6月6日の基調講演「情報セキュリティ10大脅威とその対策」には、情報処理推進機構（IPA）セキュリティセンター普及啓発・振興部のエキスパートである金山栄一氏が登壇。代表的なサイバー脅威について、その特徴と対処法を解説した。


　「情報セキュリティ10大脅威」とは、情報セキュリティーの啓発用にIPAが毎年発行している資料である。その2025年版組織編で脅威の第1位になっているのは、「ランサム攻撃による被害」。以下、「サプライチェーンや委託先を狙った攻撃」（2位）、「内部不正による情報漏えい等」（4位）などと続く。

　ランサム攻撃とは、企業のデータを暗号化して復号鍵に身代金を要求する手口だ。「最近は四重に脅迫されることもある」と金山氏。暗号化だけでなく、データの公開、DDoS攻撃、取引先への通報などを“種”に支払いを要求してくるのである。感染経路は、リモート接続が大半。対策としては、修正プログラムの適用やログイン認証の強化が推奨されている。

　また、サプライチェーン攻撃では、企業間のつながりを利用して“踏み台”がつくられ、攻撃者はそこから標的企業に侵入する。個人情報が数十万件単位で流出した事例もあり、被害は甚大だ。対策としては、技術面だけでなく、取引先との契約内容見直しも必須になる。

　内部不正による情報漏えいは、その企業に不満を持つ従業員がアクセス権を悪用してデータを流出させるケースが多い。この脅威についても、技術的対策以外に、「やりにくい・やると見つかる・やっても割に合わない」職場環境をつくり上げることが有効だ。

　「このように多様な脅威があるものの、技術的対策には共通のものが多い」と金山氏は言う。

　例えば、「パスワードの管理と認証の強化」。推測されやすいパスワードを使わず、可能であれば多要素認証（MFA）やパスキーを採用するとよいだろう。また、OS、デバイスドライバー、アプリケーションのベンダーから提供される修正プログラムはきちんと適用することが重要。自動更新機能を利用すれば、工数増なしにセキュリティーレベルを高めることができる。ウイルス対策ソフトやファイアウォールなどのセキュリティー対策製品を導入し、使っている機器やソフトウェアの設定を見直すことも欠かせない。

　このほか、IPAはセキュリティー対策の参考になる資料をインターネット上で無償提供している。主なものは「中小企業の情報セキュリティ対策ガイドライン」「組織における内部不正防止ガイドライン」「情報セキュリティ10大脅威の解説書と簡易説明資料（スライド形式）」など。「企業組織向けには『サイバーセキュリティ相談窓口』も設置しているので、セキュリティーインシデント発生時の初動対応などに活用してほしい」と金山氏は勧めた。