JAPANSecuritySummit Update 2025 年末特集:今年よく読まれた記事トップ10
今年も1年間JAPANSecuritySummit Updateをご愛顧いただき誠にありがとうございます。
本年中にリリースされた記事の購読数トップ10を発表いたします。
今年のトピックは「ランサムウェア攻撃」「脆弱性管理」「AI」の3点であったと思います。
●ランサムウェア攻撃
特に今年下半期は、多くのニュースでも取り上げられ一般の方にもランサムウェア被害が大きく注目を集めました。
ランサムウェア攻撃を受けた企業だけではなく、取引先やサプライチェーンへも被害が拡大し、さらには我々の社会生活にも大きな影響を与えることを実感した年でした。
IPAから毎年発表される「情報セキュリティ10大脅威(組織)」においても5年連続1位にランクされたことにも納得です。
●脆弱性管理
多くのランサムウェア攻撃の起点になっているのが、VPN装置をはじめとする通信機器の脆弱性です。
ランサムウェアに限らず様々なサイバー攻撃の起点となる脆弱性をいかに検知し対応していくか、IoT機器の製造時だけではなく、運用時にわたって、ライフサイクル全体で脆弱性管理をしていくかが重要となっています。
経済産業省/IPAでも脆弱性排除のために今年の3月から開始されたサイバーセキュリティのラベリング制度「JC-STAR」も今後注目していきたいと思います。
●AI
AIも今年急速に普及してきた注目テクノロジーです。すでに我々の生活や仕事においてもなくてはならないものとなっています。
AIによる生成物の扱いについては十分に注意が必要です。
その生成物の内容は本当に正しいものかどうか? 誤った情報が含まれていないかどうか? 著作権を侵害していないかどうか?など確認した上で利用することが求められます。
またAIに機密情報や個人情報を入力することにより、情報漏洩につながる可能性があることも否めません。
国や業界団体、各企業において定義されるAI活用のガイドラインに準拠することをお勧めします。
これらの脅威は来年も継続して注意することが必要ですが、また新たなトピックが発生する恐れも十分に想定されます。JAPANSecuritySummit Updateでは最新のニュースおよびトピックを深堀した企画記事など、より内容を充実させてまいります。ぜひご期待ください。
それでは、トップ10の発表に移ります。
1.2025年第1四半期のグローバルサイバー攻撃レポートを発表 〜 ランサムウェアが126%急増、脅威環境はますます深刻化 〜
チェック・ポイントリサーチの2025年Q1レポートを要約。週平均攻撃数は1組織あたり1,925件で前年比47%増、教育・研究が最多。ランサムウェアは前年比126%増の2,289件。地域・業種別傾向を示し、パッチ適用や多層防御、ゼロトラスト、訓練、バックアップ等の“予防重視”の打ち手を実務目線で学べる。
2.サイバー攻撃とは?目的や種類、被害例や対策法を徹底解説!
Special Edition ゼロから学ぶサイバーセキュリティからのランクイン
サイバー攻撃の定義・目的(金銭/情報窃取/業務妨害/政治的主張)を押さえたうえで、DDoS、マルウェア、ランサムウェア、フィッシング、サプライチェーン、ビジネスメール攻撃の典型手口と被害(漏えい・停止・信用低下)を整理。自社の脅威整理と、基本対策の優先順位付けが学べる。
3.Windows10サポート終了に向けて確認しておくべきポイントとは? サイバーセキュリティ対策実践講座 第7回
Special Edition サイバーセキュリティ対策実践講座からのランクイン
2025年10月14日にWindows 10のサポートが終了するため、セキュリティ更新や技術支援が受けられなくなるリスクを解説しています。国内にサポート対象外PCが多数あり、悪意ある攻撃の増加が懸念されるため、Windows 11へのアップグレードや更新確認、JVNやIPAの脆弱性情報チェックなどの実務的な対策が学べます。また、終了後の具体的なリスクと最低限の防御策についても整理されています。
4.デジタル庁 テキスト生成AI対策α版公開
デジタル庁が行政機関向けに公開した生成AIのリスク対策ガイドブック(α版)を紹介。テキスト生成AI導入時に想定される固有リスクを、企画・予算・調達・設計・運用の各フェーズ別に整理し、軽減策を示しています。提供形態ごとのリスク分析や品質評価のポイントもあり、生成AIを実装する組織が段階的に安全性を担保する方法が学べる内容です。特に、導入前の期待品質の定義や運用フェーズでのモニタリング体制の整備など、実務で役立つ示唆が得られます。
5.2025年4月版 最速!危険度の高い脆弱性をいち早く解説「脆弱性研究所」
Special Edition 脆弱性管理のキモからのランクイン
4月に公開された総4,218件の脆弱性の中から、特に重大なものをピックアップし解説しています。CISAの「実際に悪用されている脆弱性(KEV)」に登録された製品別件数や、CVEプログラムを支えるMITREと新設されたCVE Foundationの動きなど背景事情も整理。また、Active! MailやESET製品の脆弱性事例を具体的に紹介し、影響範囲や緩和策のポイントまで学べる内容です。こうした最新の脆弱性動向を踏まえ、優先対応や監視体制の見直しに役立ちます。
6.NISC「DeepSeek 等の生成AIの業務利用に関する注意喚起」を発表 ~個人情報管理とセキュリティリスクに関する重要な指針~
デジタル庁のデジタル社会推進会議が、DeepSeekなどの生成AIサービスを業務で利用する際の留意点を示した注意喚起を紹介しています。特に個人情報の管理やセキュリティリスクに焦点を当て、機密情報を扱う業務での利用禁止、利用範囲の明確化、継続的な監査・管理などの原則を整理。また、海外サーバー利用によるデータ保護のリスクや、IT調達時のサプライチェーンリスクへの対応も強調され、生成AI導入時の安全な運用ルールの設定方法が学べます。
7.1日に約330万回ものサイバー攻撃を検知 サイバー攻撃が前年比154%増加、過去最高を記録
サイバーセキュリティクラウドのレポートから、2024年のWebアプリ攻撃が年間12億件超、1日平均約330万件に達し過去最高となった動向を解説。最も多いのは「Web scan」で、SQLインジェクションやPHPUnit狙いも大幅増。DDoS攻撃は選挙や国際情勢と絡み増加し、日本でも選挙関連サイトが被害。WAF導入やパッチ適用、ログ監視など多層防御の重要性が学べます。
8.クラウド防御の盲点と統合防衛策
チェック・ポイントの2025年クラウドセキュリティ調査から、65%の組織がクラウド関連インシデントを経験している一方で、初期1時間以内に問題を検知・対応できる組織は極めて少ない実態を紹介。ツールが乱立しアラート疲労や可視化不足、AI対応態勢の遅れなど「防御の死角」が浮き彫りになっています。統合された検知・対応基盤やAI駆動の防御、自動化戦略の必要性が学べる内容です。
9.SNS詐欺178%増、フィッシング171万件超え—令和6年のサイバー脅威と警察の対策
警察庁の報告をもとに、2024年のサイバー犯罪動向を俯瞰。ランサムウェアや国家関与が疑われる攻撃、SNSを悪用したロマンス詐欺・投資詐欺の被害額が前年比大幅増、フィッシング件数も過去最高に達したことを紹介しています。また、警察の国際連携による検挙状況や、違法情報取り締まり強化、人員増強などの対策も整理。企業・個人のセキュリティ意識向上の重要性が学べます。
10.IPA発表「情報セキュリティ10大脅威 2025」— ランサムウェアが5年連続1位、地政学リスクの影響も浮上
IPAが「情報セキュリティ10大脅威 2025」を発表し、組織向けではランサムウェア被害が5年連続1位、サプライチェーン攻撃やシステム脆弱性攻撃、内部不正などが上位にランクインしました。新たに「地政学的リスクに起因するサイバー攻撃」が選出され、DDoS攻撃も復活。個人向け脅威もフィッシングや不正ログインなど多様なリスクが並び、企業・個人双方で優先的な対策が必要とされています。
