2025年のお盆休みは、8月13日(水)から8月17日(日)までの5連休が一般的ですが、8月11日(月)の「山の日」とその前後の土日を組み合わせることで、最大9連休(8月9日~17日)を取得する企業も見込まれます。
長期休暇は社員の不在やシステム管理の空白が生じやすく、サイバー攻撃のリスクが高まる時期です。
特に、IPA(独立行政法人情報処理推進機構)が公開した「情報セキュリティ10大脅威 2025」によると、ランサムウェアやサプライチェーン攻撃、地政学的リスクに起因するサイバー攻撃が上位にランクインしており、企業はこれらの脅威に備える必要があります。
2025年のお盆休みに向けた企業組織の情報セキュリティ対策を、最新データや事例を基に解説します。
2025年の情報セキュリティ脅威の動向
IPAの「情報セキュリティ10大脅威 2025」によると、2024年に発生したセキュリティインシデントを基に、以下の脅威が特に注目されています。
・ランサムウェア攻撃
データを暗号化し、身代金を要求する攻撃。中小企業の被害が前年比約4割増加。
・サプライチェーン攻撃
取引先や委託先を介した攻撃が増加。2025年4月に経済産業省がサプライチェーン強化のためのセキュリティ対策評価制度を公表。
・地政学的リスクに起因するサイバー攻撃
国家間の緊張に伴うDDoS(分散型サービス妨害)攻撃が初ランクイン。
・内部不正や不注意による情報流出
社員のミスや内部犯行によるデータ流出が依然として問題。
また、警察庁の2024年度データでは、サイバー犯罪検挙件数が13,164件に上り、10年連続で増加しています。
特に、VPN(仮想プライベートネットワーク)の脆弱性を悪用した攻撃や、生成AIを活用した高度な攻撃が顕著です。
これらの脅威は、長期休暇中にシステム監視が手薄になるタイミングで特にリスクが高まります。
お盆休みにおけるリスクの特徴
お盆休みは、システム管理者やIT担当者が不在になりがちで、セキュリティインシデントへの対応が遅れる可能性があります。
IPAは、長期休暇中のリスクとして以下を指摘しています
・管理者の不在
システム監視や緊急対応が遅れ、被害が拡大する可能性。
・社員のセキュリティ意識の低下
休暇中のリモートアクセスやBYOD(Bring Your Own Device:個人所有デバイスの業務利用)による脆弱性の増加。
・攻撃の増加
デジタルデータソリューションによると、長期休暇前後はサイバー攻撃が2倍以上に増加。
2025年上半期の事例では、保険ショップ大手A社がランサムウェア攻撃により510万件の個人情報流出の可能性を報告し、テーマパーク運営のB社が200万件の情報流出とシステム障害を経験しました。 これらは、休暇中のセキュリティ体制の不備が被害拡大につながった例です。
2025年のお盆休みに向けた企業組織が講じるべき情報セキュリティ対策として、IPAやトレンドマイクロの推奨に基づいた具体的なアクションをご紹介します。
1.脆弱性管理
マイクロソフトのパッチチューズデー(毎月第2火曜日)に公開されるセキュリティアップデートを適用し、システムの脆弱性を解消。2025年8月のパッチチューズデーは8月12日です。
2.ゼロトラストモデルの導入
ゼロトラスト(誰も信用しない前提のセキュリティモデル)を採用し、社内外のアクセスを厳格に認証。リモートワーク時のVPN接続のセキュリティ強化が特に重要。
3.バックアップの確認
ランサムウェア対策として、データのオフラインバックアップを定期的に取得し、復元テストを実施。
4.セキュリティポリシーの見直し
BYODやテレワークのルールを明確化し、社員に周知。IPAの「セキュリティのすゝめ」を参考に、家庭用ルーターのセキュリティ設定も推奨。
5.緊急連絡網の整備
委託先企業を含む緊急連絡体制を事前に確認。休暇中の担当者を明確化し、連絡先を共有。
6.インシデント対応計画
セキュリティインシデント発生時の対応手順を文書化し、シミュレーションを実施。IPAのサイバーセキュリティ相談窓口を活用可能。
7.フィッシング対策
フィッシングメールの増加が報告されており、2025年3月のフィッシング対策協議会報告では攻撃傾向の変化が確認されています。社員に不審なメールの識別方法を教育。
8.サポート詐欺への注意
IPAが指摘するサポート詐欺(偽の警告でユーザーを騙す手口)への対応として、公式サイト以外からのソフトウェアインストールを禁止。
9.セキュリティ意識の向上
NISC(内閣サイバーセキュリティセンター)の「サイバーセキュリティ月間2025」のテーマ「家庭や職場で話し合い、見直したいセキュリティ対策」を活用し、社員間のディスカッションを促進。
10.アタックサーフェス管理
トレンドマイクロが推奨するアタックサーフェス(攻撃対象領域)の継続的監視を導入。クラウドネイティブ環境でもセキュリティを確保。
11.UTMの活用
サクサのUTM(統合脅威管理アプライアンス)を導入し、ファイアウォールやアンチウイルスを一元管理。
12.ログ監視
異常アクセスの早期発見のため、ログ監視を強化。休暇中も最小限の監視体制を維持。
13.システムの再点検
休暇明けにシステムログを確認し、不正アクセスの痕跡を調査。
14.パッチ適用
休暇中に公開されたセキュリティパッチを速やかに適用。
15.インシデント報告
不審な事象を検知した場合、警察庁の「サイバー事案に関する相談窓口」やIPAの相談窓口に報告。
最新技術と制度への対応
2025年は、AI技術の進化や地政学的リスクの増大により、サイバー攻撃がさらに高度化しています。
特に、AIクローラーによるWebコード解析の高速化やゼロデイ攻撃(パッチ未公開の脆弱性を悪用する攻撃)の増加が予測されます。
また、2025年5月に運用開始の「セキュリティ・クリアランス制度」(重要経済安保情報保護・活用法)により、機密情報の取り扱いが厳格化されており、企業は経済安全保障に関する情報保護の準備を進める必要が出てきました。
事例から学ぶ教訓
2024年のKADOKAWAグループへのランサムウェア攻撃は、ニコニコ動画や出版業務に大きな影響を及ぼし、約36億円の特別損失が発生。
この事例では、データセンターの緊急シャットダウンや社内ネットワークの停止が迅速に行われたものの、事業への影響は避けられませんでした。
企業は、事前のバックアップや迅速な初動対応の重要性を再認識する必要があります。
2025年のお盆休みは、サイバー攻撃のリスクが高まる時期です。
ランサムウェアやサプライチェーン攻撃、地政学的リスクに備え、事前のシステム点検、緊急連絡体制の整備、社員教育、休暇中の監視、休暇後の対応を徹底することが求められます。
【参考記事】
https://www.trendmicro.com/ja_jp/jp-security/23/d/securitytrend-20230420-01.html
https://www.ipa.go.jp/security/anshin/heads-up/alert20241217.html