ニュース

最大の脅威は「組織化、ビジネス化するランサムウェア攻撃」。JASAが2025年の情報セキュリティ10大トレンド発表

  • 松永 侑貴惠

2025年1月7日 06:30

 特定非営利活動法人日本セキュリティ監査協会(JASA)は1月6日、セキュリティ監査のテーマを選定するうえで注目すべき10件のランキング「情報セキュリティ監査人が選ぶ2025年の情報セキュリティ十大トレンド」を発表した。

 2025年はランサムウェア攻撃やサイバー攻撃の激化、AIの普及に伴うセキュリティ事故の懸念が上位となった。そして、このような脅威に対し、政府主導での能動的サイバー防御」(アクティブ・サイバー・ディフェンス)の体制の導入をはじめとした、官民を挙げた対策への意識向上が2025年の大きなトレンドになると予測している。1位〜10位の内容は以下の通り(カッコ内は前年の順位)。

  1. 組織化、ビジネス化するランサムウェア攻撃(2)
  2. 国際情勢の不安定化に伴い激化するサイバー攻撃(3)
  3. 野放しになっていませんか?急速に普及するAI利活用(1)
  4. AIの攻撃への悪用(1)
  5. 急がれるサプライチェーンセキュリティ対応 ~上流から下流まで一体となって守る取り組み~(4)
  6. クラウドサービスに起因した大規模障害によるビジネスリスク(12)
  7. サイバー人材不足が引き起こす経営リスクの増加(10)
  8. 進まないDX化 ~「2025年の崖」から転落するリスク~(ランク外)
  9. 急がれるサイバー安全保障への備え ~ 指定事業者の委託先も無縁ではいられない~(13)
  10. 急速なIDの集約化がもたらす被害拡大(ランク外)

 1位に選ばれた「組織化、ビジネス化するランサムウェア攻撃」では、RaaS(Ransomware as a Service)を中心として攻撃者の裾野が広がり、警察庁が発表している令和6年上半期のランサムウェアの被害報告件数が、前年動機より高水準で推移していることを理由として挙げている。ランサムウェアの被害は個別の事業者の被害にとどまらず、サービスの利用者や委託元にも広がる傾向にあり、被害による社会的影響はさらに拡大していくと想定されるとしている。

 2位は「国際情勢の不安定化に伴い激化するサイバー攻撃」。国際情勢が不安定な状況が今後も継続することから、それに伴いサイバー攻撃も増加すると考えられるとし、能動的サイバー防御の導入検討にあわせ、民間においても組織が取るべき対策を見直す必要があるとしている。

 3位は「野放しになっていませんか?急速に普及するAI利活用」。生成AIの誤設定や誤使用に基づく情報漏洩や、プライバシーの侵害、不十分な検証による低品質な製品・サービスが市場に出回ることによるリスクの顕在化により、ブランドや企業に多大な影響を与える可能性があるとしている。

 4位もAIに関連した「AIの攻撃への悪用」。誤情報の拡散、ビジネスメール詐欺の巧妙化、脆弱性の探知の精緻化、脆弱性を悪用するエクスプロイトプログラミングの早期リリース化など、サイバー攻撃のさまざまな分野で生成AIが悪用されることが想定され、既知のリスクであっても、これまでの常識だけで対応できるとは限らないと指摘している。

 5位は「急がれるサプライチェーンセキュリティ対応 ~上流から下流まで一体となって守る取り組み~」。サプライチェーンの中心となる組織が適切にセキュリティ対策を講じても、委託先やサプライチェーンの先でのサイバーインシデントなどが発端となり、サプライチェーン全体に直接・間接的な影響がおよぶ事例も多く、サプライチェーンの多くを占める中小企業においては、セキュリティの取り組みに出せるリソースが枯渇していると指摘する。

 6位は「クラウドサービスに起因した大規模障害によるビジネスリスク」。外部からのサイバー攻撃、利用しているネットワークの障害、ベンダーのアップデートモジュールの不具合など、さまざまな要因により事故は発生し、事業基盤が単一のクラウドサービスに依存してしまうと、障害発生時の影響が大きくなりすぎることから、マルチクラウド・ハイブリッドクラウド活用の可能性や、統制の取れた状態で利用するための監査の重要性を指摘する。

 7位は「サイバー人材不足が引き起こす経営リスクの増加」。サイバーセキュリティの人材不足が深刻化し、レガシーシステムの刷新が急務となってもセキュアなシステムの設計や実装運用を行える人材が確保できず、万が一を想定していないシステムが乱造されることや、サイバー攻撃の被害に遭った際の対応に手間取ることで、企業経営にまで影響する事案が増えることにより、ネット社会全体のサイバーリスクが増大することを指摘する。

 8位は「進まないDX化 ~『2025年の崖』から転落するリスク~」。経済産業省が2018年に発表した「DX レポート」で、2025年までにDXを推進しない場合、国全体で最大年12兆円の損失が生じる「2025年の崖」が指摘された。DXに遅れた企業は、デジタル競争の敗者となり、技術的負債が増加し、結果的にサイバーセキュリティにおけるリスクも増加させる(これを「2025年の崖」からの転落と表現している)。10月にはWindows 10のサポート終了も控える中で、適切なDXの実施と、DXに対応しきれないシステムの運用の両面で、検査主題の設定が必要になるとしている。

 9位は「急がれるサイバー安全保障への備え ~ 指定事業者の委託先も無縁ではいられない~」。重要インフラに対するサイバー攻撃は、安全保障上の大きな懸念事項となっており、重要インフラ事業者にとってサプライチェーン全体のセキュリティを確保することは、事業の継続だけでなく安全保障上も重要な課題となっていると指摘する。

 10位は「急速なIDの集約化がもたらす被害拡大」。利便性向上や顧客の囲い込みのため、各種会員IDの統合やフェデレーションが加速するが、反面、1つの情報漏えいから、芋づる式に被害が拡大するリスクもある。多要素認証など強固な認証手段を用いないシステムにより、被害が広範囲に及ぶセキュリティ事故が増加すると予想している。