調査レポート◎JNSA 2025セキュリティ十大ニュース

　年末から年初にかけては、セキュリティ脅威への警鐘を鳴らすべく、サイバー攻撃に関する最新トレンドのアニュアルレポートや年間報告書がセキュリティベンダーや情報セキュリティ関連団体などから相次いで公開されます。日本ネットワークセキュリティ協会（以下、JNSA）も、2025年12月25日に「2025セキュリティ十大ニュース」を公開しました。

　セキュリティ十代ニュースは、2001年からネットワークリスクマネジメント協会が公表していましたが、同協会の解散に伴い2009年からJNSAが引き継いでいます。その歴史は、ほぼ四半世紀に及ぶ老舗レポートであり、長年にわたりセキュリティ脅威の移り変わりを捉えてきたといえます。

　協会・団体系のレポートとしては、この「セキュリティ十大ニュース」と独立行政法人情報処理推進機構（以下、IPA）が毎年公開している「情報セキュリティ10大脅威」が代表的です。

　JNSAとIPAの両レポートとも、セキュリティ脅威などに関わるトピックを上位10項目のランキング形式でまとめたレポートですが、それぞれのコンセプトは大きく異なります。

JNSA「セキュリティ十大ニュース」とIPA「情報セキュリティ10大脅威」のコンセプト等の比較（出典：編集部にて作成）

　JNSAの「セキュリティ十大ニュース」は、その年に起きたセキュリティ関連の被害や制度、対策などをメディアの報道やニュースをベースにセキュリティのプロがトピックを選定しランキング化したものです。実際の出来事を振り返ることで社会動向を俯かん・総括し、セキュリティ業界のトレンドを把握するのに役立ちます。

　一方、IPAの「情報セキュリティ10大脅威」は、現在から将来にかけて警戒すべき脅威をランキング形式で整理した資料です。どちらかといえば、この10大脅威ランキングの方が認知度は高いのではないでしょうか。

　いずれにしても、この2つのレポートを参考とすることで、セキュリティ脅威の全体的な傾向や対策を把握できます。本稿では、「セキュリティ十大ニュース」の2025年版について見ていきます。

セキュリティ被害と対策の変革期に突入

　2025年も、デジタル社会を脅かすさまざまなサイバーセキュリティ被害や対策に関するニュースが報道されました。例えば、アサヒグループホールディングス（以下、アサヒGHD）やアスクルのランサムウェア被害は、サイバー攻撃が災害級のインパクトを引き起こすことを示しました。

　同時に、激化するサイバー攻撃に備えるための取り組みも進んでおり、2025年5月には能動的サイバー防御関連法案である「サイバー対処能力強化法及び同整備法」の可決・成立、IoT製品の適切なセキュリティを担保する「ラベリング制度（JC-STAR）」のスタート、サイバー攻撃への脅威に対するサプライチェーンの強靭化を目的とした「セキュリティ対策評価制度などが注目された年でもあります。

　同レポートにおいても「攻守拮抗、デジタル社会に信頼構造の地殻変動は成るか」と副題が付されており、2025年は被害と対策が拮抗し、社会とビジネスのセキュリティが新たなフェーズに入ったことが見て取れる結果となっています。

セキュリティ十大ニュース選考委員会が選んだ2025年の上位10トピック（出典：「JNSA 2025セキュリティ十大ニュース～攻守拮抗、デジタル社会に信頼構造の地殻変動は成るか～」を元に編集部にて作成）

サイバー攻撃の“デジタル災害”化

　セキュリティ被害で2025年に強く記憶に残った出来事といえば、ランサムウェア被害の影響拡大という認識で一致するのではないでしょうか。十大ニュースでも、第1位（『9月29日相次ぐ企業へのサイバー攻撃、いまや“災害級”と指摘される脅威』）としてピックアップされました。

　いくつものランサムウェア被害が報告されましたが、インパクトの大きさではやはりアサヒGHDとアスクルの事案が突出しています。

　その被害は両企業のみならず、グループ企業や取引先から消費者まで、ステークホルダー全体に広がりました。アサヒGHDの事案では、ランサムウェア被害を契機に大規模なシステム障害が発生。受注・出荷に関わるシステムが停止し、物流機能もマヒしたことで、現場の混乱や商品供給の遅れを招きました。その影響は年末になっても解消されず、品不足に対応するため競合他社は増産を迫られるなど、混乱は業界全体に波及しました。

　アスクルも同様で、ランサムウェア被害に端を発したシステム障害により、オンラインでの受注・出荷サービスがストップ。同社を利用していた顧客はビジネスに必要な器具・備品などを調達できなくなりました。

　さらに、同社の物流網を利用していた小売企業にも影響し、オンライン販売を停止せざるを得ない状況に追い込まれました。医療関連資材の配送にも影響したと報告されており、その遅延は人命に関わる可能性もあるだけに影響は深刻です。

　公表されたアスクルの被害金額は、利益減少分などを合算し120億円にもなっています。同社は2025年6～11月期で52億円の特別損失を計上。業績予想と期末配当も未定としており、株主にも影響が出た形となりました。

　アサヒGHDとアスクルとも、被害の原因は自組織ではなくサプライチェーンを構成する関係企業や取引先などに端を発したもの。しかし、その説明責任や倍賞責任が問われるのは、狙われた企業のみならずサプライチェーンの中軸企業など全体に及びます。

　こうした社会的背景からか、サプライチェーンに焦点を当てた『11月28日サプライチェーンに波及するサイバー被害、倍賞問題に発展するケースも』が第2位に選出されています。

　この他にも、『4月6日東名高速や中央道などでETC障害 7都県、一部レーン閉鎖（第8位）』や『8月28日 FeliCaのセキュリティ脆弱性報道で利用者に不安広がる（第9位）』、番外編として『11月18日 2025年11月18日はインターネットが壊れた日』などが選定されました。

　2025年は、サイバー攻撃による被害やシステムの不具合が社会やビジネスに大きな影響を及ぼす話題が選定されており、“デジタル災害”時代の到来を象徴する被害が多く起きた年といえるでしょう。

　また、第4位に選定された『2月27日生成AI悪用し不正アクセスの中高生3人逮捕、12月にも』というニュースは、セキュリティ分野にもAIが深く浸透していることの証左でしょう。

　ビジネスや日常生活では生成AIの活用が急速に進んでおり、これはセサイバーキュリティ分野においても例外ではありません。第4位に選出されたニュースは、携帯電話会社大手の楽天モバイルに不正アクセスして違法入手した回線の転売により利益を得たことで、中高生3人が逮捕されたもの。12月にもインターネットカフェの快活CLUBに不正アクセスしたとして、高校生が逮捕されています。

　いずれも不正アクセスに用いられたプログラムは、生成AIを活用して作成されました。さらに、システムの防御をすり抜けるといった機能向上にも生成AIを駆使していたとのこと。まさに、サイバー攻撃は専門知識不要で、その気になればだれでも不正プログラムを作り実行できる犯罪になったといえます。

　サイバー攻撃では、不正プログラムの作成だけでなく、AIで生成された巧妙な詐欺メールやAIが組み込まれた攻撃プログラム、AIボットによるランサムウェアで身代金交渉など、あらゆるプロセスでAIが使われています。

　防御側でもAIが用いられており、情報セキュリティにおける攻防はAI対AIという様相を呈している状況です。同レポートでも「AIが強力なパワーを発揮するようになった現在、セキュリティもAIを正しい目的のために活用することが重要になってきた」と論じています。

サイバー空間の強靭性向上に本腰

　一方、2025年は高度化するサイバー攻撃への対策や被害阻止など、日本もセキュリティ対策に本腰を入れ始めたことが、選出されたニュースから明らかになった年ともいえます。

　十大ニュースに選出された新たなセキュリティへの取り組みには、第2位のサプライチェーンに波及するサイバー被害で言及された「サプライチェーン強化に向けたセキュリティ対策評価制度（セキュリティ対策評価制度）」、第5位選出の『5月16日「能動的サイバー防御」関連法案が成立、国家サイバー統括室の設置へ』や第6位の『3月25日 IoT製品に対するセキュリティラベリング制度（JC-STAR）の運用を開始』などが挙げられます。

　「セキュリティ評価制度（関連記事：2026年度運用開始、「セキュリティ対策評価制度」とは」は、2026年度下期にも制度のスタートが見込まれているもの。2024年のKADOKAWA、前年のアサヒGHDやアスクルをはじめとしたサプライチェーンや委託先を狙ったサイバー攻撃の急増と被害拡大を受け、業種横断的に活用できるサイバー空間の強靭性（レジリエンス）を高める仕組みとして制度化が進められています。

　企業規模を問わずサプライチェーンを構成するのであれば、中小企業であっても対応が迫られるだけに、制度開始に向けてその動向を注視しておくことが必要でしょう。

　能動的サイバー防御の具体化の一つとして可決・成立したのが、「サイバー対処能力強化法及び同整備法」です。その主目的は、サイバー安全保障における対応能力やレベルを欧米と同等以上に引き上げることです。

　同法律の成立に伴い、それまで政府機関におけるサイバーセキュリティの基準を策定する組織であった「内閣サイバーセキュリティセンター（NISC）」が改組され、「国家サイバー統括室（NCO）」が設置されました。内閣総理大臣を本部長とするNCOは、迅速な意思決定や命令系統により、大規模なセキュリティ対策などにも対応が可能になるといわれています。

　また、「セキュリティラベリング制度（関連記事：IoTセキュリティの新基準、JC-STAR制度を知っていますか!?）は、IoT製品におけるセキュリティ機能を標準化して可視化する仕組みです。2025年3月に制度はスタートしましたが、運用の本格化や認知度の向上はこれからといった状況です。

　具体的には、IoT製品のセキュリティレベルを「レベル1（★1）」から「レベル4（★4）」までの4段階とし、それぞれのレベル要件を満たした製品には★マークをラベリングすることができます。

　最低限のセキュリティ要件を満たした製品に付与されるレベル1に対し、レベル3やレベル4は重要インフラ事業者や大企業が使うシステム向けとなっています。本稿執筆時点で具現化されているのはレベル1のみ。レベル2から上は2026年以降の導入予定とされています。

　デジタルトランスフォーメーション（DX）においてIoTは、さまざまなシステムや仕組みを実現する重要なキーテクノロジーともいえます。それだけにJC-STAR制度も注目しておくべきトピックといえるでしょう。

IoT製品の「セキュリティラベリング制度（JC-STAR）」は、経済産業省とIPAにより推進されており、両組織は展示会などにおいてJC-STARの認知向上に取り組んでいる（出典：デジタルイノベーション総合展CEATEC 2025にて編集部撮影）

　以上、2025年のセキュリティ十大ニュースは、被害ニュースばかりが目を引いた従来とは異なる結果となりました。これを受けて、同レポートでも「被害ニュースと新たな取り組みニュース数が拮抗してきたことは大きな意味があると考えたい」としています。

　中小企業などではセキュリティ対策をコスト視する傾向がまだまだ根強いですが、デジタルシフトやDXが進むほどセキュリティリスクが高まり被害が拡大することは十大にユースからも明らかです。“DX with Security”といわれるように、デジタル社会の推進とセキュリティは両輪であると考えるべき時代となりました。

　JNSA 2025セキュリティ10大ニュースは、こうした変化が明確に表れたといえるのではないでしょうか。

ここがポイント！

●「セキュリティ十大ニュース」は、JNSAが公開する年間のセキュリティ関連ニュースをランキング化した資料。

●2025年版では、被害ニュースと新たなセキュリティへの取り組みのニュースの数が拮抗。

●上位にランクしたのは災害級といわれる「アサヒGHDやアスクルのランサムウェア被害」、「サイバー被害のサプライチェーンへの波及」など。

●新たな取り組みとしては、「能動的サイバー防御関連法案の可決・成立」や「セキュリティラベリング制度の運用開始」などがランクイン。