ページの先頭です

ページ内を移動するためのリンク
本文(c)へ

セキュリティの部屋

ここから本文です。

【解説】「情報セキュリティ白書2025(サブタイトル:"一変する日常:支える仕組みを共に築こう")」を中小企業向けに要約

「情報セキュリティ白書2025(サブタイトル:"一変する日常:支える仕組みを共に築こう")」を中小企業向けに要約

掲載情報の概要

  • 掲載日: 2025年10月16日
  • 掲載趣旨
    • 中小企業のサイバーセキュリティ戦略が根本的な転換点を迎えています。
    • 個別の技術的対策に終始する時代は終わり、外部の専門知識や政府の支援制度を積極的に活用し、エコシステム全体でレジリエンス(強靭性)を構築する統合的アプローチが不可欠となります。
    • 本レポートは、この厳しい未来を乗り切るための考え方や取り組みをわかりやすくまとめています。
  • 参照元
    • 生成AIにより原稿案を作成し、編集したものです。

第0章 IPA情報セキュリティ白書2025 刊行の目的

1. 背景と意義

情報セキュリティは、もはやIT部門だけの課題ではなく、企業経営全体に関わる重要なリスク領域となっています。サイバー攻撃の手法は年々高度化・巧妙化しており、企業規模や業種を問わず、あらゆる組織が標的となる可能性があります。特に中小企業は、人的・技術的・予算的な制約から対策が後手に回りやすく、攻撃者にとって「狙いやすい標的」となりがちです。 こうした状況の中、IPA(独立行政法人情報処理推進機構)が毎年発行する「情報セキュリティ白書」は、国内外の脅威動向、政策、技術、組織体制などを体系的に整理し、企業・団体・個人が適切な対策を講じるための指針を提供することを目的としています[1]。これらの情報は、IPAが運営する「セキュリティセンター」でも随時発信されています[3]。

2. 白書の主な目的

  • 脅威の可視化
    国内外で発生しているサイバー攻撃やインシデントの傾向を分析し、企業が直面するリスクを明確にすることで、対策の優先順位を判断する材料を提供します。

  • 政策・制度の理解促進
    日本および諸外国のサイバーセキュリティ政策や法制度の動向を紹介し、企業が制度対応を進めるための基礎情報を提供します。特に中小企業にとっては、制度の変化に気づきにくいため、白書がその橋渡し役を果たします。

  • 技術動向の整理
    AI、ゼロトラスト、量子暗号などの新技術がセキュリティに与える影響を解説し、今後の対策の方向性を示します。技術選定や導入の判断材料として活用できます。

  • 人材育成と組織体制の支援
    セキュリティ人材の不足や組織的な対応力の課題に対し、育成・体制整備のヒントを提供します。特に中小企業では、外部支援の活用方法や社内教育の方向性を示すことが重要です。

  • 中小企業支援
    限られたリソースの中でも実施可能な対策や、活用できる公的支援制度を紹介し、実践的なセキュリティ強化を支援します。白書は「何から始めるべきか」を考える出発点となります[2]。

3. 中小企業にとっての活用価値

情報セキュリティ白書は、単なる統計資料ではなく、「自社に何が起こり得るか」「何をすべきか」を考えるための実践的なガイドです。中小企業にとっては、脅威の全体像を把握し、優先順位をつけて対策を進めるための羅針盤となります。白書を通じて、自社のセキュリティレベルを客観的に見直し、必要な対策を段階的に導入することで、取引先や顧客からの信頼を維持し、事業継続性を高めることが可能になります。

第1章:国内外のサイバー脅威の動向

1-1. インシデント状況(国内外)

2024年度は、世界的にサイバー攻撃の件数と被害規模が増加傾向にありました。特に以下の傾向が顕著です[1]:
  • ランサムウェアの「二重恐喝」(暗号化+情報暴露)による被害の深刻化。
  • 特定業種を狙った標的型攻撃の増加。
  • サプライチェーンを経由した間接的な侵入手法の拡大。
  • DDoS攻撃の再活性化と公共機関への攻撃。
  • 地政学的緊張に起因する国家支援型の攻撃や偽情報の拡散。
内部不正による情報漏えいも見逃せない脅威です。退職者や委託先による情報持ち出し、正規権限を悪用した不正アクセスなど、外部攻撃と異なり発覚が遅れやすく、被害が長期化する傾向があります。中小企業では監視体制が弱く、対策が後手に回るケースが多く見られます。

1-2. 代表的なインシデント事例

  • 国内の中規模病院がランサムウェアに感染し、電子カルテが暗号化。診療業務が数日間停止し、復旧に時間を要した[1]。
  • 米国の大手製造業が、部品供給元の中小企業を経由して侵入され、設計図面が外部に流出[1]。
  • ある中小企業では、退職予定の社員が顧客リストをUSBメモリにコピーし、競合企業に持ち込んでいた。契約条件や価格情報も含まれており、複数の顧客を失い、売上が大幅に減少した。

1-3. 攻撃の動向と技術的特徴

  • AIを悪用したフィッシングメールの自動生成やディープフェイク詐欺の増加[1]。
  • VPN機器やIoT機器のゼロデイ脆弱性を突いた攻撃の多発[1]。
  • 初期侵入後に内部で横展開する多段階攻撃の主流化[1]。
  • 内部不正の巧妙化:正規権限を使った情報持ち出し、外部媒体の利用、退職直前の不正行為など、発覚しにくい手口が増加。

1-4. 中小企業向けの具体的対策

リスク①:バックアップはあるが復元できない
リスク②:取引先経由での侵入(サプライチェーン攻撃)
リスク③:ランサムウェアによる業務停止と情報暴露
リスク④:AIを悪用したフィッシング詐欺
リスク⑤:退職者や内部者による情報持ち出し

第2章:最近のサイバー空間を巡る注目事象(AI・偽情報・認知領域)

2-1. AI技術の進展とセキュリティへの影響

2024年度は、生成AIをはじめとするAI関連技術が急速に進展し、サイバー空間における攻撃・防御の両面で活用が進んでいます[1]。AIは攻撃者にとって、フィッシングメールの自動生成やマルウェアコードの最適化などに利用される一方、防御側でも脅威検知やログ分析の高度化に貢献しています。白書では、AIシステムそのものが攻撃対象となる懸念も示されています[1]。 AIチャットボットや画像生成ツールが誤情報を拡散する事例も報告されており、企業が導入するAIサービスの安全性評価が急務となっています。中小企業では、外部ベンダーのAIサービスを利用するケースが多いため、契約時にセキュリティ要件を明記することが重要です。

2-2. 偽情報の拡散と認知領域への攻撃

地政学的リスクに起因する偽情報の拡散が観測されており、認知領域(人々の認識・判断)を標的とした情報戦がサイバー空間に広がっています[1]。選挙妨害、企業の評判操作、社会的混乱を狙った偽情報がSNSを通じて拡散され、実害を伴う事例も報告されています[1]。 ある企業ではSNS上で拡散された偽情報により製品の安全性に疑念が生じ、販売停止に追い込まれた事例があります。後に誤情報と判明しましたが、回復には数ヶ月を要しました。中小企業では、SNS監視体制や広報対応力が弱く、風評被害への耐性が低い傾向が見受けられます。

2-3. 中小企業向けの具体的対策

リスク①:AIサービスの誤応答や情報漏えい
リスク②:偽情報による風評被害
リスク③:AIを悪用したフィッシング詐欺

第3章:DX推進とセキュリティの両立に向けた取り組み

3-1. DXとセキュリティの関係性

企業や自治体におけるデジタルトランスフォーメーション(DX)の推進は、業務効率化やサービス向上を目的として加速しています。その一方で、DXに伴うシステムの複雑化やクラウド利用の拡大により、セキュリティリスクも増大しています[1]。 白書では、DXの推進にあたっては「セキュリティ・バイ・デザイン」の考え方を取り入れ、システムの設計段階から脆弱性を排除することが重要であると述べられています[1]。また、サプライチェーン全体のセキュリティを評価・強化する制度の整備も進められています[1]。 DXの導入により外部サービスやAPIとの連携が増えることで、境界型防御だけでは不十分となり、ゼロトラスト(何も信頼せず、すべてを検証する)の考え方が求められるようになっています。

3-2. セキュア・バイ・デザインの取り組み

白書では、システムの設計段階からセキュリティを組み込む「セキュア・バイ・デザイン」の重要性が強調されています[1]。具体的には、JC-STAR(セキュリティ要件適合評価およびラベリング制度)の運用開始や、製品・サービスのセキュリティ評価制度の導入が進められています[1]。 これらの制度は、製品開発側だけでなく、**導入・調達する側にも**「選ぶ責任」が求められることを意味します。 **セキュリティ評価済みの製品を優先して選び、ベンダーとの契約時にはセキュリティ要件を具体的に明文化**することが重要です。

3-3. 中小企業向けの具体的対策

リスク①:DX導入による外部接続の増加と脆弱性の露出
リスク②:セキュリティ要件を満たさない製品・サービスの導入
  • 対策:JC-STARなどの認証制度を参考に、セキュリティ評価済みの製品・サービスを選定しましょう。調達時にはセキュリティ要件を明文化し、ベンダーとの契約に反映させることが有効です。
    [13]JC-STAR制度概要(IPA)
リスク③:DX推進に伴う社内体制の未整備

第4章:国際的な政策及び取組の動向

4-1. 各国のサイバーセキュリティ戦略の動向

白書では、米国、EU、英国、アジア諸国などにおけるサイバーセキュリティ政策の最新動向が紹介されています[1]。 米国では「国家サイバーセキュリティ戦略2023」に基づき、重要インフラの防御強化や民間企業への責任分担が進められています。 EUでは「サイバーレジリエンス法」や「NIS2指令」により、製品・サービスのセキュリティ義務が拡大されています[1]。また、英国では「Cyber Essentials」制度を通じて中小企業のセキュリティ対策を促進しており、アジア諸国でも国家主導の教育・訓練プログラムが整備されつつあります[1]。 これらの政策は日本国内の制度設計に影響を与えるだけでなく、**海外と取引する中小企業**は、これらの**法規制や認証制度の遵守**がビジネスの前提となります。

4-2. 国際連携と標準化の取り組み

白書では、国際的なサイバーセキュリティ標準の整備や、各国間の情報共有体制の強化が重要課題として挙げられています[1]。特に、サプライチェーンのセキュリティ確保に向けて、国際標準(ISO/IEC 27001など)の活用や、信頼性評価制度の相互認証が進められています。 また、サイバー攻撃の国境を越えた性質に対応するため、CERT(Computer Emergency Response Team)間の連携や、国際的なインシデント対応演習の実施も強化されています[1]。 日本企業が海外と取引する際には、相手国のセキュリティ基準や法制度を理解し、契約書に反映させることが求められます。

4-3. 中小企業向けの具体的対策

リスク①:海外取引先とのセキュリティ基準の不一致
リスク②:国際的なインシデント対応体制の未整備
リスク③:海外製品・サービスのセキュリティ評価不足

第5章 おわりに

サイバー攻撃の脅威は、規模を問わずすべての企業に及んでいます。
ランサムウェアや標的型攻撃、クラウド利用に伴うリスクなど、情報セキュリティは事業継続と信頼維持の基盤です。情報セキュリティ白書2025では、最新の脅威動向や政策、国際的な取組が整理されており、中小企業にとっても実務に活かせる内容が多数含まれています。 まずは、できるところから始めましょう。 - ポリシーの整備
- 教育訓練の実施
- 外部支援の活用
- 調達時のセキュリティ要件の明文化 など 情報セキュリティは、守るだけでなく、企業の信頼を築く力になります。

関連リンク

[1]IPA 情報セキュリティ白書2025 公式ページ
https://www.ipa.go.jp/publish/wp-security/2025.html

[2]SECURITY ACTION(中小企業向け支援制度)
https://www.ipa.go.jp/security/security-action/

[3]IPA セキュリティセンター
https://www.ipa.go.jp/security/

本文ここまでです。

ページトップへ