公開日:2025年5月7日
ISMS認証取得 = 情報セキュリティ強化の基盤を築きます!
情報セキュリティの脅威から組織を守るには、単発的な対策ではなく、体系的なマネジメントシステムの構築が効果的です。ISMS認証(ISO/IEC 27001)の取得により、自社のどこにリスクがあるかを把握し、それに対して効果的な対策を講じることができます。
この記事は 16 分で読了することができます。
「セキュリティ対策、何から始めれば良いのだろう」
「最新の脅威に対応できる体制を整えたいが、具体的に何をすれば?」
「経営層へのセキュリティ予算確保のための資料が欲しい…」
このような悩みを抱えている経営層や情報セキュリティ担当者の方も多いのではないでしょうか?
ぜひ最後までお読みいただき、セキュリティ対策の第一歩を踏み出しましょう!
2. 「情報セキュリティ10大脅威2025」注目すべき新たな脅威とは?
【初選出】地政学リスクに起因するサイバー攻撃の特徴
【5年ぶりに選出】分散型サービス妨害攻撃(DDoS攻撃)の特徴
【継続してランクイン】ランサムウェア攻撃の特徴と最新手口
3.「情報セキュリティ10大脅威2025」代表的な攻撃手口とその対策とは?
1位 ランサム攻撃による被害
2位 サプライチェーンや委託先を狙った攻撃
3位 システムの脆弱性を突いた攻撃
4位 内部不正による情報漏えい等
5位 機密情報等を狙った標的型攻撃
6位 リモートワーク等の環境や仕組みを狙った攻撃
7位 地政学的リスクに起因するサイバー攻撃
8位 分散型サービス妨害攻撃(DDoS攻撃)
9位 ビジネスメール詐欺
10位 不注意による情報漏えい等
4. ISMS(ISO/IEC 27001)導入で体系的なセキュリティ対策を
情報セキュリティの脅威から組織を守るには、単発的な対策ではなく、体系的なマネジメントシステムの構築が効果的です。ISMS認証(ISO/IEC 27001)の取得により、自社のどこにリスクがあるかを把握し、それに対して効果的な対策を講じることができます。
IPAが発表する「情報セキュリティ10大脅威」は、前年に社会的影響が大きかったと考えられる情報セキュリティの脅威を、ランキング形式で紹介したものです。
最新のセキュリティリスクを把握し、適切な対策を講じるための貴重な指針となっています。
▸IPA発表 情報セキュリティ10大脅威 2025
https://www.ipa.go.jp/security/10threats/10threats2025.html
毎年公表されるこのリストには、個人や企業に対する脅威とその対策が含まれ、適切な対策を促しています。
組織に対する脅威についてはランキング形式で発表されていますが、順位に関わらず、自社に関係する脅威から対策を行うことが重要です。
それでは、今年特に変化があった脅威、注目すべき脅威について見ていきましょう。
IPAの最新発表によると、この5年間で脅威の順位は大きく動いています。
たとえばサプライチェーンを狙った攻撃は着実に順位を上げていますし、ランサムウェアによる被害も依然として深刻です。
一方、地政学リスクが絡むサイバー攻撃や分散型サービス妨害攻撃(DDoS攻撃)のように急上昇してきたものもあります。
動向に注視し、自社と関連性が高い脅威については早めに対策を練りましょう!
ここからは、今年特に変化があった脅威、注目すべき脅威について、特徴と事例を紹介していきます。
今回初めて選ばれた「地政学リスク起因のサイバー攻撃」とはどのようなものでしょうか?
「地政学リスク起因のサイバー攻撃」は、政治的・経済的対立が背景にあり、ときに国家やその支援を受けた組織が関与します。
標的となる企業や重要インフラは、データ破壊や機密情報の窃取など深刻な被害を被りかねません。
これらの攻撃は高度な技術を持つ攻撃者によって仕掛けられ、通常のセキュリティ対策だけでは不十分なことも多いため、後述する対策を継続的に行う必要があります。
これまでの事例
ロシアを支持するハッカー集団による、日米軍事演習に対する抗議を目的としたサイバー攻撃(2024年10月)
サイバー攻撃グループ MirrorFaceによる、日本の安全保障や先端技術に係る情報窃取を目的としたサイバー攻撃(2024年6月頃)
「分散型サービス妨害攻撃(DDoS攻撃)」とはどのような攻撃でしょうか?
大量のアクセスでサービスを混乱させる手法です。5年ぶりに選出された背景には、攻撃規模の拡大と手口の巧妙化があります。
最近では航空会社や金融機関を狙った事例が注目を集め、多数の利用者に影響を及ぼしました。
攻撃者は複数の踏み台を悪用し、一斉に標的のサーバーへ大量のリクエストを送りつけてシステムを麻痺させます。この結果、Webサービスの停止や大幅な遅延が発生し、企業が提供するオンラインサービスに大きな損害を与える可能性があります。
対策としては、ネットワーク機器やサーバーの負荷分散機能の強化、外部からのトラフィックをリアルタイムに監視する仕組みの導入が有効です。
これまでの事例
日本航空が大規模なDDoS攻撃を受けて一部のシステムに障害が発生。
⇒ 攻撃は社内外を繋ぐネットワーク機器に対して行われ、航空便を利用する郵便物や宅配便などの配達にも影響を及ぼした。(2024年12月)
サイバー攻撃を代行する「IP ストレッサー」という海外サービスを使った、中学生によるサイバー攻撃(2024年12月)
長年上位に位置づけられているランサムウェア攻撃は、組織や生活者に深刻な影響を及ぼしています。
現在、攻撃者側は国家支援型や犯罪組織など多様化しており、脆弱性を突く速度も加速しています。重要インフラはもちろん、広く使われるソフトウェアを提供する企業も狙われやすいです。
これからはセキュリティ教育やバックアップ体制の見直し、さらなる暗号化機能の導入などを定期的に実施し、より強固な防御を構築する必要があります。
これまでの事例
フィッシング攻撃等により従業員のアカウント情報が窃取され、社内ネットワークに侵入されたことによるランサムウェア攻撃を含む大規模なサイバー攻撃。
⇒ 複数のサービスが停止したほか、顧客の個人情報や企業情報が漏えい(2024年6月)
国際ハッカー集団「CyberVolk」による「ノーウェアランサム」攻撃
⇒「研究所のデータ5%を公開し、1万ドルを支払わなければ残95%も公開する」とSNS上で脅迫(2024年10月)
TOP10の順位が注目されがちですが、先述の通り、順位に関わらず、自組織に直接関係ある脅威から対策を始めることが大切です。
この後解説する対策例を確認して、自社の環境に合った方法を実践しましょう!
ここからは、今年の情報セキュリティ10大脅威それぞれの攻撃手口とその対策を一覧でご紹介します。
ランサムウェアに感染させ、端末ロックや PC やサーバーのデータ窃取、暗号化を行い、業務継続困難な状態にする
【経営者層向け対策】
【システム管理者・従業員向け対策】
調達から販売、業務委託等一連の商流において、セキュリティ対策が甘い組織が攻撃される
【経営者層向け対策】
【システム管理者・従業員向け対策】
ソフトウェアの脆弱性に対する対策が行われていないシステムに対して、脆弱性を悪用した攻撃を行う
【経営者層向け対策】
【システム管理者・製品利用者向け対策】
組織の従業員や元従業員等による機密情報の漏えい
【経営者層向け対策】
【システム管理者向け対策】
機密情報等の窃取や業務妨害を目的とした、特定の組織への攻撃
【経営者層向け対策】
【システム管理者・システム管理者向け対策】
【従業員・職員向け対策】
リモートワークの実現に必要な環境や仕組みを狙ったサイバー攻撃
【従業員向け対策】
【経営者層向け対策】
【セキュリティ担当者・システム管理者向け対策】
政治的に対立する周辺国に対し社会的な混乱を引き起こすことを目的としたサイバー攻撃
【経営者層向け対策】
【システム管理者向け対策】
【従業員向け対策】
インターネット上のサービスに大量のアクセスを一斉に仕掛けて高負荷状態にさせる
*DNSサーバー…ドメイン名をIPアドレスに変換する役割を持つシステム
【Webサイトの運営者向け対策】
【サービス事業者向け対策】
取引先や経営者とやりとりするようなビジネスメールを装い、攻撃者が用意した口座へ送金させる等
従業員の不注意等によって意図せず機密情報を漏えい
サイバー攻撃は変化のスピードが速く、新しい手口が次々と生まれています。最新情報を常に確認しながら柔軟に対応することが求められます。
10大脅威を知るだけでなく、それぞれの攻撃パターンをしっかり把握して、実践的な守りを固めていきましょう!
企業規模や業種を問わず、脅威への備えを強化する姿勢が、社会全体のIT安全性を高めるカギになります。
情報セキュリティリスクを総合的に管理するためには、体系的なアプローチが効果的です。
ISMS認証(ISO/IEC 27001:情報セキュリティマネジメントシステム)を取得することで、組織全体で一貫したセキュリティ管理体制を構築できます。
当社東京スタンダードでは、月額9,700円(税抜)からISO/IEC27001認証取得に向けたサポートサービスを提供しています。
マネジメントシステム構築に必要な文書テンプレートを搭載したITツール「T-web」と、専任スタッフによるサポートで、組織の実態に合った効果的なセキュリティ管理体制の構築をお手伝いします。
ISO/IEC 27001認証取得に興味をお持ちの方は、ぜひお気軽にご相談ください。
情報セキュリティの脅威から組織を守るには、単発的な対策ではなく、体系的なマネジメントシステムの構築が効果的です。ISMS認証(ISO/IEC 27001)の取得により、自社のどこにリスクがあるかを把握し、それに対して効果的な対策を講じることができます。
2025年度の情報セキュリティ10大脅威では、ランサムウェアやDDoS攻撃など、組織にとって多様な脅威が存在することが確認できました。
重要なのは、脅威を知るだけで終わらせないことです。初めてセキュリティ対策に取り組む企業でも、以下の基本的な対策から始めることで、セキュリティレベルを向上させることができます。
| セキュリティ対策 | 内容 |
|---|---|
| 多要素認証の導入 | ・特に重要システムや管理者アカウントに優先して導入 ・クラウドサービスやVPN接続にも適用 |
| 定期的なセキュリティ教育の実施 | ・全従業員向けの基本的な教育プログラムの策定 ・標的型メール訓練の定期的な実施 |
| データバックアップの強化 | ・3-2-1ルール(3つのコピー、2種類の媒体、1つはオフサイト)の実践 ・定期的なリストア訓練の実施 |
| セキュリティパッチの適用体制の整備 | ・脆弱性情報の収集と評価の仕組み構築 ・計画的なパッチ適用プロセスの確立 |
| インシデント対応計画の策定 | ・対応フローと責任者の明確化 ・簡易的な訓練の実施と計画の見直し |
ポイント:
まずは「完璧」を目指すのではなく「今できること」から始めましょう。セキュリティ対策は継続的な改善プロセスです。
攻撃手法は日々進化しています。常に最新情報をチェックしながら、自社の防御策をアップデートしていくことが重要です。情報セキュリティへの投資は、企業価値を守り、持続的な成長を支える基盤となります。
情報セキュリティの脅威から組織を守るには、単発的な対策ではなく、体系的なマネジメントシステムの構築が効果的です。ISMS認証(ISO/IEC 27001)の取得により、自社のどこにリスクがあるかを把握し、それに対して効果的な対策を講じることができます。
2023年東京スタンダード設立。エイエスアール株式会社、アームスタンダード株式会社、アフノールジャパン株式会社、QAICジャパン株式会社をグループ会社として持ち、ISO認証登録件数グループ合計5,500件以上の実績を持つ。長年の経験とノウハウを活かして、ISOをより活かすことができるお役立ち情報を発信。
記事の監修者
東京スタンダード編集部
こちらのフォームにご入力後、弊社サービスやISOに関する資料がダウンロードできます。
