序章: 「一変する日常」への警鐘—なぜ今、セキュリティが未来への投資なのか

独立行政法人情報処理推進機構（IPA）が刊行した『情報セキュリティ白書2025』は、2024年度のサイバー脅威の動向と、それに対応する国内外の政策を包括的に分析しています。本白書が発する中心的なメッセージは、サイバー空間を巡る脅威が年々質・量ともに増大し、その影響が「一変する日常」を支える社会基盤や経済活動を根底から揺るがしているという、強い警鐘です。

1.1 激変する脅威環境の概要と白書のメッセージ

2024年度は、国内国外を問わず、ランサムウェア攻撃、標的型攻撃、DDoS攻撃といった多様なサイバー攻撃が猛威を振るいました。攻撃の手口は一層高度化・巧妙化しており、取引先や委託先などのサプライチェーン上のセキュリティ対策が不十分な部分を入口とするものや、複雑なソフトウェアのサプライチェーンの脆弱性を狙ったものが増加しています。

さらに注目すべきは、今般の厳しい国際情勢下において、影響工作を始めとした地政学的背景に起因するサイバー空間のリスクが顕在化している点です。攻撃は単なる金銭目的の犯罪に留まらず、地政学的要因、生成AIの悪用、そしてサプライチェーンの脆弱性といった複数の要因が複合的に絡み合うことで、その破壊力が増幅しています。白書が示す「一変する日常」とは、セキュリティリスクがもはや情報システム部門の問題ではなく、国家安全保障と企業の事業継続の可否を決定する中核的な課題となった、パラダイムシフトへの警鐘と捉えられます。

1.2 DXの深化と「フィジカル空間」へのリスク拡大

現代社会は、データ駆動型の便利で豊かな社会、Society 5.0の実現を目指し、サイバー空間とフィジカル空間の融合（DXの深化）を急速に進めています。IoT機器やロボットなどが経済社会活動と接続されることで、それらが生成するビッグデータがサイバー空間に集積し、生成AIによって解析・最適化されるサイクルが生まれています。

しかし、この融合は同時に、セキュリティ面でのリスクを劇的に増大させています。サイバー攻撃を許す隙が増えるとともに、一度インシデントが発生すると、その影響が瞬時に広範に伝播し、大規模な情報漏えいや、電力、交通、水道などの重要インフラの機能不全をもたらすリスクがますます高まっています。

特に深刻なのは、ITとOT（運用技術）の融合によって、サイバー攻撃が現実世界の重要インフラの停止に直結するようになったことです。セキュリティ障害は、もはやデータ損失の問題に留まらず、人命や社会の物理的な安全を脅かす重大な問題へと変質しています。このため、国外では鉄道、空港、水処理施設などの重要インフラに対するランサムウェア攻撃被害が発生しており、安全保障の観点からも対策が急務となっています。この新たな脅威の次元に対応するため、政府は能動的サイバー防御の法制化といった国家的な対応を推進しています。

1.3 セキュリティ対策は「コスト」か「未来への投資」か？

こうした深刻な脅威環境を踏まえ、企業や事業所はセキュリティ対策に対する意識を根本的に変革する必要があります。経済社会インフラが直面するサイバーリスクへの耐性を確保する観点から、システムの設計段階、すなわちアーキテクチャーレベルでセキュリティを組み込んでいく「セキュア・バイ・デザイン」の視点に立った制度整備や取り組みが、国内でも動き出しています。

セキュリティ対策を単なる「コスト」として必要最低限に抑える発想は、現代のリスク環境では通用しません。予防的なセキュリティ対策をコストと捉えることは、ひとたびインシデントが発生した場合の、巨額の復旧費用、法的な罰則、そして最も重要な顧客や社会からの信頼の失墜という、不可逆的で経済合理性のない被害のリスクを無視することに等しいからです。

むしろ、強固なセキュリティ体制は、取引先や顧客に対する信頼性の証明であり、事業を継続し、市場における競争優位性を確保するための「戦略的投資」と認識を改めるべきです。予防投資の実施は、将来発生し得る巨額の損失を回避し、結果的に企業の競争力とレジリエンスを向上させるための合理的な経営判断となります。

『情報セキュリティ白書2025』が分析した主要な脅威、その対象、および社会への影響を以下に整理します。

主要脅威の概要、対象、社会への影響（2024年度）

第1部: 脅威の最前線—企業と社会を揺るがす三大リスクの深化

2.1 止まらないランサムウェアの進化：サプライチェーン攻撃と二重の被害

2.1.1 手口の巧妙化と二重脅迫の常態化

ランサムウェア攻撃は、その手口が標的型攻撃の手法と組み合わされることで、格段に悪質化しています。攻撃者は、単にデータを暗号化して解除の身代金を要求するだけでなく、事前に機密情報を窃取し、支払いに応じなければそれをインターネット上に暴露すると脅す「二重脅迫型」が主流となりました。これにより、被害はシステム停止による業務の中断に加えて、ブランドイメージの毀損や顧客からの信頼失墜といった、より深刻なものへと拡大しています。

攻撃者側の体制も効率化しています。ランサムウェアの開発者と、それを利用して実際の攻撃を実行するアフィリエイトが分業するRaaS（Ransomware as a Service）モデルが採用され、結果として攻撃グループが激増し、ランサムウェアの世界的な蔓延と持続化に大きな影響を及ぼしています。

2.1.2 サプライチェーンを狙った「連鎖する被害」の深刻さ

ランサムウェア攻撃の主要な特徴の一つが、サプライチェーンを介した攻撃の増加です。攻撃者は、大企業などセキュリティ対策が堅固な組織を直接狙うのではなく、取引先や委託先といった、セキュリティ対策が不十分な中小企業（SME）を侵入の入口として悪用します。

国内では、印刷会社がランサムウェア攻撃を受けた結果、行政機関等から通知書等の印刷と発送を請け負っていた約60の委託元に影響が及んだ事例が報告されています。この事例は、一社のセキュリティの脆弱性が、広範な企業や利用者、さらには公共サービスにまで連鎖的な被害をもたらす「リスクの外部化」が生じていることを具体的に示しています。大企業が防御を固めても、取引先の中小企業が持つ脆弱性がサプライチェーン全体のレジリエンスを低下させるため、中小企業は自社の防御が取引継続に直結する生命線であることを認識し、対策を急ぐ必要があります。

2.1.3 侵入経路の定型化と基本的な対策の不徹底

ランサムウェアの感染経路は、テレワーク等の普及に伴って利用が拡大したネットワーク境界機器に集中しています。2024年のデータによると、ランサムウェアの感染経路として、「VPN機器からの侵入」が55.0%、「リモートデスクトップからの侵入」が31.0%を占め、これら二つの経路で全体の8割を超えています。

このデータは、テレワーク環境を支えるVPNやRDPといった機器の管理が、攻撃者にとって最も容易な侵入口となっている現状を示しています。さらに問題なのは、これらの侵入経路とされる機器において、最新のセキュリティパッチを適用していたのが半数未満であるという事実です。基本的なセキュリティ対策、特に脆弱性修正プログラム（パッチ）の適用や、多要素認証の導入といった「入り口」の防御を怠ることは、組織のサイバー防御における最大の盲点となり、攻撃を許す決定的な要因となっています。

2.2 社会機能への攻撃：DDoSと重要インフラへの脅威

2.2.1 地政学的な動機によるDDoS攻撃の増加

DDoS（Distributed Denial of Service）攻撃は、複数の送信元から同時に大量のアクセスを送り付け、サービスを機能不全に陥らせる攻撃です。2024年度は、地政学的な緊張の高まりを背景に、外交・安全保障上の対立をきっかけとした影響工作の一環としてDDoS攻撃が増加しました。

攻撃の標的は、公共の安全や秩序に影響を与えるイベント関連のサイトに集中しました。例えば、2024年7月、8月にはオリンピック関連のスポンサーやパートナーのWebサイトが標的となり、また世界各国で行われた重要な選挙では、選挙運動、政党、選挙インフラを対象としたDDoS攻撃が観測されました。国内でも、2024年末から2025年初頭にかけて、航空会社、金融機関、携帯通信会社といった社会インフラを担う企業が相次いで大規模なDDoS攻撃を受け、サービス停止が発生しました。

DDoS攻撃の標的が重要インフラに集中していることから、この攻撃の目的は単なる金銭要求から、社会的な混乱を引き起こし、公共の秩序を乱す「影響工作」へとシフトしています。これは、サイバー領域を超えて社会インフラの安定性、ひいては国家安全保障に直結する課題となっています。

2.2.2 攻撃の踏み台にされるIoTデバイス

近年の大規模なDDoS攻撃では、IoTボットネットの悪用が確認されています。これは、セキュリティ対策が不十分な多数のIoT機器（家庭用ルーター、ネットワークカメラ等）がマルウェアに感染し、攻撃者の制御下に置かれて（ボットネット）、重要インフラ企業等へのDDoS攻撃の踏み台として利用される手口です。

この状況は、一般家庭や事業所で利用されているIoTデバイスが、知らず知らずのうちに重要インフラ攻撃に加担してしまうという、新たなリスク構造を生み出しています。つまり、セキュリティ対策を怠ったIoT機器の利用者は、意図せず「加害者化」するリスクに晒されることになります。このリスクを低減するため、IoT製品のセキュリティ評価制度（JC-STAR）の普及が、消費者と社会全体の安全のために不可欠となっています。

2.3 新たな認知戦：AIの悪用と偽・誤情報の脅威

2.3.1 AIリスクの二つの顔：悪用と不適切動作

生成AIの急速な発展は、利便性をもたらす一方で、情報セキュリティ上の新たなリスクを生み出しています。AIがもたらすリスクは、主に「AIの悪用によるリスク（セキュリティ）」と「AIの不適切動作によるリスク（セーフティ）」の二つの側面があります。

AIの悪用によるリスクには、サイバー攻撃者がAIを利用し、悪意あるコードやマルウェアの生成、フィッシングメール作成の高度化、そして偽の画像・動画・音声（ディープフェイク）の大量生成と拡散を行うことが含まれます。これにより、サイバー攻撃の効率と巧妙さが飛躍的に向上しています。

一方、AIの不適切動作によるリスク（セーフティリスク）とは、AIの判断根拠の不明瞭さ（予測不可能性）や、訓練データの偏り（バイアス）による差別や誤判断など、AIシステムが予期せぬ不適切な動作をすることで生じるリスクです。AIの導入は、技術的な防御だけでなく、倫理的なセーフティ、公正性、透明性の確保といった、より複雑なガバナンス課題を企業にもたらしており、倫理的・技術的な責任の拡大が求められています。

2.3.2 偽・誤情報による「認知領域」への攻撃

生成AIの登場により、虚偽の情報（偽情報）や誤った情報（誤情報）の拡散が、質・量ともに脅威を増しています。特に、国家レベルでの情報操作（影響工作）においては、生成AIが偽情報の生成に多用され、特定の政策や社会の分断を狙う目的で使用されています。

偽情報の流布を利用した情報操作型サイバー攻撃は、社会の混乱や分断、政府機関の信頼失墜等を引き起こし、サイバー領域と認知領域の双方にわたる攻撃手段として、国家の安全保障上の脅威と認識されています。

この情報戦に対処するためには、単に技術的な防御を固めるだけでなく、国民一人ひとりの情報リテラシーの向上と、企業や政府機関が情報発信において信頼性を確保することが不可欠です。特にディープフェイク技術の進化は、社会の信頼基盤そのものを揺るがすため、今後も高度な警戒が必要となります。

第2部: 国家のレジリエンス構築—日本が目指す「能動的防御」と政策転換

日本政府は、増大するサイバー脅威、特に国家を背景とする攻撃の激化に対応するため、従来の「受動的な防御」中心の戦略から、「能動的なサイバー防御」へと舵を切る政策転換を進めています。

3.1 サイバー安全保障分野の強化：「能動的サイバー防御」の体制整備

3.1.1 政策目標と法整備

日本は、2022年12月に閣議決定された国家安全保障戦略に基づき、「サイバー安全保障分野での対応能力を欧米主要国と同等以上に向上させる」という目標を掲げました。

この目標を実現するための具体的な体制整備が進行しており、2025年5月には「サイバー対処能力強化法及び同整備法」が成立しました。この法整備は、国民生活や経済活動の基盤、国家及び国民の安全をサイバー攻撃から守るため、被害が発生する前の段階から兆候を探知し、攻撃の主体を特定してその排除のための措置（アクセス・無害化）を講じる能動的サイバー防御の実施を可能にする体制を整えるものです。

この法整備は、日本がサイバー脅威を、平時の犯罪対策としてだけでなく、国家安全保障上の重大な脅威として位置付け、攻撃の兆候段階から排除を目指すという、防御戦略の根本的な転換点を示すものです。

3.2 産業界の足元を固める「セキュア・バイ・デザイン」の徹底

3.2.1 設計段階でのセキュリティ組み込み義務

政府は、経済社会インフラのサイバーリスクへの耐性を確保する観点から、システムの設計段階、すなわちアーキテクチャーレベルでセキュリティを組み込む「セキュア・バイ・デザイン」の視点に立った施策を推進しています。

経済産業省は、その具体的な取り組みとして、「ソフトウェア管理に向けた SBOM（Software Bill of Materials）の導入に関する手引」や「セキュア・ソフトウェア開発フレームワーク（SSDF）導入ガイダンス」を発行しました。SBOMは、ソフトウェアコンポーネントとその依存関係を一覧化するものであり、サプライチェーンリスクの根源であるソフトウェアの不透明性を解消し、脆弱性発生時の対応を迅速化します。これは、リスク責任を開発・供給側に明確化するという国際的な流れに沿ったもので、ソフトウェアの透明性の確保と責任の遡及を可能にします。

3.2.2 サプライチェーン評価制度の検討

サプライチェーンを狙った攻撃が深刻化する中、サプライチェーン強化に向けたセキュリティ対策評価制度の構築に向けた検討が進められています ¹。この制度は、サプライチェーンを構成する企業のセキュリティ対策状況を可視化し、適切な対策の決定と実施を容易にすることを目的としています。

この評価制度が導入されれば、大企業が取引先を選定する際の客観的なセキュリティ指標となり得ます。これにより、中小企業はセキュリティ対策水準の向上を、新たな事業機会として捉える必要が生じます。セキュリティが「取引の前提」となる市場メカニズムが構築されることで、サプライチェーン全体のセキュリティ対策の底上げが期待されます。

3.3 安全なIoT機器選択の基準：「JC-STAR」の運用開始

3.3.1 IoT製品の信頼性確保と見える化

IoT機器の悪用によるDDoS攻撃が増加する中、IoT製品の信頼性確保が急務となっています。2025年3月には、IoT製品のセキュリティ評価認証制度として「セキュリティ要件適合評価及びラベリング制度（JC-STAR）」の運用が開始されました。

この制度の目的は、IoT製品のセキュリティレベルの見える化を図り、消費者が安心して安全な製品を選択できるようにすること、そしてサプライチェーン全体でのセキュリティ向上に貢献することです。

3.3.2 評価基準とライフサイクル管理の重視

JC-STARの評価基準は、IoT製品の特性を踏まえ、以下の3つの視点から構成されています。

1. 共通要件（Common Criteria）: 製品の基本的なセキュリティ機能（認証・アクセス制御、脆弱性対応等）の確保。
2. 追加要件（Add-on Criteria）: 特定の分野や用途（例：スマートホーム、医療機器）に応じた高度なセキュリティ要求事項。
3. ライフサイクル要件（Lifecycle Criteria）: 製品の開発、提供、運用、保守、廃棄といったライフサイクル全体を通じて事業者が実施すべきセキュリティ対策。

特にライフサイクル要件の重視は、IoT機器の寿命が長いという特性を考慮し、販売後の脆弱性対応やアップデート提供体制の継続性をベンダーに義務付け、長期的な安全性を担保しようとする強い意志を示すものです。利用者は、JC-STAR適合ラベルを取得した製品を選択することで、安全性の高い機器を調達することができます。

組織が活用すべき主要な国内セキュリティ政策・制度を以下に整理します。

組織が活用すべき主要な国内セキュリティ政策・制度

第3部: 組織と個人が今すぐ取るべき実践的対策と意識改革のロードマップ

サイバー脅威が日常化し、その影響が広範に及ぶ現代において、組織と個人が主体的に防御に取り組むことが、安全なデジタル社会を支える基盤となります。

4.1 企業・事業所の意識改革：セキュリティ体制の構築が事業の生命線

企業、特に中小企業や事業所にとって、情報セキュリティ対策は事業を継続するための生命線です。IPAの調査（2024年度）によると、情報セキュリティ体制を「組織的には行っていない（各自の対応）」とする中小企業が約7割に上っており、企業規模が小さくなるほどこの傾向は顕著です。

企業規模に関わらず、情報セキュリティ対策は、経営層による基本方針の策定、組織横断的な計画の実行、そして適切な権限付与といったガバナンス体制の整備が不可欠です [¹ (P.57の言及)]。経営者がセキュリティ対策を怠り、体制構築が不十分な場合、ランサムウェア攻撃や情報漏えいによって巨額の損失を被り、市場からの淘汰リスクに直面します。対策を行うことは、事業の持続可能性を担保するための、最も重要な経営責任の一つです。

4.2 中小企業のための支援策と活用ロードマップ

リソースが限られる中小企業（SME）向けに、政府やIPAは実効性の高い支援策を提供しており、これらを活用することがレジリエンス構築の鍵となります。

4.2.1 信頼を証明する第一歩：SECURITY ACTION

SECURITY ACTIONは、中小企業が自ら情報セキュリティ対策に取り組むことを自己宣言する制度です。この制度は、専門人材や予算が不足しがちな中小企業に対し、「まず最初の一歩を踏み出す」ための明確な目標と動機付けを提供します。

この制度には二つの段階があり、最も基本的な対策を行う「一つ星」から、自社診断と基本方針の策定・公開を行う「二つ星」があります。この自己宣言を行うことで、IT導入補助金などの政府の経済的支援策の申請要件に活用されるため、対策の行動を促す強力なインセンティブとなっています。SECURITY ACTIONのロゴマークは、取引先や顧客に対して、企業がセキュリティに取り組んでいることの信頼性の証明となり、事業機会の確保にもつながります。

4.2.2 外部リソースを賢く使う：サイバーセキュリティお助け隊サービス

サイバーセキュリティお助け隊サービスは、中小企業を狙ったサイバー攻撃への対処に不可欠なサービスを、効果的かつ安価に提供する制度です。

このサービスには、異常の監視、緊急時の対応支援、簡易サイバー保険などが含まれています。中小企業が自前で構築することが困難な「24時間365日の監視体制」や「緊急時の専門家による初動対応」をパッケージ化して提供しているため、外部リソースを賢く活用することで、即座にプロレベルの防御体制を確保できます。このサービスはIT導入補助金の対象にもなっており、中小企業が防御を強化するための経済的な障壁を低減しています。

4.3 個人が知るべき巧妙な騙しの手口と基本的防御策

サイバー攻撃は組織だけでなく、個人をも標的としています。個人の情報が窃取されることは、組織への侵入の足がかりともなり得るため、個人による防御も重要です。

4.3.1 サポート詐欺の悪質化と不正送金の脅威

サポート詐欺の相談件数は依然として高水準で推移しており、攻撃者は人間の「焦り」や「恐怖心」といった心理的弱点を悪用しています。偽のウイルス感染警告を表示させ、電話をかけさせて遠隔操作を誘導し、ネットバンキングを通じて多額の金銭を不正送金させるという、悪質な手口が増加しています。

サポート詐欺の被害を防ぐ決定的な分かれ目は、冷静な対処法を知っているかどうかです。偽の警告が表示されても、慌てずにESC（エスケープ）キーを押下してブラウザのフルスクリーン表示を解除し、ブラウザを閉じるといった単純な操作で、被害を未然に防ぐことができます。

4.3.2 フィッシング・スミッシング・ヴィッシングの多様化

フィッシング報告件数は2024年度に初めて200万件を超え、依然として深刻な脅威です。攻撃者は、メールのフィルタリング技術の進化に対応し、SMSを使った

スミッシングや電話を使ったヴィッシング（ボイスフィッシング）といった、よりパーソナルで直接的なチャネルへと攻撃手段を分散させています。特にボイスフィッシングでは、金融機関をかたり法人口座を狙う大規模な被害も発生しており、企業も個人も、メールやSMSに記載されたURLや電話番号を安易に信用しない警戒心を持つ必要があります。

4.3.3 全員参加のセキュリティ：組織と個人のための基本行動リスト

安全で信頼されるデジタル社会の確立は、政府の政策や大企業の努力だけでは達成できません。組織と個人が共に取り組むべき基本的な防御策は以下の通りです。

• 多要素認証の徹底: サービスのログインには、可能な限り多要素認証（MFA）を設定する。
• ソフトウェアの最新化: OSやアプリケーション、特にVPNやルーターなどのネットワーク機器について、セキュリティパッチや最新バージョンへのアップデートを怠らない。
• 情報の検証: 不審なメールやSMS、Webサイトで目にした情報は、公式サイトなどの確かな情報源で真偽を確認する。
• バックアップと復旧体制の整備: ランサムウェア対策として、バックアップを定期的に取得し、バックアップ自体が暗号化されないよう適切に隔離して管理する。

結論: デジタル社会の信頼を、私たち一人ひとりの行動で支える

『情報セキュリティ白書2025』の分析は、サイバー脅威が「国家安全保障」と「日常の経済活動」の不可分なリスクとなったことを明確に示しています。2024年度は、ランサムウェアによるサプライチェーン経由の広域被害、地政学的動機に基づくDDoS攻撃、そして生成AIを悪用した偽・誤情報の拡散といった、複合的で高度な脅威が常態化した年でした。

これに対応するため、日本政府は能動的サイバー防御の法制化を進め、攻撃の未然防止を目指すという、防御戦略の次元を高めました。また、セキュア・バイ・デザインの推進やJC-STARの運用開始は、製品の信頼性を設計段階から確保し、サプライチェーン全体を強靭化しようとする国家的な努力です。

しかし、これらの政策的取り組みが実を結ぶためには、私たち市民、そして企業・事業所側の意識改革が不可欠です。セキュリティを巨額の損失を防ぎ、競争力を高めるための「戦略的投資」と捉える経営者の意識改革が、まず求められます。中小企業は、SECURITY ACTIONやお助け隊サービスといった支援策を積極的に活用し、専門的な防御体制を速やかに確立すべきです。

安全で信頼されるデジタル社会の基盤は、私たち一人ひとりの行動と継続的な学習によって支えられています。組織と個人が連携し、常に最新の脅威に対処できる「防御の主体」となることが、激変するデジタル社会を生き抜くための唯一の道です。