「一般社団法人 日本セキュリティ監査協会(JASA)」は、今年の情報セキュリティ監査のテーマを選定するうえで注目すべき情報セキュリティのトレンドを「情報セキュリティ監査人が選ぶ2025年の情報セキュリティ十大トレンド」としてとりまとめ公表しました。
これらのトレンドは、企業が今後直面するサイバー脅威や課題を示唆する重要な指針となります。
本記事では、その内容と企業が取るべき対応策について詳しく解説します。
情報セキュリティ十大トレンド 2025年予測
今回の調査ランキングでは、サイバー攻撃の動向、新技術の普及、法制度の変化がセキュリティ業界に与える影響が上位となりました。このトレンド調査は、協会の公認情報セキュリティ監査人資格認定制度により認定を受けた情報セキュリティ監査人約1,900人を対象としたアンケートにより選ばれたものです。
情報セキュリティ監査人が選ぶ 情報セキュリティ十大トレンド(2025年予測)
| ランク | 項目 | ポイント |
|---|---|---|
| 1 (2) | 組織化、ビジネス化するランサムウェア攻撃 | 203 |
| 2 (3) | 国際情勢の不安定化に伴い激化するサイバー攻撃 | 170 |
| 3 (1) | 野放しになっていませんか?急速に普及するAI利活用 | 124 |
| 4 (1) | AIの攻撃への悪用 | 113 |
| 5 (4) | 急がれるサプライチェーンセキュリティ対応 ~上流から下流まで一体となって守る取り組み~ | 103 |
| 6 (12) | クラウドサービスに起因した大規模障害によるビジネスリスク | 91 |
| 7 (10) | サイバー人材不足が引き起こす経営リスクの増加 | 73 |
| 8 (-) | 進まないDX化 ~「2025年の崖」から転落するリスク~ | 71 |
| 9 (13) | 急がれるサイバー安全保障への備え ~ 指定事業者の委託先も無縁ではいられない ~ | 63 |
| 10 (-) | 急速なIDの集約化がもたらす被害拡大 | 59 |
ランキングの上位から簡単に解説いたします。
1. 組織化、ビジネス化するランサムウェア攻撃
ランサムウェアはもはや単独の攻撃者によるものではなく、犯罪者グループが組織化され、ビジネスとして展開されています。高度な技術を持つ攻撃者が、ランサムウェアを「サービス」として提供する形(RaaS:Ransomware as a Service)が広がり、標的とされる企業はさらに多様化しています。2. 国際情勢の不安定化に伴い激化するサイバー攻撃
ウクライナや中東等の国際的な緊張や対立の激化により、国家支援型のサイバー攻撃が増加しています。特に重要インフラやエネルギー分野を標的とした攻撃は、社会全体に大きな影響を与えるリスクを高めています。3. 野放しになっていませんか?急速に普及するAI利活用
AIの利活用が急速に進む一方、そのガイドラインや倫理的な枠組みが追いついていない状況が問題視されています。適切な管理が行われない場合、AIの誤用や事故が発生し、深刻な影響を及ぼす可能性があります。4. AIの攻撃への悪用
生成AIやディープラーニング技術が攻撃者に悪用され、フィッシングメールの作成やマルウェア開発の精度が飛躍的に向上しています。AIを利用した攻撃の「見えない脅威」は、従来のセキュリティ対策だけでは防ぎきれない状況を作り出しています。5. 急がれるサプライチェーンセキュリティ対応~上流から下流まで一体となって守る取り組み~
既に自社のみのセキュリティ対策では不十分な時代に突入しています。サプライチェーン全体を包括的に保護する取り組みが求められており、上流から下流まで一体となった対策が急務です。中小企業を含む取引先のセキュリティ管理も重要な要素です。6. クラウドサービスに起因した大規模障害によるビジネスリスク
クラウドサービスはビジネスの中核を担っていますが、その一方で設定ミスや障害による大規模なサービス停止が頻発しています。クラウド環境の信頼性を確保し、ダウンタイムによる損失を最小限に抑える対策が必要です。7. サイバー人材不足が引き起こす経営リスクの増加
サイバーセキュリティに関する専門人材の不足が、企業全体のリスクマネジメントに影響を与えています。特に中小企業では、限られたリソースで高度化する脅威に対応することが大きな課題となっています。8. 進まないDX化~「2025年の崖」から転落するリスク~
デジタル化(DX)の遅れがもたらす経営リスクは深刻です。「2025年の崖」と呼ばれる既存システムの老朽化や非効率性が、ビジネスの競争力を損ない、サイバー攻撃にも対応できない体制を助長しています。9. 急がれるサイバー安全保障への備え~指定事業者の委託先も無縁ではいられない~
重要インフラを担う事業者に対するサイバー攻撃が増加している中、その委託先や関連事業者もターゲットとなるリスクが高まっています。全体的なセキュリティ強化が国レベルでも必要です。10. 急速なIDの集約化がもたらす被害拡大
マイナ保険証のように、IDやアカウントの統合化が進む一方で、ひとたび侵害されると被害が広範囲に及ぶ可能性があります。多要素認証の導入やアクセス権限の細分化が、被害の最小化に重要な役割を果たします。企業に求められる対策
これらのトレンドを踏まえ、企業は以下の取り組みを検討する必要があります。1.AI活用の目的を明確化し共有
2.ゼロトラストアーキテクチャを取り入れたネットワーク設計の再構築
3.社員に対するセキュリティリテラシー教育の強化
特に社員へのリテラシー教育は急務です。
従業員の教育については、下記の記事をお読みください。
▼従業員のセキュリティリテラシー向上させたい!本当に有効な情報セキュリティ教育方法を解説
AI事業者に求められる対策
また、AI事業者に関しては、以下を検討する必要があると考えられます。1. 基本理念と指針の共有
AIの活用により目指すべき社会像や基本的な価値観(Why)を明確化し、原則や指針(What)を関係者間で共有する
2.ステークホルダーとの対話とアカウンタビリティ
利害関係者との透明性を確保するため、対話プロセスや説明責任を果たす体制が整備・運用されているかが問われます。
3. ガバナンスと文書管理の継続的見直し
AIの利用方法の変化に応じた基準が定義され、一定のイベントや定期的な見直しが実施されているか。また、ガバナンス文書が柔軟に改訂可能な設計となっていることが求められます。
4.経営層によるリスク評価の明示
経営層が自らの言葉でリスクや評価基準を明示し、AIの複雑性に対応した監査体制(内部・外部)が適切に運用されているかが監査で確認されます。
5.知識の継続的更新
経営者や委託先を含む全関係者が、AIに関する最新の知識や考え方を維持する仕組みを持っているか。また、新規・既存対象者への教育やスキルアップが計画的に行われているかも重要です。
まとめ
「情報セキュリティ十大トレンド2025」は、技術の進化と脅威の多様化が交錯する現代社会において、企業や組織が直面する課題を明確にしています。ランサムウェアの巧妙化やAIの悪用、サプライチェーンの脆弱性など、今すぐ取り組むべき課題が多岐にわたります。
今後も進化し続ける脅威に対抗するため、セキュリティの強化を企業戦略の中核に据え、2025年に向けた備えを今すぐ進めることが重要です。
下記記事では、サイバー事故時の被害額も説明しているため、ご興味がありましたらお読みください。
▼サイバー攻撃の企業への被害額は?億単位もありえる被害額|2024年最新版を公開
残念ながら、どの企業もサイバー攻撃を受ける可能性がり、サイバー攻撃のリスクをゼロにすることはできません。
しかしサイバー保険に加入しておくことで万が一の際に生じる損害や多大な労力から自社を守ることが可能です。
今、サイバー保険への加入を悩んでいるのであれば、ぜひこの機会に検討してみてはいかがでしょうか。
サイバー保険を選ぶ際は、大手保険会社の中で比較、検討することをおすすめします。
当サイトの運営会社ファーストプレイスでは、下記5社のサイバー保険を取り扱っています。
サイバー保険を扱う大手メガ損保5社の保険料を無料で一括見積もり・比較いたします。
【取り扱いのある保険会社】
東京海上日動火災保険株式会社
三井住友海上火災保険株式会社
損害保険ジャパン株式会社
あいおいニッセイ同和損害保険株式会社
AIG損害保険株式会社
ご興味のある方はこの機会にぜひ、サイバー保険 一括見積りサイトよりご相談ください。
出典:特定非営利活動法人 日本セキュリティ監査協会(JASA)「監査人の警鐘- 2025年 情報セキュリティ十大トレンド」
