監査人の警鐘- 2025年 情報セキュリティ十大トレンド
2025年01月06日発表
‐ 激化するサイバー脅威に対し、官民ともに段階をあげた対応を ‐
特定非営利活動法人日本セキュリティ監査協会(本部:東京都中央区、会長:手塚 悟、慶應義塾大学教授)は、今年の情報セキュリティ監査のテーマを選定するうえで注目すべき情報セキュリティのトレンドを「情報セキュリティ監査人が選ぶ2025年の情報セキュリティ十大トレンド」としてとりまとめ公表しました。
2025年のトレンドでは、ランサムウェア攻撃、サイバー攻撃の激化が最大の関心事となり、続いてAIの普及に伴う潜在的なセキュリティ事故の懸念が上位を占めました。こういった脅威の増大に対して政府主導での「能動的サイバー防御」(アクティブ・サイバー・ディフェンス)の体制の導入をはじめとした官民あげた対策への意識向上が今年の大きなトレンドと考えられます。さらに安全保障の観点ではサプライチェーンでのセキュリティ対策の重要性、大規模なクラウド障害によるビジネスの可用性への甚大な影響、経営リスクに直結するサイバー人材不足が昨年から継続した課題となっています。
今年の新たなトピックとして、遅れるレガシー対策を問う「2025年の崖」問題、情報漏洩が発生すると芋づる式に被害が拡大するID集約による光と影が顔を出しました。
最先端の動きと共に、既存のシステム等への配慮へも注意を要すると言えます。
これらの各トピックの解説と監査のポイントを別紙の解説文にとりまとめていますので、自社の事業環境に応じて重視するトレンドに焦点を絞り、今年の情報セキュリティ監査計画立案に役立てていただきたいと思います。
情報セキュリティ監査人が選ぶ
情報セキュリティ十大トレンド(2025年予測)
| ランク | 項目 | ポイント |
|---|---|---|
| 1 (2) | 組織化、ビジネス化するランサムウェア攻撃 | 203 |
| 2 (3) | 国際情勢の不安定化に伴い激化するサイバー攻撃 | 170 |
| 3 (1) | 野放しになっていませんか?急速に普及するAI利活用 | 124 |
| 4 (1) | AIの攻撃への悪用 | 113 |
| 5 (4) | 急がれるサプライチェーンセキュリティ対応 ~上流から下流まで一体となって守る取り組み~ | 103 |
| 6 (12) | クラウドサービスに起因した大規模障害によるビジネスリスク | 91 |
| 7 (10) | サイバー人材不足が引き起こす経営リスクの増加 | 73 |
| 8 (-) | 進まないDX化 ~「2025年の崖」から転落するリスク~ | 71 |
| 9 (13) | 急がれるサイバー安全保障への備え ~ 指定事業者の委託先も無縁ではいられない ~ | 63 |
| 10 (-) | 急速なIDの集約化がもたらす被害拡大 | 59 |
()内は前年のランク
なお、十大トレンドの各トピックの解説とそれぞれに対応した監査のポイントについては、下記、内容解説をご参照ください。
第1位には「組織化、ビジネス化するランサムウェア攻撃」が選ばれました。ビジネスを目的としたRaaS(Ransomware as a Service)の流通により、技術的な敷居が下がり攻撃の裾野が広がっています。また高度に組織化された集団による攻撃も多く、企業から大量の個人情報が流出する事件が後を絶ちません。影響は攻撃を受けた企業のみならず、サービスの利用者や委託元への被害が拡大する状況が続くと思われます。
第2位には「国際情勢の不安定化に伴い激化するサイバー攻撃」が選ばれました。ウクライナや中東での紛争に起因し、サイバー攻撃によるシステム破壊や社会の混乱が発生してていることはもちろん、国をまたいだ技術情報の搾取、金銭要求など、攻撃の目的は様々です。これに対して政府ではこれまでの対策より一歩進んだ「能動的サイバー防御」(アクティブ・サイバー・ディフェンス)の実現に向け検討がされており、民間においてもあらためて組織が取るべき対策を見直す必要があると思われます。
第3位は、「野放しになっていませんか? 急速に普及するAI利活用」、続いて第4位には「AIの攻撃への悪用」とAIに関するトピックが注目を集めています。利用者目線では生成AIの利用の手軽さや適用範囲の拡大等、ポジティブな要素がある反面、誤設定や誤使用に基づく情報漏洩や、プライバシーの侵害の発生リスクなど、企業にとってのリスクも拡大すると考えられます。攻撃者目線ではAIを攻撃に悪用したケースが発生し、偽情報の生成や流布、ビジネスメール詐欺の巧妙化、脆弱性の探知の精緻化など悪用の対象は多岐に渡っていくことが想定されます。
第5位には「急がれるサプライチェーンセキュリティ対応」が選ばれています。上流から下流まで一体となって守る取組みと副題がついているように、全体防御が求められる中でサプライチェーンの中核を占める企業は自社のことのみならず、下流まで含めて旗を振る取り組みが今後求められるものと思われます。また関連する項目として第9位に「急がれるサイバー安全保障への備え」が挙げられています。重要インフラに対するサイバー攻撃は、国家を背景とした形でも日常的に行われているなど、安全保障上の大きな懸念であり、重要インフラ事業者にとってサプライチェーン全体のセキュリティを確保することは、事業の継続だけでなく、安全保障上も重要な課題となっています。
その他の項目としては第6位に「クラウドサービスに起因した大規模障害によるビジネスリスク」、第7位に「サイバー人材不足が引き起こす経営リスクの増加」、第8位に「進まないDX化 ~2025年の崖から転落するリスク~」、第10位に個人に紐づくID管理の方向に警鐘を鳴らす「急速なIDの集約化がもたらす被害拡大」が挙げられ様々な観点からのリスクへの対策が必要となるでしょう。これらのトピックを念頭に自社の事業環境に応じて今年の監査の重点を検討するとよいと思われます。
このトレンド調査は、協会の公認情報セキュリティ監査人資格認定制度により認定を受けた情報セキュリティ監査人約1,900人を対象としたアンケートにより選ばれたものです。
アンケート概要
実施時期:2024年11月6日(水)~11月20日(水)
有効回答数:215件
第1位を3ポイント、第2位を2ポイント、第3位を1ポイントとしてそれぞれ換算
総ポイントが同数の場合は、1位の獲得票数が多いものを上位としています。
本件に関するお問い合わせ
特定非営利活動法人 日本セキュリティ監査協会(JASA) 事務局 担当:芹川
〒104-0033 東京都中央区新川1-4-8 フォーラム島田Ⅱ
E-mail:office@jasa.jp