「サイバーセキュリティ2025」(NISC 2025年6月公表)要約

### 「サイバーセキュリティ2025」のポイントと中小企業における課題と対策について **2025年6月27日、国家サイバー統括室（旧NISC）より「サイバーセキュリティ2025」が公表されました。** この文書は、サイバーセキュリティ政策のさらなる強化を目的として策定されたもので、サイバーセキュリティ基本法に基づく年次報告・年次計画として位置づけられています。政府の戦略的な方針を示すとともに、各府省庁、重要インフラ事業者、民間企業などが今後の施策を展開する際の指針となるものです。このページでは、中小企業の皆さまにとって特に重要なポイントを整理し、限られたリソースの中でも実践しやすい対策の方向性をご紹介します。 #### 1. 概要 - 「サイバーセキュリティ2025」の主な目的は、**国家及び社会全体のサイバーセキュリティ水準を向上させること**です。特に、サイバー攻撃が巧妙化・複合化し、地政学的なリスクとも連動する中で、国民、企業、政府機関などが一体となって取り組むべき方向性を提示しています。主要な柱は以下３つです。 - **重要インフラの安定稼働と安全性確保**：電力、通信、金融などの基幹システムをサイバー攻撃から守る。 - **サプライチェーン全体のセキュリティ強化**：大企業だけでなく、その取引先である中小企業を含めた全体のセキュリティレベルを引き上げる。 - **国民一人ひとりのセキュリティ意識向上と対策推進**：個人のデジタルリテラシーを高め、日々の生活におけるセキュリティ対策を促す。 #### 2.昨年度のサイバー攻撃の状況 - 2024年度は、サイバー攻撃が質・量ともに一段と高度化しました。特に顕著だったのは、中小企業を狙った**ランサムウェア攻撃の増加**と、**サプライチェーンを標的とした攻撃の深刻化**です。政府機関や重要インフラへの攻撃も継続的に発生し、国家レベルの脅威として認識されました。 #### 3. 2024年度の政府の取り組みと主な成果 - このような状況のなか、2024年度の政府の取り組みと主な成果は以下の通りです。 - **サイバーセキュリティ基本法の改正検討**：重要インフラ事業者に対する規制強化と、中小企業への支援強化を盛り込みました。 - **サイバー演習の実施と参加企業拡大**：重要インフラ事業者だけでなく、サプライチェーンを構成する中小企業も参加対象に含め、有事対応能力の向上を図りました。 - **情報共有体制の強化**：脅威情報や脆弱性情報の共有プラットフォームを拡充し、官民連携を強化しました。具体的には、**J-CSIP（サイバー情報共有イニシアティブ）** への参加企業拡大を通じて、民間企業からの脅威情報を集約・分析し、対策に役立てました。 - これらの取り組みにより、特に重要インフラ分野におけるインシデント対応能力は一定の向上が見られましたが、中小企業における対策は依然として課題が残ると報告されています。 #### 4.中小企業の課題 - 多くの中小企業が直面するサイバーセキュリティの課題は、主に以下の点に集約されます。 - **専門人材の不足**：社内にセキュリティ担当者がいない、または知識・経験が不足している - **予算の制約**：セキュリティ対策に十分な予算を割けない。 - **情報不足と対策の遅れ**：最新の脅威情報や適切な対策方法を把握できていない。 - **サプライチェーン攻撃のターゲット化**：大企業を狙う攻撃者が、セキュリティが手薄な中小企業を侵入口として利用するケースが増加。 #### 5.今年度の政府の取り組み - 以下は、サイバーセキュリティ2025および「喫緊に取り組むべき事項」（令和7年5月29日）で示された、中小企業向けの具体的な支援策です。 - **SECURITY ACTION(自己宣言制度)** - 情報セキュリティ対策に不安を抱える企業向けに、段階的な目標設定（一つ星・二つ星）を通じて取り組みを促す - 自社Webサイト等に宣言ロゴを掲出することで、対外的な信頼向上にも寄与 - **「サイバーセキュリティお助け隊」サービス** - IT に不慣れな中小企業でも、地域の認定事業者から低コストで専門支援を受けられる - 提供内容は、セキュリティ診断、ウイルス対策支援、インシデント対応、社員向け教育など - **情報処理安全確保支援士とのマッチング支援** - 国家資格を有する専門家（登録セキスペ）が、中小企業の体制構築を伴走支援 - 経営層との連携を図りながら、社内ルール策定やリスク管理体制の整備を支援 - **セキュリティ要件適合評価及びラベリング制度（JC-STAR）の推進** - IoT 製品等に対するセキュリティ適合評価とラベリングを通じて、信頼性ある製品選定を支援 - 公共調達や大手企業の選定基準との連携も進行中 - **サプライチェーン強化に向けたセキュリティ対策評価制度（新制度）【検討中】** - 企業のサプライチェーン上での重要度・影響度に応じたセキュリティ対策水準（★3〜★5）を設定・評価する制度 - 現在2026 年度の制度開始に向けて検討が進められており、段階的な対策の明確化と発注者側との整合性確保を目的とする - **補助金・税制優遇支援** - IT 導入補助金（セキュリティ対策枠）などの施策により、初期費用の軽減を支援　 - **地域セミナー・オンライン研修の展開** - 商工会議所や IPA による初心者向けの講座を全国展開 - 社員教育コンテンツの拡充とアクセス改善を推進 - **J-CSIP（情報共有イニシアティブ）の活用 ** - 中小企業が直接参加できない場合でも、IPA・JPCERT/CC などが公開する脅威情報を定期的に収集・活用可能 #### 6.中小企業が今すぐ取り組めるステップ | アクション | 内容 | 利用方法 | | ------------------ | ---------------------------- | ---------------------------------------------------------------------------------------------------------------------------------- | | SECURITY ACTIONを宣言 | 最初の一歩として社内状況をチエックし、対外的信頼性を向上 | [IPA公式ページ]([SECURITY ACTION セキュリティ対策自己宣言](https://www.ipa.go.jp/security/security-action/)) | | お助け隊サービスの導入 | 地域事業者からセキュリティ診断・設定支援を受ける | [IPA公式ページ]([サイバーセキュリティお助け隊サービス制度 \| 情報セキュリティ \| IPA 独立行政法人情報処理推進機構](https://www.ipa.go.jp/security/sme/otasuketai/index.html)) | | 支援士との連携 | 継続的な体制構築と社員教育 | [IPA公式ページ]([登録セキスペを探すなら「検索サービス」 \| デジタル人材の育成 \| IPA 独立行政法人情報処理推進機構](https://www.ipa.go.jp/jinzai/riss/katsuyou/kensaku.html)) | | JC-STAR製品を活用 | IoT機器等における製品選定の信頼性向上 | [IPA公式ページ]([セキュリティ要件適合評価及びラベリング制度（JC-STAR） \| 情報セキュリティ \| IPA 独立行政法人情報処理推進機構](https://www.ipa.go.jp/security/jc-star/index.html)) | | J-CSIP等の公開情報収集 | 脅威動向と推奨対策を自社に反映 | [IPA公式ページ]([サイバー情報共有イニシアティブ J-CSIP（ジェイシップ） \| 情報セキュリティ \| IPA 独立行政法人情報処理推進機構](https://www.ipa.go.jp/security/j-csip/index.html)) | | 地域研修に参加 | 社員のセキュリティ意識向上・行動変容 | 地域の商工会議所等支援機関Webサイト | 中小企業の皆さまが継続的かつ安心して事業を展開できるよう、サイバーセキュリティ対策は“実践と支援の両輪”で進めることが重要です。まずはできるところから一歩ずつ始めましょう。 #### [関連リンク] - 「サイバーセキュリティ2025」に関する詳細情報へのリンク：[250627cs2025.pdf](https://www.nisc.go.jp/pdf/policy/kihon-s/250627cs2025.pdf) - [中小企業の情報セキュリティ対策ガイドライン | 情報セキュリティ | IPA 独立行政法人情報処理推進機構](https://www.ipa.go.jp/security/guide/sme/about.html) - [SECURITY ACTION セキュリティ対策自己宣言](https://www.ipa.go.jp/security/security-action/) - [サイバーセキュリティお助け隊サービス制度 | 情報セキュリティ | IPA 独立行政法人情報処理推進機構](https://www.ipa.go.jp/security/sme/otasuketai/index.html) - [セキュリティ要件適合評価及びラベリング制度（JC-STAR） | 情報セキュリティ | IPA 独立行政法人情報処理推進機構](https://www.ipa.go.jp/security/jc-star/index.html) - [サイバー情報共有イニシアティブ J-CSIP（ジェイシップ） | 情報セキュリティ | IPA 独立行政法人情報処理推進機構](https://www.ipa.go.jp/security/j-csip/index.html)