求められる対策: 資安署は、すべての情報通信システムに対する厳格な「変更管理」と「ダウンロード制御」の仕組み構築を求めている。具体的には、アプリケーションだけでなく、ドライバやハードウェア部品に至るまで、すべてのソフトウェア導入に正式な申請と承認、そして監査プロセスを経由させることが必要となる 。
脅威の実態: 攻撃者が「Bring Your Own Driver(自前のドライバ持ち込み:BYOVD)」と呼ばれる手法を多用し始めた。これは、正規のデジタル署名がされた脆弱なドライバを意図的にシステムにインストールし、それを踏み台にカーネルレベルの高い権限を取得するというものだ。これにより、エンドポイントのセキュリティ製品を無効化し、ランサムウェアを検知されずに展開することが可能になる 。
求められる対策: 資安署は多層防御の構築を呼びかけている。定期的なWebサイトの脆弱性診断と発見した脆弱性の即時修正に加え、Webアプリケーションファイアウォール(WAF)を導入して不正なリクエストを遮断する。そして極めて重要なのが、エンドポイント対策の継続的な運用だ。セキュリティ製品自体を常に最新の状態に保ち、新たな攻撃手法が登場するたびに、脅威を検知するためのルールを進化させ続けなければならない 。
脅威の実態: システムの保守運用を請け負う委託業者が、政府機関のWebサーバーに許可されていないリモートデスクトップソフトウェアを無断でインストール。攻撃者はそのツールに対して総当たり攻撃で弱いパスワードを突破し、正規の業者になりすましてログイン後、機密性の高いシステムへ内部から横展開するケースがあった 。
求められる対策: この問題の本質は技術だけでなく組織管理にある。資安署は、外部委託業者に対するセキュリティ管理基準の厳格化を要求。アクセス権限の制御、データ保護ルール、脆弱性管理のプロセス、そしてインシデント発生時の報告義務などを明文化し、定期的な監査とコンプライアンスチェックによって、規則が「絵に描いた餅」ではなく、現場で遵守されているかの確認を義務付けている 。
脅威の実態: ルーター、ファイアウォール、VPN機器といった、組織のネットワーク境界に位置する機器のファームウェアが更新されずに放置されていたり、危険な設定ミスがあったりすることで、攻撃者に格好の侵入口を与えてしまっている 。
求められる対策: 資安署はここで、シンプルだが強力な発想の転換を推奨している。それは、全ての外部接続において「ホワイトリスト方式」を採用し、業務上不要な通信ポートをデフォルトですべて遮断することだ。加えて、ネットワーク境界にある全機器の「棚卸し」(機器のモデルやファームウェアバージョンの全数把握)を実施し、パッチが確実に適用され、かつ、実際に修正されたことを確認するための継続的な更新・検証プロセスを構築する必要がある 。
脅威の実態: 攻撃者は、フィッシングや巧妙なシナリオで相手を騙す「プリテキスティング」などのソーシャルエンジニアリングと、設定不備のあるクラウドサービスや、乗っ取ったクラウドアカウントを組み合わせ、機密データの窃取を図る。ひとりの職員が悪意あるリンクや添付ファイルを開いてしまうだけで、一見正当なクラウドストレージを通じてデータが組織の外へ静かに流出していく 。
求められる対策: 資安署は2段階の防御策を明示している。第一に、電子メールのフィルタリングと「サンドボックス検知」を導入し、不審な添付ファイルやリンクがエンドユーザーに届く前に遮断すること。第二に、クラウド環境の「堅牢化」だ。共有ドライブの権限を最小化し、ファイルアップロード時の自動スキャンを有効にする。クラウドストレージへのリンクに対しても安全性チェックを実施し、悪意あるファイルの拡散を防ぐ必要がある 。
2025年のデータが示す全体像は明らかだ。インシデントの総数は2024年と比べて29件減少したが、そのうち3分の2以上を占める「不正侵入」の脅威は増すばかりである 。深刻度別に見ると、最も軽微な「レベル1」が87.33%を占めるなど、大半は低レベルの事案だが、絶え間なく続く「嫌がらせ」のような攻撃に常に晒されている実態が浮かび上がる
。
資安署が示した「5大脅威」は、政府としての対策指針の明確な転換点を示している。2025年初頭には、暗号化の弱さやインジェクション攻撃への対策不足、アクセス制御の不備といった、より技術的な「穴」が警告の中心だった 。しかし、今回特定された新たな脅威群は、従来の境界防御では捉えきれない「人」と「サプライチェーン」の層を狙っているのが特徴だ。