サイバー攻撃の手口は年々高度化するなか、さらにAI技術の発展も加わり、情報セキュリティを取り巻く環境は大きく変化しています。独立行政法人情報処理推進機構（IPA）が毎年刊行する「情報セキュリティ白書」は、セキュリティに関する国内外における脅威や政策、制度をまとめた総合レポートです。

本記事では、「情報セキュリティ白書2025」の中から2024年度のサイバー脅威の動向、AIや偽情報をめぐる注目事象、そして国内における政策や制度について解説します。

情報セキュリティ白書2025の概要

「情報セキュリティ白書」は、IPAが毎年刊行するサイバーセキュリティ動向をまとめた報告書です。その2025年版では、2024年度の国内外におけるサイバー脅威、政策、制度の変化、さらに新たなリスク領域を体系的に整理しています。

内容は、第1章「国内外のサイバー脅威動向」、第2章「AIや偽情報などの注目事象」、第3章「国内政策と取り組み」、第4章「国際的な政策と連携」となっています。特に2025年9月30日に発行された2025年版では、従来のサイバー攻撃対策に加え、国家安全保障や設計段階でのセキュリティ確保など、より上位レイヤーでの防御の必要性が強調されています。

サイバー脅威動向と注目事象

2024年度は、攻撃の頻度と規模がともに拡大し、特に国家関与型のサイバー攻撃やランサムウエア、フィッシングなどが深刻化しました。AIの普及により、攻撃・防御の両面でAI活用が進む一方、AIセーフティや偽情報対策が国際的課題となっています。

2024年度に観測されたインシデント状況

2024年度は、サイバー攻撃の「頻度」だけでなく「影響範囲」や「攻撃規模」が拡大しました。世界的には、ランサムウエアやDDoS攻撃のほか、国家関与型のスパイ活動も継続して確認されています。通信・金融・インフラ事業者など、社会基盤を担う組織が標的となる事例が増加しています。

例えば、中国系の攻撃グループ「Salt Typhoon」による米国通信事業者への侵入では、長期間にわたって潜伏しながら情報を窃取する手法が確認されました。こうした攻撃は従来の防御策では検知が難しく、より高度な監視と分析が求められます。

また、オリンピックや選挙など、注目イベントの時期に合わせてDDoS攻撃が増加する傾向が見られました。国内ではフィッシングの報告件数が初めて200万件を超え、メールのみならず自動音声を悪用する「ボイスフィッシング」など手口の多様化が進行しています。さらに、ランサムウエア感染経路のうちVPN機器やリモート接続端末への攻撃が半数以上を占めており、基本的なセキュリティパッチ適用の遅れが依然として深刻な課題となっています。

最近のサイバー空間を巡る注目事象

サイバー空間ではAIの普及が急速に進み、セキュリティの観点でも攻撃と防御の両面でAI活用が拡大しています。

その中で注目されているのが「AIセーフティ」という概念です。これは、AI活用に伴う社会的リスクを低減させるため、安全性・公平性・プライバシー・セキュリティを確保する取り組みを指します。2023年11月に英国でAI Safety Institute（AISI）が設立されたのを皮切りに、日本をはじめとする各国で同様の公的機関が発足して連携を深めています。

一方、偽情報や誤情報の脅威も深刻化しています。世界経済フォーラムにおける2024年版の「グローバルリスク報告書」では、偽情報が「今後2年間で世界に最も影響を及ぼすリスク」の首位に位置付けられました。生成AIによる精巧なフィッシングメールや、ディープフェイクによる詐欺・世論操作などが現実の脅威となりつつあります。こうした虚偽情報は、社会の混乱や分断を目的とした「情報操作型サイバー攻撃」の一形態であり「認知戦」とも呼ばれています。

国内の政策および取り組み

国内では官民一体でサイバー攻撃を察知、阻止する体制を整えています。従来の技術的防御だけでなく、組織やサプライチェーン、制度面における信頼確保へと、対策の範囲が拡大しています。

サイバーセキュリティ政策の状況

日本では、2022年の「国家安全保障戦略」を踏まえ、サイバー対応能力を欧米主要国並みに強化する方針が示されました。2024〜2025年にかけては、「能動的サイバー防御」を実現するための法整備が進められ、官民一体で攻撃兆候を早期に察知・阻止する体制が整いつつあります。

また、国家レベルの司令塔として「国家サイバー統括室（NCO）」が2025年7月1日に発足し、情報共有や分析体制を一元化しました。政府機関や重要インフラだけでなく、地方自治体、医療機関、中小企業までを含む国家的な対応能力向上が進められています。

セキュリティ評価制度の動向

制度面では、「客観的な評価」と「信頼できる供給」の仕組みを作る流れが進んでいます。2025年3月には、IoT製品のセキュリティ要件適合性を評価・ラベル化する制度「JC-STAR」が正式運用を開始しました。安全なIoT機器の流通を促進し、DDoS攻撃などの被害軽減が期待されています。

さらに、設計段階からセキュリティを考慮する「セキュア・バイ・デザイン（セキュリティ・バイ・デザイン）」の概念を推進しています。サプライチェーン全体におけるセキュリティ対策の評価制度の検討も進められ、2026年度の運用開始を目指しています。国家安全保障上の重要情報は信頼性を確認した者のみがアクセスできるという、「セキュリティ・クリアランス制度」の創設も提言され、これを受け2024年5月に重要経済安保情報保護活用法が成立し、同月公布され、2025年5月に施行されています。

セキュリティは「対処」から「設計・制度」へ

情報セキュリティ白書2025では、脅威の高度化を踏まえ、今後のセキュリティ対策は「攻撃後の対応」から「攻撃されることを前提とした設計と制度整備」へと進化する必要性を示しています。技術的な防御策にとどまらず、ゼロトラストの考え方を基盤に、社会全体で攻撃を前提とした仕組みと運用へ転換し、被害を最小化する体制を整えることが、これからのサイバーセキュリティを支える鍵となるでしょう。