IPA『情報セキュリティ10大脅威』活用ガイド:優先度決定から経営報告まで

IPA『情報セキュリティ10大脅威』活用ガイド:優先度決定から経営報告まで 規制・ガバナンス
この記事は約8分で読めます。

「配布して終わり」では経営説明に使えない理由

IPAの「情報セキュリティ10大脅威」、毎年の公表後に社内へ配布はしているものの、予算申請や経営報告の根拠として使えているでしょうか。資料を受け取って研修スライドに引用するだけでは、経営層を動かす力にはなりません。本記事では、10大脅威を「経営報告の根拠文書」へ転換する読み方と3ステップの活用プロセスを整理します。

一枚要約

IPA「情報セキュリティ10大脅威」は法的拘束力を持たないものの、経産省サイバーセキュリティ経営ガイドラインやISMS1のリスクアセスメントと連動させることで、経営報告・予算申請・サプライチェーン管理の根拠文書として機能させられます。「読んだ」で終わらせず、自社環境へのマッピング → 優先度マトリクス → 役員報告という3ステップを年1回の定例業務として組み込むことが、最大の活用価値です。ただし10大脅威は実務者投票に基づく定性的な脅威認知度の指標であり、統計的な発生確率データではない点には留意が必要です。

何を定めているのか

「情報セキュリティ10大脅威」は、IPA(独立行政法人情報処理推進機構)が2006年から毎年発行してきた年次レポートです。情報セキュリティ分野の研究者・実務家・企業担当者などの投票をもとに、前年に社会的影響が大きかったサイバー脅威をランキング形式で整理しています。個人向けと組織向けの2トラックで構成されており、法務・CISO・経営層が主に参照するのは組織向けの10大脅威です。

ここで押さえておきたいのは、このランキングが実務者の投票に基づく定性的な脅威認知度の指標であり、被害件数や発生確率を集計した統計データではないという点です。取締役会や監査役への根拠資料として用いる場合は、自社のリスクアセスメント結果(NIST CSFやISO/IEC 27005等に基づくもの)と組み合わせ、定量的な裏づけを添えることが望まれます。

毎年公表されるランキングでは、ランサムウェアによる被害やサプライチェーン攻撃2が一貫して上位に位置づけられています(最新の順位はIPAが公表する該当年版の確認を推奨します)。脅威の顔ぶれは年によって変化するため、毎年1月の公表後に最新版を取得することが前提となります。

本資料の法的位置づけ: IPA「情報セキュリティ10大脅威」は任意の参考資料であり、法的拘束力はありません。本記事で参照する経産省「サイバーセキュリティ経営ガイドラインVer 3.0」(2023年3月)も、企業に法的義務を課すものではなく、任意の経営指針です。一方で、これらを実践しないこと自体が直ちに違法となるわけではないものの、脅威を認識しながら合理的な対策を怠れば、別途の法的責任が問われうる点には留意が必要です。

企業に何を求めているか

10大脅威自体は任意文書ですが、以下の点で実務上の取り組みと結びついています。

  • サイバーセキュリティ経営ガイドライン(Ver 3.0): 法的拘束力のない任意の経営指針ですが、脅威情報の収集と対策状況の把握を経営者に推奨する事項として整理しています。10大脅威はその「脅威情報」の代表的な公的ソースのひとつです。
  • ISMS(ISO/IEC 27001:2022): リスクアセスメントプロセス(Clause 6.1.2)では脅威の特定が必須です。IPA資料を脅威源の参照リストとして文書化すれば、審査員への説明が容易になります。
  • 取引先・グループ会社への展開: セキュリティ自己評価を求める際のチェックリストの根拠として活用でき、サプライチェーン全体の底上げにもつながります。

なお、NISC「政府機関等のサイバーセキュリティ対策のための統一基準群(令和7年度版)」を民間企業の対策根拠として引用するのは誤りです。統一基準群は中央省庁・独立行政法人・政府関係機関を対象とする行政内規であり、民間企業への直接適用はありません。ただし、同基準群が示す脅威管理のアプローチは、民間のリスクアセスメント設計の参考モデルとして参照することはできます。

実務対応のポイント

10大脅威を「読むだけ」で終わらせない3ステップを紹介します。

  • ステップ1:自社環境へのマッピング: 10項目を自社の業務・システム・人的環境と照らし合わせ、「自社への該当度」「現状の対策状況」「影響の大きさ」を列単位で記入します。全脅威を一律に対策しようとすると予算が分散するため、自社文脈での絞り込みが起点になります。
  • ステップ2:優先度マトリクスの作成: 縦軸「発生可能性」と横軸「業務影響度」で各脅威を4象限に配置します。ISO/IEC 27005:2022のシナリオベースアプローチと組み合わせると、既存のISMS文書との整合性が取りやすくなります。同規格は2022年改訂でシナリオベースアプローチを主軸(本文Clause 8)に再編し、従来主流だった資産ベースアプローチを補完的な位置づけに移しました。あわせて、リスク対応の選択肢のうち従来「リスク移転」と呼ばれていた区分が「リスク共有」に改称されており、サイバー保険などの残余リスク対応をISMS文書へ記載する際は用語の統一を確認しておくとよいでしょう。
  • ステップ3:経営報告への組み込み: ステップ2のマトリクスを役員会や取締役会のリスクレポートに添付します。「IPAの公的調査で上位に位置づけられているリスクが自社では未対策」という構造で提示すると、予算承認の根拠として機能します。前述のサイバーセキュリティ経営ガイドラインが推奨する取締役会への定期報告の素材としても活用できます。

業種別影響

製造業では、OT3(制御システム)環境へのランサムウェア侵入が近年特に問題となっています。10大脅威で上位常連のサプライチェーン攻撃は製造業で影響が大きく、Tier1からTier3のサプライヤーへのリスク評価展開が課題です。資材・部品調達システムが止まれば生産ライン全体に影響が及ぶため、対策投資の優先度が高い業種といえます。

金融機関では、EU DORA(デジタル・オペレーショナル・レジリエンス法、2025年1月17日適用開始)との関係を整理しておく必要があります。DORAが直接適用されるのは、EU域内で金融サービスを提供する日本の金融機関や、EU金融機関にICTサービスを提供し重要ICTサードパーティプロバイダー(CTPP)に指定された企業です。国内専業の地銀・信金・証券には直接の義務はありませんが、DORAが定めるICT第三者リスク管理フレームワークは、10大脅威の第三者プロバイダーリスクや可用性攻撃(DDoS)への対応を設計する参照事例として活用できます。なお、EU金融機関にとってはDORAがNIS2指令に対する特別法(lex specialis)と位置づけられ、両者の二重対応は原則不要とされますが、加盟国の国内実施法の確認が必要です。

医療機関では、電子カルテや医療機器を狙ったランサムウェアが社会問題化しています。厚生労働省の「医療情報システムの安全管理に関するガイドライン」では脅威情報の収集が求められており、10大脅威はその要件を満たすための参考資料として引用可能な位置づけです。

今日着手できる3アクション

  • IPA公式サイトから最新版PDFを取得・保存する: IPA情報セキュリティ10大脅威のページにアクセスし、組織向け10大脅威の最新年版PDFを社内共有フォルダに保存します。公表時期は例年1月です。
  • 自社マッピングシートを30分で作る: スプレッドシートで10行(脅威項目)と3列(自社への該当有無・影響度・現状対策)の簡易表を作成します。既存のリスク台帳があれば、10大脅威との対応列を追加するだけで完成します。
  • 次回の役員報告アジェンダに「年次脅威トレンド」を追加する: 経産省サイバーセキュリティ経営ガイドラインが推奨する取締役会への定期報告の実施記録として、最新版10大脅威のサマリを議事録に残します。ガイドライン本文はMETIサイトから取得できます。

AI×セキュリティの観点

生成AIの普及は、IPA「情報セキュリティ10大脅威」の脅威カテゴリそのものを変えつつあります。フィッシングメールの文章品質向上、音声・映像のディープフェイクを使ったなりすましなど、従来の脅威が「AI強化版」として再定義されつつある状況です。加えて、従業員が個人アカウントのChatGPT無償版や個人PCで業務データを扱う「シャドーAI4」利用は、内部不正・情報漏えいリスクの新たな経路として浮上しています。

対策としては、Microsoft Defender for Cloud Apps(利用にはMicrosoft 365 E5、またはDefender for Cloud Appsアドオンライセンスが必要)やCASB(クラウドアクセスセキュリティブローカー)・SWG(セキュアWebゲートウェイ)などで、承認外AIドメインへのアップロードを検知・ブロックする仕組みが有効です。E3構成の環境では、Microsoft EntraのConditional Accessによるアプリ制御ポリシーで部分的に代替できます。あわせて社内承認AIツールリストの整備が欠かせません。Enterprise版の契約精査だけではシャドーAIリスクを構造的に防げないため、脅威マッピングの際には「AIツールの管理状況」を評価軸に加えることをおすすめします。

編集後記

「10大脅威を読んだ」とチームに伝えるだけで終わっていた時期が私にもありました。役員報告に「IPA上位の脅威が自社では未対策」と一行添えるだけで経営層の反応が変わる、という経験をしてから、インプット資料を経営言語に変換するプロセスの重要性を実感しています。本記事の3アクションは、その変換を年1回の定例業務に落とし込むための最小単位として整理したものです。

用語ミニ解説

  1. ISMS — 情報セキュリティマネジメントシステム。ISO/IEC 27001:2022を根拠とする国際規格で、組織が情報資産を管理・保護するための体系的な仕組みを指す。リスクアセスメントと継続的改善が中核要件です。
  2. サプライチェーン攻撃 — 直接の攻撃対象ではなく、その企業が利用するソフトウェアベンダー・委託先・部品メーカーを経由して侵入する手口。対策の強い組織を直接狙わず、セキュリティが手薄な取引先を踏み台にする点が特徴です。
  3. OT — 製造・インフラ現場の機械・プロセスを制御する技術(Operational Technology)。PLCや制御システムを含む。ITネットワークとの接続が進んだことで、サイバー攻撃の標的として急速に顕在化しています。
  4. シャドーAI — IT部門や経営の承認なしに、従業員が個人アカウントや個人デバイスで使う生成AIツールの総称。企業の管理外で業務データが扱われるため、情報漏えいリスクの盲点になりやすいです。

参考リンク

コメント

タイトルとURLをコピーしました