IPA「情報セキュリティ10大脅威」を単なるランキングで終わらせない方法：“10大脅威”の本当の読み方とは

情報処理推進機構（IPA）は、「情報セキュリティ10大脅威」を毎年発表している。企業などの組織は、このランキングをどう活用すればいいのか。2025年版を基に解説する。

[渡邉利和，著]

　独立行政法人 情報処理推進機構（IPA）は、毎年「情報セキュリティ10大脅威」をランキング形式で発表している。2025年1月30日に公開された2025年版は、2024年に発生した社会的に影響が大きかったと考えられる情報セキュリティにおける事案から、IPAが脅威候補を選出し、情報セキュリティ分野の研究者や企業の実務担当者などで構成する「10大脅威選考会」が審議と投票をして決定したものだ。

　このたび、選考に参加した選考会メンバーによる解説を聞く機会があったのでご紹介したい。そもそも「情報セキュリティ10大脅威」の情報を企業などの組織はどう活用すべきなのか。単なるランキングではない、その価値とは何だろうか。

「10大脅威」の本当の読み方とは

併せて読みたいお薦め記事

その他脅威の動向

• 信頼していたWebサイトがまさかの感染源？　「水飲み場型攻撃」の手口とは
• 「情報窃取型マルウェア」と「ランサムウェア被害」の関連が浮上　その実態は？

　システムインテグレーターのエーピーコミュニケーションズは、同社のセキュリティ部門に所属する社員3人が「情報セキュリティ10大脅威2025」の選考会委員に選出されたことを公表し、当該社員による説明会を4月中旬に開催した。

　まず、2025年版での「組織」向け脅威のリストは以下のようになっている。

1. ランサム攻撃による被害
2. サプライチェーンや委託先を狙った攻撃
3. システムの脆弱（ぜいじゃく）性を突いた攻撃
4. 内部不正による情報漏えい等
5. 機密情報等を狙った標的型攻撃
6. リモートワーク等の環境や仕組みを狙った攻撃
7. 地政学リスクに起因するサイバー攻撃
8. 分散型サービス妨害攻撃（DDoS攻撃）
9. ビジネスメール詐欺
10. 不注意による情報漏えい等

　今回の特徴は、「地政学リスクに起因するサイバー攻撃」が初めてランクインした点と、「分散型サービス妨害攻撃（DDoS攻撃）」が5年振りにランキングに復活した点だ。一方、ランサムウェアとサプライチェーンに関する上位2つはこの3年間変わっておらず、ずっと脅威であり続けている状況だ。地政学リスクとDDoS以外の項目はいずれも毎年のように取り上げられているもので、効果的な対策が取りにくいことを意味しているものと分析されている。

　“10大脅威”をランキングとして捉えてしまうと「あまり変動がなく面白みに欠ける」という話になりかねないが、説明をした田中 潤子氏（エーピーコミュニケーションズ 0-WAN セキュリティエンジニア）は「危険度ランキングではなく“災害マップ”として見るべき」だと提唱する。ランキングが高いか低いかということではなく、どこにリスクがあるかを俯瞰的に見ていく際の手掛かりとして活用するという考え方だ。

図　10大脅威はランキングではなく災害マップ（提供：エーピーコミュニケーションズ）《クリックで拡大》

　田中氏は実際にユーザー企業にセキュリティ支援を提供した際の経験談として、「クライアントOS『Windows』がセキュリティ警告を出していても、よく分からないからと警告を無視してマルウェアを実行してしまうようなエンドユーザーが、実際に一定数存在する」と指摘する。いつまでも被害が収まらない特殊詐欺と同様、技術力で防御を突破するよりも不注意な人間をだます方が簡単で効果的という理由から、攻撃者もそこをターゲットにさまざまな攻撃を仕掛けてくる。

　そうした事情も踏まえて、田中氏は企業が取るべき対策として「多層防御による統合的なセキュリティ対策」の導入を推奨する。それと同時に教育も必要だという。同氏は「従業員のセキュリティ意識向上は技術対策の基盤」「人的脆弱性を最小限に抑えるには継続的に教育することが必要」という2点を挙げ、「技術と教育の両輪で強固な防御態勢を構築することが重要」だと強調する。