今回は、特定非営利活動法人日本ネットワークセキュリティ協会、JNSAが発表した「2025セキュリティ十大ニュース」を取り上げます。このランキングは、その年に発生したサイバーセキュリティ関連の出来事から、社会的に影響が大きかったものを専門家が選定したものです。2025年の特徴は、深刻な被害をもたらす攻撃のニュースと、それに対抗するための新たな法整備や制度といった守りのニュースが、まさに拮抗している点にあります。この放送を通じて、ランサムウェア被害の実態や、サプライチェーンリスク、そして生成AIの悪用といった最新の脅威トレンドを把握し、今求められる対策の方向性を一緒に考えていきましょう。
特定非営利活動法人日本ネットワークセキュリティ協会(JNSA)は12月25日、「JNSA 2025セキュリティ十大ニュース~攻守拮抗、デジタル社会に信頼構造の地殻変動は成るか~」を発表した。
こちらの記事を、簡単に解説お願いできますでしょうか?
JNSAが発表した2025年のセキュリティ十大ニュースは、攻撃側と防御側のトピックがほぼ同数ランクインし、まさに攻防が拮抗している状況を浮き彫りにしました。まず第1位には、大手飲料メーカーやオフィス用品通販会社などで発生したランサムウェア障害が選ばれました。これらは単なる一企業の被害にとどまらず、市民生活や経済活動に広範な影響を与えたことから、「災害級の脅威」と表現されています。また、第2位にはサプライチェーン全体に波及する被害とそれに伴う賠償問題、第3位には証券口座の乗っ取り被害の急増が入りました。一方で、守りの動きとしては、第5位に「能動的サイバー防御」に関連する法案の成立、第6位にIoT製品のセキュリティラベリング制度「JC-STAR」の運用開始などが挙げられます。さらに、生成AIの悪用や量子コンピューター対策など、新技術に関する話題も注目を集めています。
質疑応答
第1位の「災害級の脅威」という言葉はかなり衝撃的ですが、具体的にはどのような被害が起きたのでしょうか?
この「災害級」という表現は、サイバー攻撃による被害が、地震や台風といった自然災害と同じレベルで社会インフラを麻痺させたことを意味しています。2025年に発生したこれらのランサムウェア被害では、工場の稼働停止による商品の供給不足や、配送システムのダウンによる物流の混乱が発生しました。これにより、私たち一般消費者が普段通りに商品を買えなくなったり、企業間の取引が停滞したりと、市民生活や経済活動全体に大きなダメージを与えました。一企業のシステム障害が、社会全体を揺るがす事態になり得るという現実を、まざまざと見せつけられた形です。
第4位にある、生成AIを悪用して中高生が逮捕されたというニュースも、すごく気になりますね。
これは技術の進化が攻撃のハードルを劇的に下げてしまったことを象徴するニュースです。生成AIを使えば、高度なプログラミング知識やセキュリティの専門知識がなくても、精巧なフィッシングメールの文面を作成したり、悪意のあるプログラムコードを書いたりすることが可能になってしまいました。これまでは一部の専門的なハッカーしか行えなかったような攻撃が、興味本位の中高生でも実行できてしまう環境が生まれたことは、教育現場や家庭にとっても非常に深刻な課題と言えます。AIは便利な反面、こうした「影」の部分への対策も急務となっています。
技術の進歩は良し悪しがあるんですね。第6位の「JC-STAR」というのは、どのような制度なんですか?
JC-STARは、IoT製品のセキュリティ対策状況を、消費者に分かりやすく伝えるためのラベリング制度です。ネットワークカメラやスマート家電などのIoT製品は、セキュリティ対策が不十分だと外部から乗っ取られ、盗撮やサイバー攻撃の踏み台にされるリスクがあります。この制度では、製品が適切なセキュリティ要件を満たしているかを第三者が評価し、そのレベルに応じて星の数などでランク付けして表示します。これにより、私たち消費者は、機能や価格だけでなく「安全性」という基準で製品を選べるようになり、メーカー側もセキュリティ対策に力を入れるようになると期待されています。
星の数で安全性が分かると選びやすいですね。第10位の「耐量子計算機暗号」というのは、かなり難しそうな言葉ですが。
これは少し未来を見据えた非常に重要な技術の話です。現在、インターネット上の通信を守っている暗号技術の多くは、現在のコンピューターでは解読に何万年もかかるとされています。しかし、計算能力が飛躍的に高い「量子コンピューター」が実用化されると、これらの暗号が短時間で破られてしまう恐れがあるのです。そこで政府は、量子コンピューターでも解読が困難な新しい暗号技術、つまり「耐量子計算機暗号」への移行を2035年までに進める方針を打ち出しました。今から対策を始めないと、将来的に過去の通信データも含めて全て解読されてしまうリスクがあるからです。
このランキング全体を通して、これからの企業はどのように対策を進めていくべきだと感じますか?
今回のランキングから読み取れるのは、自社一社だけで守り切ることはもはや不可能であるという現実です。サプライチェーン攻撃やランサムウェアの被害が示す通り、取引先や関連会社も含めた全体でのセキュリティ対策、いわゆる「サプライチェーンセキュリティ」の強化が不可欠です。また、生成AIや量子コンピューターといった新しい技術が登場するたびに、攻撃の手口も防御の方法も変わっていきます。企業は基本的な対策を徹底しつつ、常に最新の脅威動向や技術トレンドにアンテナを張り、柔軟にセキュリティ戦略をアップデートしていく姿勢、つまり「持久力」と「自救力」の両方が求められています。
まとめ
攻撃の手口もどんどん進化していて、自分たちだけでなく周りと協力して守る必要があるんですね。また一つ、勉強になりました!
