1. 情報セキュリティ10大脅威とは

「情報セキュリティ10大脅威」は、前年に発生した社会的に影響が大きかったと考えられる情報セキュリティにおける事案から、IPAが脅威候補を選出し、情報セキュリティ分野の研究者、企業の実務担当者など約200名のメンバーからなる「10大脅威選考会」が脅威候補に対して審議・投票を行い、決定したものです。

例年は、個人編・組織編ともに1位〜10位までのランキング形式で発表されていましたが、2024年より個人編はランキング形式ではなく五十音順で並べられるようになりました。これは、順位が高い脅威を優先的に対応することで、下位の脅威への対策が疎かになることを懸念してのことだそうです。

※IPA「情報セキュリティ10大脅威2025：個人編」を基にイー・ガーディアンが作成

2. 顧客を守るために企業が特に注意すべき脅威

これら10大脅威の中から、特にBtoCサービスを提供する事業者への影響が大きく、対策が急がれる3つをピックアップし、具体的な被害内容や企業が取るべき対策について解説します。

■ クレジットカード情報の不正利用

【顧客の被害】

身に覚えのない高額な請求といった直接的な金銭被害を受けます。被害に気づいた後も、カード会社への連絡、利用停止、再発行手続きなど、多大な時間と手間を強いられることになります。何より、「どこから自分の情報が漏れたのだろう」という消えない不安感に苛まれます。

【企業への影響】

自社サイトが情報漏えいの原因と特定されれば、顧客からの信頼は完全に失墜します。巨額の損害賠償、行政処分、カード会社からの取引停止命令など、事業の継続自体が困難になるほどの致命的なダメージを受ける可能性があります。たとえ自社に直接の非がなくても、「あのECサイトでカードを使ってから不正利用された」という噂が広まるだけで、深刻な風評被害や売上減少に繋がります。

【企業としての対策】

• PCI DSS準拠
  クレジットカード業界のセキュリティ基準「PCI DSS」に準拠したシステムの構築・維持が重要です。

• 脆弱性診断の定期的実施
  自社サイトに脆弱性がないか、定期的に専門家による診断を受けましょう。

• 決済代行サービスの活用
  自社でカード情報を保持しない「非保持化」に対応した決済代行サービスの利用も有効です。

• 不正検知システム（FDS）の導入
  不正なカード利用のパターンを検知し、被害を未然に防ぎましょう。

■ ネット上の誹謗・中傷・デマ

【顧客の被害】

貴社が提供するコミュニティやSNS、レビュー欄などで、他の利用者から心ない言葉を浴びせられ、精神的な苦痛を受けます。場の雰囲気が悪化することで、安心してサービスを利用できなくなり、貴重な意見交換や交流の場が失われ、最終的にはサービスそのものから離れていってしまいます。また、企業やそのサービスに関する根拠のないデマや悪意のある誹謗中傷を目にし、不安を感じ購入や利用をやめてしまう場合もあります。

【企業への影響】

顧客にとっての居心地の悪さは、サービスの過疎化、つまりUGC（ユーザー生成コンテンツ）の質の低下や量の減少に直結します。放置すれば「運営が管理していない無法地帯」というネガティブな評判が広がり、企業の管理責任が問われる事態にも発展しかねません。健全なコミュニティは、それ自体が企業の大きな資産です。また、攻撃の対象が企業だった場合、風評被害によるブランドイメージの低下や顧客離れ等、その損害ははかり知れません。

【企業としての対策】

• ガイドラインの整備
  明確なコミュニティガイドラインを策定し、ユーザーに周知徹底しましょう。

• 投稿監視体制の構築
  専門の監視チームによる24時間365日体制での監視が有効です。ガイドラインに抵触する不適切な投稿は迅速に非表示・削除しましょう。

• 迅速かつ正確な情報発信
  デマが確認された場合は、公式サイトやSNS公式アカウントを通じて、迅速かつ毅然とした態度で正確な情報を発信し、顧客の不安を払拭します。

• 誠実な顧客コミュニケーション
  顧客が気軽に問い合わせや意見を伝えられるチャネルを確保し、誠実な対話を心がけることで、誤解を防ぎ、ファンを育成します。

■ フィッシングによる個人情報等の詐取

【顧客の被害】

企業や公的機関を装った偽のメール・SMS・Webサイトに誘導され、ID/パスワード、クレジットカード情報、個人情報などを入力してしまい、金銭被害や不正利用に遭います。手口は年々巧妙化しており、見分けることが困難になっています。

【企業への影響】

自社ブランドが悪用されることで、顧客が受けた被害はそのまま企業の信頼失墜に繋がります。「あのサービスを騙る詐欺が多い」という評判はブランドイメージを著しく毀損し、顧客離れを招きます。また、被害に遭った顧客からの問い合わせ対応や調査、補償などで想定外のコストとリソースを割かれることになります。

【企業としての対策】

• 顧客への積極的な啓発
  公式サイトやメールマガジン、SNS等で、最新のフィッシング手口と正しいサイトの見分け方を定期的に周知しましょう。「弊社からSMSでログインを促すことはありません」など、具体的な情報発信が有効です。

• 技術的対策の強化
  送信ドメイン認証技術（SPF, DKIM, DMARC）を導入し、なりすましメールをブロックしましょう。

• 偽サイトの早期発見・テイクダウン
  自社のサービス名やブランド名などを騙る偽サイトを24時間体制で監視し、被害が発生する前に早期発見・迅速なテイクダウン（閉鎖要請）を実施しましょう。

3. 「安心・安全」をサービスの標準品質にするために

これらの脅威から顧客を守るためには、個別の対策だけでなく、企業全体としてセキュリティに対する考え方を変え、戦略的に取り組む必要があります。

• セキュリティ・バイ・デザイン
  新しいサービスやシステムを開発する際には、企画・設計段階からセキュリティ要件を組み込みます。後付けの対策では限界があります。

• カスタマーサポートとセキュリティの連携
  顧客から寄せられる「不審なメールが来た」「ログインできない」といった声は、セキュリティインシデントの予兆かもしれません。カスタマーサポート部門とセキュリティ部門が密に連携し、情報を共有する体制を築きましょう。

• 透明性と誠実さ
  万が一、顧客に影響が及ぶインシデントが発生してしまった場合、隠蔽せず、迅速かつ誠実に情報を開示することが、結果的に顧客からの信頼を維持・回復する道となります。

• 顧客へのエンパワーメント
  企業が対策を講じるだけでなく、顧客自身がセキュリティ意識を高められるような情報提供（安全なパスワード設定方法、MFAの推奨など）も重要です。

ユーザー保護を「何かあった時の対応」と捉えるのではなく、サービスの根幹をなす「標準品質」と位置づけること。その姿勢こそが、結果的に顧客ロイヤルティを高め、企業の持続的な成長と競争力に繋がります。

4. まとめ

本記事で見てきたように、「個人の脅威」は、もはや皆様の事業リスクと表裏一体です。ユーザーが安心してサービスを使える環境を整備することは、単なるコストではなく、企業の未来を創るための重要な投資と言えるでしょう。

しかし、これらの対策をすべて自社の人員だけで24時間365日対応し続けることには、多大なリソースと専門知識が求められます。

私たちイー・ガーディアンは、「We Guard All」の理念のもと、インターネットの世界で企業とユーザーを守るための様々なソリューションを提供しています。

● フィッシングサイト対策には「フェイクサイトテイクダウン」
● SNSやコミュニティの健全化には「投稿監視サービス」
● サービスの技術的な欠陥を防ぐ「脆弱性診断サービス」
● ユーザーからの問い合わせに迅速・丁寧に対応する「カスタマーサポート代行」

貴社のサービスに潜むリスクの洗い出しから、具体的な対策の実行まで、私たちが一気通貫でサポートします。ユーザーからの信頼を勝ち取り、事業をさらに成長させるために、ぜひ一度イー・ガーディアンにご相談ください。

＞＞ イー・ガーディアンのサービスに関するお問い合わせはこちら