2025年版 IPA情報セキュリティ白書が示す危機感と対応策:一変する日常を支えるために
独立行政法人情報処理推進機構(IPA)が本年度の『情報セキュリティ白書 2025』を発行しました。
この、『情報セキュリティ白書 2025』の内容から2024年度のセキュリティ状況について何がおこっていたのか。今後、何をしていくべきかについてまとめました。
情報セキュリティ白書2025 要約
2024年度は、サイバー脅威が質・量ともに増大し、その影響が社会・経済基盤全体に波及する「一変する日常」を強く印象づける年となりました
- 脅威の高度化と深刻化:
ランサムウェア攻撃やDDoS攻撃が相次ぎ、国内では総合エンターテインメント企業や印刷会社が被害を受け、サプライチェーンを通じた広範な影響(約60の委託元に影響)が顕在化しました 。国外では重要インフラ(鉄道、空港、水処理施設)へのランサムウェア攻撃も発生しています - 地政学的なリスク:
国家の支援が疑われるサイバー攻撃グループによる、日本の安全保障や先端技術情報の窃取を目的とした組織的な攻撃が継続しています。 - 国内政策の強化:
こうした情勢を受け、国内では「能動的サイバー防御」の実現に向けた法整備(サイバー対処能力強化法など)が進み、「セキュア・バイ・デザイン」の視点に基づくSBOM(Software Bill of Materials)導入やSSDF(セキュア・ソフトウェア開発フレームワーク)導入ガイダンスの発行など、システムの設計段階からのセキュリティ対策強化が推進されています 。
⚠️ 注意すべきことと今後対応していくべきこと(法人別)
白書の内容に基づき、中小企業(SMB)と大企業・重要インフラ事業者が特に注意すべき点と、今後の対応策を整理します。
【SMB向け(中小企業)】
リソースが限られるSMBは、高度なセキュリティ対策の「サプライチェーンの入口」として狙われるリスクに特に注意が必要です 。
| 分野 | 注意すべきこと | 今後対応していくべきこと |
|---|---|---|
| サプライチェーン | 大企業を狙う攻撃の「踏み台」として、セキュリティが不十分な自社が侵入口となるリスク 。自社のインシデントが取引先を含む多数に影響を及ぼす社会的な責任 。 | 保護すべき重要情報の特定と、経営層による内部不正防止の基本方針策定等、全社的な対策体制を整備する 。 |
| IT機器・IoT | セキュリティ対策がほぼ評価されずに調達された安価なIoT機器が、DDoS攻撃などに悪用される「ボットネット」となる危険性 。 | 2025年3月に運用が開始されたIPAのIoT製品向けセキュリティ評価認証制度「JC-STAR」の「★1適合ラベル」を取得した製品を優先的に調達する 。これはマルウェア感染・ボット化防止など、最低限の脅威に対抗するための基準です 。 |
| システム | テレワークやクラウド利用の普及により、従来の境界型防御(ネットワークの出入口対策)だけでは不十分になっている 。 | コストを意識しつつ、エンドポイント(PCや携帯端末)で不審な挙動を監視・対応するEDR製品の導入を検討する 。経済産業省の「IoT機器を開発する中小企業向け製品セキュリティ対策ガイド」などを参考に、セキュリティ対策を進める 。 |
【大企業・重要インフラ事業者向け】
国家支援型攻撃や、広範囲に及ぶサービス影響・情報窃取のリスクに警戒し、より高度で能動的な防御体制の構築が求められます 。
| 分野 | 注意すべきこと | 今後対応していくべきこと |
|---|---|---|
| 国家的脅威 | 大企業を狙う攻撃の「踏み台」として、セキュリティが不十分な自社が侵入口となるリスク 。自社のインシデントが取引先を含む多数に影響を及ぼす社会的な責任 。日本の安全保障や先端技術情報を狙った、国家の関与が疑われる組織的なサイバー攻撃の直接的な標的となるリスク 。 | 能動的サイバー防御実現に向けた政府の取り組み(サイバー対処能力強化法など)と連携し、官民の情報共有の仕組みに積極的に参画する 。 |
| システム開発 | ソフトウェアサプライチェーンの複雑化や、設計段階でのセキュリティ考慮不足(セキュア・バイ・デザインの欠如)による大規模な脆弱性の発生 。 | 経済産業省のガイダンスに基づき、使用するソフトウェアの構成要素を特定・管理するSBOMや、セキュアな開発を促すSSDFを開発プロセスに導入する 。 |
| 攻撃対象領域 | 組織の外部からアクセス可能な資産(VPN機器、Webサービス等)であるAttack Surface(攻撃対象領域)が拡大しており、未把握の脆弱性が狙われるリスク 。 | 外部からアクセス可能な資産を網羅的に把握・管理するASM(Attack Surface Management)ツールを導入し、脆弱性を早期に発見し対処できる体制を構築する 。 |
| クラウド | クラウド利用の浸透により、データの持ち出し・流出のリスクが増大している 。 | クラウドネイティブ環境のリスク(設定・権限管理など)を包括的にカバーするCNAPP(Cloud Native Application Protection Platform)ソリューションの活用を検討する 。IoT製品調達では、政府機関での利用を想定した「JC-STAR」の「★3」や「★4」適合ラベルを取得した製品を選択する |
まとめ
2025年版白書は、サイバーセキュリティが単なるIT部門の課題ではなく、国家安全保障と経済活動の基盤を守るための全社的・社会的な課題であることを示しています。SMBはサプライチェーンの弱点とならない最低限の防御を、大企業は設計段階からの対策と能動的防御を意識し、それぞれの立場で対策を強化していくことが急務です。
今後の記事でより詳しく解説します
- SBOM(Software Bill of Materials)とは何か? その効果は?
- SSDF(セキュア・ソフトウェア開発フレームワーク)とは?
- セキュア・バイ・デザインとは何か? その効果は?
- Attack Surface(攻撃対象領域)とその対応策ASM(Attack Surface Management)ツールとは?
ビジネスを支援する安定したIT環境実現のためのセキュリティ確保情報を発信します。