「情報セキュリティ10大脅威 2025」を中小企業向けに解説。対策例も紹介

「情報セキュリティ10大脅威 2025」を参照すると、セキュリティ脅威の最新状況が把握できます。情報セキュリティ10大脅威 2025に上がった項目から、中小企業が対策したい脅威をピックアップしました。中小企業ができるセキュリティ対策の例も紹介します。

「情報セキュリティ10大脅威 2025」とは

取引先などからセキュリティに関する指摘を受け、どのような脅威に対策すればよいのか悩んでいる中小企業も多いのではないでしょうか。「情報セキュリティ10大脅威 2025」の概要と、どのように生かせるのかを解説します。

2024年に起きた重大なセキュリティ脅威の項目

「情報セキュリティ10大脅威」とは、2016年から毎年IPA（情報処理推進機構）が発表している、重大なセキュリティ脅威の項目です。

情報セキュリティ10大脅威 2025では、2024年に起きたセキュリティインシデントで社会的な影響が大きかったと推定されるものからIPAが候補を選出し、さらに「10大脅威選考会」が脅威を10個選出・順位付けしています。「組織編」の情報セキュリティ10大脅威は順位付けされており、「個人編」の場合は10項目が羅列されているのみです。

参考：情報セキュリティ10大脅威 2025 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構

自社でのセキュリティ対策を検討する材料となる

情報セキュリティ10大脅威は、セキュリティに関する最新動向を把握して対策を考えるための材料として、毎年多数の企業が参照している情報です。

脅威を選出・順位付けしている10大脅威選考会は、情報セキュリティ専門家を中心に構成されています。専門家の視点で候補に挙がった脅威に投票し優先順位を付けているため、信頼度は高いでしょう。

参考：情報セキュリティ10大脅威 2025「解説書 [組織編] 60ページ」PDF P.4 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構

情報セキュリティ10大脅威 2025で中小企業が注意したい項目

情報セキュリティ10大脅威 2025のうち、特に中小企業に影響があると考えられるものは6項目です。それぞれの脅威が何を指すのかを、選出された背景とともに簡単に整理しました。

参考：情報セキュリティ10大脅威 2025 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構

1位「ランサム攻撃による被害」

ランサム攻撃（ランサムウェアによる攻撃）とは、感染すると端末のロックやデータの暗号化・窃取などにより情報を「人質」に取って、金銭を要求するサイバー攻撃です。

ランサム攻撃による被害は2016年以降10年連続10回目の選出で、常に上位に上がっています。アタックサーフェス（サイバー攻撃の対象になる領域）が、クラウド化やDX・IoT活用の推進が進んだことで増えていると考えられます。

参考：情報セキュリティ10大脅威 2025「解説書 [組織編] 60ページ」PDF P.11〜12 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構

2位「サプライチェーンや委託先を狙った攻撃」

サプライチェーンや委託先を狙った攻撃は、ターゲット企業ではなく、そのサプライチェーン（委託先・取引先・子会社など）を通じた攻撃です。

ターゲット企業のセキュリティが強固な場合、攻撃者はターゲットよりセキュリティ対策が弱いサプライチェーンを通じて、情報を窃取する場合があります。近年はサプライチェーンを狙った攻撃が増えてきました。

参考：情報セキュリティ10大脅威 2025「解説書 [組織編] 60ページ」PDF P.13〜14 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構

3位「システムの脆弱性を突いた攻撃」

OSやソフトウェアなどの脆弱性が発見されたとき、システムのベンダーは脆弱性情報を公開して対応策を発表します。この情報を利用して脆弱化したシステムを狙って行われるのが、システムの脆弱性を突いた攻撃です。

脆弱性が発覚してから攻撃までの期間も、近年は短くなってきました。脆弱性対策情報の公開前に仕掛けられる「ゼロデイ攻撃」も起こっています。

中小企業ではIT資産の正確な把握・管理が手薄になりがちで、OSやアプリケーションのアップデート適用漏れが、この種の攻撃を招く大きな原因です。まずは既知の脆弱性を放置しないための体制（IT資産管理）の構築が不可欠です。

参考：情報セキュリティ10大脅威 2025「解説書 [組織編] 60ページ」PDF P.15〜16 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構

4位「内部不正による情報漏えい等」

内部不正による情報漏えい等とは、従業員や元従業員による意図的な機密情報の持ち出し、社内の重要情報の削除などです。企業にとっては社会的信用を失うほか、場合によっては損害賠償責任を負うリスクがあります。

1位の「ランサム攻撃による被害」と同様、10年連続10回目の選出です。依然として、組織内部の悪意による情報漏えいは続いています。

この種の不正は正当なアクセス権限を持つ社員によって行われるため、従来の境界型防御では防げません。PCの操作ログなどにより、不審なファイルアクセスやデータ持ち出しの兆候を早期に検知できる仕組みが、被害を未然に防ぐ唯一の方法となります。

参考：情報セキュリティ10大脅威 2025「解説書 [組織編] 60ページ」PDF P.17〜18 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構

9位「ビジネスメール詐欺」

ビジネスメール詐欺とは、ターゲット企業や取引先の従業員になりすました第三者からのメールで、偽の銀行口座に金銭を振り込ませる攻撃です。攻撃者はなりすました人物に文面を似せて作るため、メールアドレスのドメインなど細部を確認しないと、だまされてしまう恐れがあります。

AIを使ったビジネスメール詐欺も、AI技術の進歩とともに増えてきました。こちらは8年連続8回目の選出となっています。

参考：情報セキュリティ10大脅威 2025「解説書 [組織編] 60ページ」PDF P.27〜28 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構

10位「不注意による情報漏えい等」

不注意による情報漏えい等は、従業員の意図しない行動によって情報が外部に漏れてしまうことです。システムの設定ミスやUSBメモリのような記録媒体の紛失などが、例として挙げられます。

不注意であっても、情報漏えいが起こると社会的な信用が低下します。被害者への謝罪や補償のような、事後対応の負担も大きいでしょう。不注意による情報漏えいは、従業員が情報管理の重要性を十分に認識していないために起こるケースが大半です。データの持ち出しやUSBの利用といった危険な操作をログで記録し、社員に『見られている』という意識を持たせることで、不注意を大幅に減らすことができます。

参考：情報セキュリティ10大脅威 2025「解説書 [組織編] 60ページ」PDF P.29〜30 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構

中小企業ができるセキュリティ対策

情報セキュリティ10大脅威に含まれていない事項に、対策が不要とはいえません。ただ、企業がセキュリティ対策を考えるとき重視したい脅威として検討できます。情報セキュリティ10大脅威 2025を参考に、主にサプライチェーンにおいて受注企業である場合が多い中小企業が、取り得る対策を見てみましょう。

IT資産の状況を正確に把握・管理する

OSやソフトウェアをアップデートしていないなど、システムの脆弱性を高めている状態に気付けなければ、対策を講じられません。IT資産管理ツール「Watchy」のように、ハードウェア・ソフトウェアのバージョンやシリアル番号などを一元管理できたりデバイスを更新できたりと、脆弱性のチェック・改善が可能なツールを導入するのも一つの方法です。

また、不正や不注意による情報漏えい・ランサム攻撃による被害を防ぐためにも、IT資産がどのように使われているかを監視する必要があります。Watchyでは、フォルダやWeb操作・ソフトウェアなどのログを取得して監視することも可能です。

Watchy（ウォッチー） - クラウド型IT資産管理・ログ管理ツール

従業員の教育を徹底する

情報セキュリティ10大脅威 2025で中小企業が注目したい項目に挙げたうち、以下の脅威は従業員の教育によってある程度防げます。

• ランサム攻撃による被害
• 内部不正による情報漏えい等
• ビジネスメール詐欺
• 不注意による情報漏えい等

例えば、重大な脅威の1位に挙がっているランサム攻撃による被害では、攻撃者が危険なWebサイトやメールにランサムウェアを埋め込んでいる場合もあります。不用意に信頼できないWebサイトにアクセスしたり、送信元を確認できないメールを開いたりしないよう周知が必要です。

不正や不注意による情報漏えいには、情報リテラシーやモラル・コンプライアンス意識を高める教育の徹底が効果的でしょう。

「サプライチェーン強化に向けたセキュリティ対策評価制度」の認証マーク取得を目指す

情報セキュリティ10大脅威 2025で2位に入った「サプライチェーンや委託先を狙った攻撃」は、発注側にとっても受注側にとっても重大な脅威です。受注側ができる対策の一つとして、2026年下期から運用が開始される「サプライチェーン強化に向けたセキュリティ対策評価制度」の認証マーク取得を目指す方法があります。

これは従来の「SECURITY ACTION（★、★★のみ。自己評価）」のさらに上のレベルとして、★3〜★5のレベルの認証マークを取得するために評価を受ける制度です。受注企業が目指すべきレベルの目安も提示されているので、どの程度のセキュリティ対策を講じればよいのか判断しやすくなります。

関連記事：サプライチェーン強化に向けたセキュリティ対策評価制度とは？概要と対策

参考：「サプライチェーン強化に向けたセキュリティ対策評価制度構築に向けた中間取りまとめ」を公表しました （METI/経済産業省）

参考：SECURITY ACTION セキュリティ対策自己宣言｜IPA（独立行政法人 情報処理推進機構）

参考：サプライチェーン強化に向けたセキュリティ対策評価制度構築に向けた中間取りまとめ「サプライチェーン強化に向けたセキュリティ対策評価制度構築に向けた中間取りまとめ（概要）」PDF、「サプライチェーン強化に向けたセキュリティ対策評価制度構築に向けた中間取りまとめ」PDF P.19（METI/経済産業省）

情報セキュリティ10大脅威 2025をセキュリティ対策の参考に

自社でのセキュリティ対策について、何から手を付ければよいのか迷っている場合は、「情報セキュリティ10大脅威」を参照し、対策の優先順位を定めてみましょう。情報セキュリティ10大脅威 2025の「組織編」は、2024年に起きたセキュリティインシデントの候補から専門家が1〜10位までを順位付けしたものです。

中小企業が重点的に対策したい脅威には、「ランサム攻撃による被害」「サプライチェーンや委託先を狙った攻撃」「システムの脆弱性を突いた攻撃」などが挙げられます。内部不正や不注意による情報漏えいや、ビジネスメール詐欺も無視できません。

2026年度から運用が始まる「サプライチェーン強化に向けたセキュリティ対策評価制度」も意識しつつ、IT資産の管理・状況把握や従業員教育など、基本的な対策からセキュリティ水準の向上を図りましょう。