【中小企業向け】情報セキュリティ10大脅威2025【組織編】サマリー

なーんてことにならないように、各自（各社）できることからでいいのでセキュリティ対策しましょうねって話です。

うちは中小企業だから関係ない！とかいうことは全然なくて、『令和６年上半期におけるサイバー空間をめぐる脅威の情勢等について』（警察庁サイバー警察局）によると、ランサムウェアの被害があった企業・団体114件のうち、中小企業は73件にのぼります。

ということで今回は、IPA（独立行政法人 情報処理推進機構）が作成した「情報セキュリティ10大脅威2025 組織編」（以下「解説書」）のサマリーです。

特に中小企業では「リスクは理解しているが、具体的に何をすればよいかわからない」という方も多いと思いすが、この記事をざっと眺めて把握しましょう。

脅威の全体像と本記事の情報概要

10大脅威の選定方法・基準

解説書に掲載された「情報セキュリティ10大脅威2025」は、

• セキュリティ専門家を中心とする選考委員によって
• 前年度（2024年）に発生したサイバー攻撃や事故の事例、社会的影響度、報告件数などを
• 総合的に評価し
• 投票で順位付けられたもの

です。

順位が高いほど「被害規模が大きい」「企業や個人に与えるインパクトが深刻」という傾向が見られますが、あくまで昨今の事例をもとに選定されたランキングであり、どの脅威も看過できない重大なリスクといえます。

解説書に示される10大脅威（組織編）

解説書が投票結果に基づいて選定した「組織向けの10大脅威」は以下のとおりです。

1. ランサム攻撃による被害
2. サプライチェーンや委託先を狙った攻撃
3. システムの脆弱性を突いた攻撃
4. 内部不正による情報漏えい等
5. 機密情報等を狙った標的型攻撃(特定企業を徹底的に狙う攻撃)
6. リモートワーク等の環境や仕組みを狙った攻撃
7. 地政学的リスクに起因するサイバー攻撃
8. 分散型サービス妨害攻撃(DDoS攻撃:大量のアクセスを送り込んで妨害)
9. ビジネスメール詐欺(BEC)
10. 不注意による情報漏えい等

脅威の順位が危険度を表しているわけではなく、「社会的影響が大きい」と判断された順番です。

ランサム攻撃やサプライチェーン攻撃のようにここ数年で急増している手口もあれば、人為的なミス（不注意による情報漏えい）など、昔からあるものが繰り返し上位に入っています。

中小企業ならではのリスク

中小企業には大企業とは異なる独自の事情があり、その結果としてセキュリティが手薄になりやすい面があります。

具体的には、以下のようなリスクが考えられます。

 IT担当者が不在で日常業務が最優先に：

システム更新やバックアップのタイミングが後回しになり、ランサム攻撃などの標的になりやすい

 取引先との連携が多く、外部委託も活発：

サプライチェーン攻撃の踏み台として狙われる可能性

 経営基盤への打撃が大きい：

復旧費用や取引先への損害補填が困難で、信用低下も含めて経営継続に深刻な影響が及ぶ

本記事ではこうした事情を念頭に、より身近な対策事例や小規模組織でも取り入れやすいポイントを中心にご紹介します。

10大脅威のエッセンス紹介

解説書には各脅威ごとに特徴的な攻撃手法と対策例が示されていますが、ここでは中小企業において特に重大な被害につながりやすいものを簡単に取り上げます。

【1位】ランサム攻撃（身代金を要求するウイルス攻撃）

企業のパソコンやサーバーがウイルスに感染し、ファイルを暗号化されて使えなくなる攻撃です。攻撃者は「復旧したければ身代金を支払え」と脅迫し、さらに機密情報を盗んで外部に公表すると脅すケースもあります。

 KADOKAWAの事例（2024年6月）

KADOKAWA社がランサムウェアを含む大規模なサイバー攻撃を受けたと公表。複数のサービスが停止し、8月時点で約25万件以上の個人情報が流出した可能性が明らかになりました¹。攻撃者は従業員のアカウント情報を盗み取り、社内ネットワークに侵入したとみられます。

 ポイント

• バックアップをこまめにとることで、暗号化されても復元できるようにする
• 不審メールの添付やリンクを開く前に相談・確認する社内ルールが大切
• 社員のアカウント情報(パスワード)の流出防止や多要素認証の導入など、認証強化が必須

【2位】サプライチェーンや委託先を狙った攻撃（取引先・委託先経由の侵入）

大企業そのものではなく、取引先や委託先などセキュリティが手薄な企業を踏み台にして最終的に狙う攻撃手法です。関連会社のネットワークやアカウント情報を悪用し、本来の最終ターゲット企業に侵入します。

 イセトーの事例（2024年5月）

業務委託先のイセトー社が不正アクセスを受け、自治体や企業の個人情報が流出。攻撃者はデータを暗号化するとともに、一部を「リークサイト」に掲載して脅迫²。イセトー社の委託元へも大きな被害が及ぶ事態となりました。

 ポイント

• 外部委託先とのセキュリティルールの明確化が欠かせない
• 取引先とやり取りするVPN（リモート接続）やデータ連携の仕組みにも認証やアクセス制限を
• 委託先を含めた定期的なセキュリティチェックで、脆弱な接続経路を放置しない

【3位】システムの脆弱性を突いた攻撃

OSやソフトウェア、ネットワーク機器に潜む「脆弱性（セキュリティの欠陥）」を悪用して侵入する攻撃です。公開された脆弱性情報を元に攻撃ツールが作られ、パッチを当てず放置している企業が狙われやすくなります。

 Palo Alto Networksの事例（2024年4月）

セキュリティベンダーであるPalo Alto Networksの「PAN-OS」に深刻な脆弱性が見つかり、ゼロデイ攻撃（脆弱性発見から修正プログラム提供までに脆弱性を悪用する攻撃）が確認されました³。脆弱性の危険度が最高の10.0で、対策が遅れた企業で被害が出た可能性があります。

 ポイント

• ルータやVPN機器、NASなどインターネットから接続できる機器を常に最新の状態に
• どの機器・ソフトウェアを使っているかを把握し、セキュリティ情報やパッチのリリースを追う
• サポートが切れた古いOSやソフトを使い続けない（更新計画を立ててリプレース）

【4位】内部不正

企業内部の人（在職者や退職者、派遣スタッフなど）が、意図的または不注意で情報を持ち出し、外部へ漏えいさせるリスクです。パスワードを共有していたり、持ち出しルールが曖昧なほど起こりやすくなります。

 プルデンシャル生命保険の事例（2024年4月）

元社員が退職時に顧客情報を不正にコピーし、転職先で流用していたことが発覚⁴。約千件の個人情報が漏えいし、企業の信用と顧客保護に深刻な影響を及ぼしました。退職前の権限を利用した形で、発覚が遅れた模様です。

 ポイント

• 退職・異動時には権限削除やアカウント停止を徹底する
• USBメモリや私物PCでの業務データ持ち出しを制限、ログを監視
• 従業員への情報モラル教育と、違反時の処分ルールを明確化しておく

---

その他、リモートワーク環境の脆弱性、地政学的リスクからの攻撃、DDoS攻撃（大量アクセスでサービスを止める妨害行為）、ビジネスメール詐欺（BEC）、不注意による情報漏えいなど、多岐にわたる脅威が挙げられています。

すべてのリスクに万全を期すことは困難ですが、組織ごとにどの脅威が優先度高いかを把握し、対策を進めることが大切です。

すぐに取り組める対策

解説書では「共通対策」として、複数の脅威に対して実施できるセキュリティ対策を7つ提示しています。ここでは中小企業向けにやりやすい取り組み例を加えてご紹介します。

１：認証を適切に運用する

• パスワードの使い回し禁止、複数の文字種を使うなど基本ルールの徹底
• 多要素認証（MFA:複数の要素を組み合わせる仕組み）の導入も検討

２：情報リテラシー・モラルを向上させる

• もし怪しいメールを受け取ったら開かず相談、攻撃者は巧妙な手口を常にアップデートしている
• 例えば、疑似的なフィッシングメールを社内に送る「フィッシング訓練」で従業員の注意喚起を行う方法があります

３：添付ファイルやリンクを安易に開かない

• 不審なファイルを開く前に一声かける、メール本文中のURLは慎重にクリックする
• 小さな心がけですが、実際に誤ってウイルスファイルを開いてしまうリスクを大幅に下げられます

４：適切な報告／連絡／相談を行う

• インシデントらしき兆候を早期に共有しないと被害が拡大するケースがあります
• 「自分のPCだけかもしれない…」と放置せずに、何かあれば専門家や上司へ即連絡する社内文化づくりが大切です

５：インシデント対応体制を整備して対応する

• 連絡経路と役割分担を明文化する（CSIRTまでは作れなくても、管理者と責任者を決める）
• 例えば、「PCがウイルス感染した際の連絡フロー」「責任者が確認したら外部専門家に相談する手順」などを事前に定めておくと混乱を防ぎます

６：サーバーやPC、ネットワークに適切なセキュリティ対策を行う

• OSやソフトウェアのアップデート、不要ポートの閉鎖、ウイルス対策ソフトなど基本から徹底
• 小規模でも定期点検のサイクルを作り、アップデート漏れを見逃さないことが重要です

７：バックアップ運用を行う

• データを複数の場所へ定期保存（クラウド＋オフラインなど）、ランサム攻撃時の被害を最小化
• 例えば、月1回は外付けHDDにもバックアップし、普段はネットワークから切り離して保管しておく、といった方法があります

小規模企業でもコストを抑えられるヒント

予算が限られる小規模企業であっても、以下のような工夫を行うことで対策費用を大幅に抑えられる可能性があります。

 クラウド型サービスの積極利用

• ウイルス対策やバックアップをクラウドで提供するサービスを利用すれば、専門知識がなくても導入しやすい
• 例えば、オンラインストレージを使って自動バックアップを設定するだけでも効果が大きいです

 自治体や商工会議所の助成プログラム

• 例えば導入費用の一部補助や専門家の無料相談など、地域によってサポートがある

 ログ監視やアラート通知ツール

• 大規模なSOC（セキュリティ監視センター）は難しくても、小さな検知サービスを活用すれば費用を大きく抑えられる

経営面から見るセキュリティ関連情報

経営という視点からは、セキュリティ対策は「リスク管理」と「信頼度向上」の両面で欠かせない投資です。大企業だけでなく、中小企業こそ信用や取引先との関係維持が重要なため、セキュリティ事件は致命的になりかねません。

 外部専門家やMSP（マネージド・サービス・プロバイダー）との連携

• 必要に応じてセキュリティの管理や監視を一部アウトソースし、コア業務に集中

 社内教育の徹底とルール整備

• フィッシング対策訓練や勉強会など、トップダウンで継続して行うことでリテラシーが定着

 補助金や助成金制度の活用

• IPAや経済産業省などが公開する情報をチェックし、コスト面を抑えつつ対策を拡大

まとめ・情報整理

• 解説書の10大脅威は、経営規模に関係なく中小企業にも現実的なリスクをもたらします
• 人的ミスやシステム更新の先延ばしなど、身近なところから脅威が忍び寄るため、段階的にでも対策を始めることが重要です
• 具体的にはパスワード強化やバックアップ体制の確立、VPN(遠隔接続を安全に行う仕組み)機器やソフトの定期アップデートなど、小さな一歩から取りかかりましょう
• 有事の際に慌てないよう、誰に報告し、どう対処するか、連絡体制と責任分担をあらかじめ明確にしておくと安心です

中小企業の経営者の皆さまにとって、セキュリティ対策は「何から始めるか」で迷いやすい領域です。もし同じような悩みをお持ちでしたら、無理に社内だけで抱えこまず、ぜひ専門家や自治体の支援を活用してみてください。サイバー攻撃の被害はいつ起きてもおかしくない時代ですが、日頃の対策の積み重ねが大きなトラブルを避ける助けになります。

1. ランサムウェア攻撃による情報漏洩に関するお知らせ ↩︎
2. 不正アクセスによる個人情報漏えいに関するお詫びとご報告 ↩︎
3. Palo Alto Networks社製PAN-OS GlobalProtectのOSコマンドインジェクションの脆弱性（CVE-2024-3400）に関する注意喚起 ↩︎
4. 当社元社員によるお客さまの個人情報の漏えいに関するお詫びとお知らせ ↩︎