を防止する。)
※IPA独立行政法人情報処理推進機構セキュリティセンター セキュリティ対策の基本と共通対策 より引用

 

 

 

IPAレポートの「セキュリティ対策の基本と共通対策」では、攻撃の糸口が本質的に変わっていないので「セキュリティ対策の基本」を唱えています。
しかし徹底が困難であるため、複数の脅威に共通して有効な「共通対策」を実施することで、ある意味、セキュリティ対策の効率的で網羅的なアプローチを推奨しています。
よく耳にします「どこから対策すればいいか?」の答えになるかもしれません。

 

 

対策し続けるために弊社がお客様にご支援できること

ここからは「複数の脅威に有効な対策」に目を向けて、「対策し続けるために弊社がお客様にご支援できること」を整理します。
各項目の詳細については、今後配信いたします本年度のセキュリティレポートでお伝えしてまいります。

 

 

複数の脅威に有効な対策
対策 対象
個人 組織
認証を適切に運用する
情報リテラシー、モラルを向上させる
添付ファイルの開封やリンク・URL のクリックを安易にしない
適切な報告/連絡/相談を行う
インシデント対応体制を整備し対応する
サーバーや PC、ネットワークに適切なセキュリティ対策を行う
適切なバックアップ運用を行う 
※IPA独立行政法人情報処理推進機構セキュリティセンター セキュリティ対策の基本と共通対策 より引用
 

 

①認証を適切に運用する
IPAレポートでは、本人を特定するためのIDとパスワードの設定と運用管理を中心として記述されていますが、組織においてはさらに多要素認証が求められます。
弊社では本人の特定のみならず、認可(適切な権限の付与剥奪)の重要性を提案しています。
社員の入社・異動・昇進・出向・退職等のライフサイクルに沿った適切なアクセス権限の管理や、グローバル組織・グループ会社・業務委託・協力会社等を含む様々な就労形態を加味したアクセス権限の統治について、製品サービスのご提供を通じてお客様を支援しています。

特に、上記の延長において特権アカウントの管理を提案する機会が非常に増えております。
認証/認可/特権の管理については、ぜひ弊社にご相談ください。
多くの事例をもとに、お客様の課題解決を支援いたします。
 
②情報リテラシー、モラルを向上させる
③添付ファイルの開封やリンク・URLのクリックを安易にしない
こちらの2つは「人のセキュリティ」と言われる領域で、事故を起こさないための教育や訓練と、それでも間違いは起こるので技術を持って守るという、双方のアプローチがあります。
既に多くのお客様はメールとWEBのセキュリティ対策を実施されている領域かと推察しますが、弊社では以下の領域で特徴のあるソリューションを用意し、お客様をご支援いたします。

 

    • BECも含め検知/防御能力に優れた防御ツール
    • メール攻撃の訓練と教育とリテラシーの分析フォロー
    • メールを介した内部からの情報漏洩の抑止
    • 信頼の証としてのDMARC対応

 

④適切な報告/連絡/相談を行う
⑤インシデント対応体制を整備し対応する
平時における情報の収集や社内への展開、コミュニケーションはリテラシー向上につながる重要な活動ですし、万が一の際の社内外への報告や相談は、隠ぺいを無くし、お取引先との信頼関係を維持するうえでも重要な活動です。
それらの活動の中核組織としてのCSIRTを組成し、インシデント対応計画書の文書化と専門家を含めたインシデント対応体制の確保が肝になります。
弊社でも多くのお客様からCISRT組成の相談を受け、その組成と定着をご支援しています。
また、多くのお客様に共通して必要な機能や体制であるため「お客様向け特別オファリング」として有事の体制確保と平時からの備えをパッケージにしてお届けする発表を今後予定しています。

 

⑥サーバーやPC、ネットワークに適切なセキュリティ対策を行う
IPAレポートには、ネットワーク領域の対策、脆弱性対策、エンドポイントの対策、ネットワーク監視、境界監視、クラウド設定監視、更には統合運用管理ツールやペネトレーションテストの実施まで多岐に渡る対策が記述されています。
このあたりに「一体どこまでやればいいのか」といった疑問が湧いてくる点でもありますし、やり続けるためには、やはり運用人材の確保と育成、高度化への対応がポイントになります。

 

弊社では、防御技術の提案だけでなく、必ず監視運用も考慮した実績のある製品と監視サービスを推奨、ご提案しています。
また既存の製品を活用される場合においても、シェアード統合SOCで複数防御製品の監視を統合して一元化する統合ログ管理システムと監視体制レベル1の統合と、その後ろ盾としてより高い技術力とサイバー知見を持つレベル2の体制および有事の対応支援であるインシデント対応を組み合わせてご提案しております。

 

⑦適切なバックアップ運用を行う
前述「⑥サーバーやPC、ネットワークに適切なセキュリティ対策を行う」は、防御対策ですが、もう一つランサムウェア対策として重要なのが復旧領域の対策です。
多くのお客様が「有事の際、本当に復旧できるのだろうか?」と、様々に連携し複雑化したシステムのバックアップの運用が適切であるか疑問を持たれています。
この対策には、ランサムウェア攻撃の手口を理解した上で、対象となるデータのバックアップの取得、保管、復旧における現状の棚卸評価と対策の立案が必要になります。

 

弊社ではNIST CSFとそのランサムウェアリスクマネージメント(NISTIR 8374)に基づいた現状の棚卸評価と課題の洗い出しを実施し、グループ会社である株式会社BackStoreのクラウドバックアップサービスで、お客様の課題解決を現状調査から実装までご支援することができます。

 

 

まとめ

複数の脅威に有効な7つの対策と、弊社がご支援できることをご紹介いたしました。
次回以降、今回ご紹介した支援内容の詳細と共に、最新の事例や動向をお伝えしてまいります。
ぜひご期待ください。
 
最後に、筆者は一昨年弊社グループの親会社で起こったインシデントを当事者として体験し対応に追われました。
本当に必要だったことやその体験で学んだことに基づいて、これからもお客様からの相談者になれるよう活動をしてまいります。
ご支援ご鞭撻のほど、よろしくお願いします。

 

 

 

 
完全な記事を表示