2025年の「情報セキュリティ10大脅威」から中小企業が見るべきポイント
- コンステラ
- 7 時間前
- 読了時間: 3分
IPA(情報処理推進機構)が毎年1月に発表している「情報セキュリティ10大脅威」ー
セキュリティの専門家や企業の実務担当者、約200名が前年に起きた事案をもとに審議し、「今、実際に何が起きているか」を示すランキングです。
本記事では、先日発表された2025年版を中小企業の目線で整理します。
2025年の顔ぶれ
組織(企業)向けの10大脅威は、以下のとおりです。
ランサムウェアは2016年から11年連続のランクインで1位。2025年は大企業を狙ったランサムウェア攻撃がニュースなどでも取り上げられ、大きな話題になりました。
また、他の脅威も複数年連続でランク入りしており、「新しい脅威が次々と出てくる」というよりも、「同じ脅威が形を変えながら繰り返し被害を出し続けている」というのが実態に近いといえます。
中小企業は関係している?
ランキングを見ると大企業向けの話に見えますが、実は中小企業にも深く関係しています。
1位のランサムウェア被害は、中小企業でも年々増加しています。
警察庁の資料によると、被害件数の約6割が中小企業となっており、今や大企業以上に影響を受けているといえます。
2位のサプライチェーン攻撃は、大企業を狙うために、その取引先や委託先から侵入する攻撃です。つまり、ターゲットは大企業でも、最初に狙われるのはセキュリティ対策が比較的手薄な中小企業というケースが少なくありません。実際に昨年のアスクル株式会社の事例でも、委託先アカウント(多要素認証未設定)が悪用され、不正アクセスに繋がったことが報告されています。
4位の「システムの脆弱性をついた攻撃」も重要です。IPAの調査によると、全国の中小企業4191社における不正アクセスの原因の約48%が脆弱性であり、その5割近くがセキュリティパッチの未適用等に起因するよみ脆弱性を突かれたものでした。
その他にも10位のビジネスメール詐欺は、「振込先変更」や「社長からの緊急依頼」といったメールで担当者を騙し、送金させる手口です。被害額は数十万〜数百万円規模になることもあります。特に中小企業では、確認フローが簡易、少人数での運用といった背景から、対応が難しい側面があります。
このランキングの使い方
IPAはこのランキングについて、順位が高い脅威だけを優先し、下位の対策が疎かになることを懸念しているとしています。つまり、「上位だけ対策すれば良い、下位は重要でない」ということではありません。このランキングは、「自社が何も対策していない脅威はどれか」を確認するためのチェックリストとして使うのが有効です。
すべてを一度に対策する必要はありません。まずは、パッチは適用されているか、メール確認の仕組みはあるか、ランサムウェア対策はあるか、といった基本的なところから見直してみてください。何もしていないものを1つ見つけるだけでも、リスクを下げることに繋がります。
出典:IPA「情報セキュリティ10大脅威 2025」(https://www.ipa.go.jp/security/10threats/10threats2025.html)
