AI時代のサイバーリスクと企業が向き合うべき現実
情報セキュリティ10大脅威 2026
2026年1月29日、IPA(情報処理推進機構)は「情報セキュリティ10大脅威 2026」を発表しました。
前年に発生した重大インシデントや攻撃手法の変化を踏まえ、毎年更新されるこのランキングは、企業・組織が「今年どの脅威に最も注意すべきか」を示す重要な指標です。
2026年版の特徴は、初めて「AIの利用をめぐるサイバーリスク」が3位に選出されたこと。
生成AIの普及が一気に進む中、企業のセキュリティ対策は新たな局面に入っています。
1. 情報セキュリティ10大脅威とは?
IPAが毎年発表する、国内で発生した情報セキュリティ事故・攻撃の中から、社会的影響が大きかったものをランキング化したものです。
企業・組織・個人が「今年特に注意すべき脅威」を把握するための指標として、広く活用されています。
どのように選ばれるのか
選定にあたっては、以下の観点が総合的に評価されます。
- ・セキュリティ分野の専門家による投票
- ・前年の事故・攻撃の発生状況
- ・社会的影響の大きさ
- ・今後の拡大可能性
これらを評価し、ランキングが決定されます。
2. そもそもIPAとは?
IPA(独立行政法人 情報処理推進機構)は、情報セキュリティ、人材育成、IT産業の発展を支援する公的機関です。
なぜIPAが10大脅威を発表するのか
IPAは、企業や個人が適切なセキュリティ対策を講じられるよう、次のような活動を行っています。
- ・情報提供
- ・注意喚起
- ・ガイドライン策定
10大脅威は、「今年はここに特に注意してほしい」という公式メッセージであり、企業のセキュリティ方針や教育計画の参考資料として活用されることが期待されています。
3. 情報セキュリティ10大脅威 2026の概要
2026年版のランキングには、従来の脅威に加え、新たな動きが見られます。
特に、生成AIの普及に伴うリスクが初めてランクインした点は大きな変化です。
2026年版ランキング(IPA発表より)
| 順位 | 「組織」向け脅威 | 初選出年 | 10大脅威での取り扱い (2016年以降) |
|---|---|---|---|
| 1 | ランサム攻撃による被害 | 2016年 | 11年連続11回目 |
| 2 | サプライチェーンや委託先を狙った攻撃 | 2019年 | 8年連続8回目 |
| 3 | AIの利用をめぐるサイバーリスク | 2026年 | 初選出 |
| 4 | システムの脆弱性を悪用した攻撃 | 2016年 | 6年連続9回目 |
| 5 | 機密情報を狙った標的型攻撃 | 2016年 | 11年連続11回目 |
| 6 | 地政学的リスクに起因するサイバー攻撃(情報戦を含む) | 2025年 | 2年連続2回目 |
| 7 | 内部不正による情報漏えい等 | 2016年 | 11年連続11回目 |
| 8 | リモートワーク等の環境や仕組みを狙った攻撃 | 2021年 | 6年連続6回目 |
| 9 | DDoS攻撃(分散型サービス妨害攻撃) | 2016年 | 2年連続7回目 |
| 10 | ビジネスメール詐欺 | 2018年 | 9年連続9回目 |
※表はIPAサイトの内容を基に作成
引用元:https://www.ipa.go.jp/security/10threats/10threats2026.html
2026年は、例年上位のランサムウェアやサプライチェーン攻撃が依然として脅威の中心にあります。
一方で、生成AIの急速な普及に伴い、AI関連リスクが初選出ながら3位へランクインしたことが大きな変化です。
なぜ今これらが脅威となるのか
背景には、次のような環境変化があります。
- ・生成AIの業務利用が急拡大
- ・クラウド依存度の高まり
- ・DX推進によるシステム連携の複雑化
- ・AIを悪用した攻撃の高度化
企業のIT環境が複雑化し、攻撃者の手法もAIによって強化される中、従来の対策だけでは防ぎきれない状況が生まれています。
4. AIの利用をめぐるサイバーリスク(初選出)
2026年版で最も注目すべきポイントが、AI関連リスクの初選出です。
AIは業務効率化をもたらす一方で、外部・内部の両面で新たなリスクを生み出しています。
外部リスク:AIを悪用した攻撃の高度化
攻撃者はAIを活用し、
- ・高精度のフィッシングメール生成
- ・マルウェアの自動生成・改変
- ・攻撃対象の自動選別
など、攻撃の効率化・巧妙化を進めています。
内部リスク:AI利用による情報漏えい
企業内部でも、
- ・機密情報をAIに誤入力してしまう
- ・AIツールの利用ログが管理されていない
- ・利用ルールが曖昧なまま使われている
といった問題が顕在化しています。
こうしたリスクに対して企業には、利用ガイドラインの整備、ログ管理、教育の徹底など、AIガバナンスの強化が求められます。
5. 毎年上位に居座る外部脅威
AI以外にも、依然として深刻な脅威が存在します。
特にランサムウェアとサプライチェーン攻撃は、ここ数年常に上位を占めています。
ランサムウェア、サプライチェーン攻撃が減らない理由
理由はシンプルです。
攻撃者にとって「儲かるビジネス」だからです。
特にランサムウェアでは、
- ・データ暗号化+情報公開をちらつかせる「二重脅迫」
- ・取引先企業を巻き込む連鎖的被害
など、被害は年々深刻化しています。
6. 中小企業が直面するセキュリティの現実
情報セキュリティの脅威は、大企業だけの問題ではありません。
むしろ近年は、中小企業が攻撃対象となるケースが増えています。
その背景には、次のような現実があります。
人材・体制の不足
- ・専任の情報セキュリティ担当者がいない
- ・IT管理を兼任で行っている
- ・セキュリティ判断が個人依存になりやすい
運用面の後回し
日常業務を優先する中で、
- ・アカウント棚卸し
- ・パッチ適用
- ・ログ確認
などが後回しになりやすく、結果として攻撃の入口が残り続けます。
「自社は狙われない」という誤解
攻撃者は企業規模ではなく、「侵入しやすさ」や「取引関係」を基準に対象を選びます。
そのため、中小企業が踏み台となり、取引先へ被害が拡大するケースも少なくありません。
※グラフは警察庁「令和7年上半期におけるサイバー空間をめぐる脅威の情勢等について」を基に当社作成
引用元:https://www.npa.go.jp/publications/statistics/cybersecurity/data/R7kami/R07_kami_cyber_jyosei.pdf
セキュリティ対策は、高度な仕組みを導入することだけではなく、まずは基本的な運用を継続することが最も重要です。
7. 情報セキュリティに求められるもの
こうした脅威に対して、企業が取るべき対策は技術的な防御だけではありません。
運用・教育・ガバナンスを含めた総合的な取り組みが不可欠です。
運用面の弱点をなくす
- ・退職者アカウントの放置
- ・過剰な権限の付与(不要な権限、必要以上数の付与)
- ・MFA(多要素認証)の未導入
- ・パスワードの使い回し
- ・インシデント時の連絡体制が曖昧
といった課題を抱えたままでの日常運用のほころびが、事故につながるケースは少なくありません。
教育とガバナンスの強化
AI時代のセキュリティでは、
- ・ルールを作る
- ・守らせる
- ・例外を管理する
というガバナンスの強化が不可欠です。
経営層が理解すべきポイント
- ・セキュリティはコストではなく「事業継続の前提」
- ・インシデントは「起きる前提」で備える
- ・AI時代はルール整備が最大の防御力
経営層がセキュリティを経営課題として捉えることが、企業全体の安全性を左右します。
まとめ
2026年の情報セキュリティ10大脅威は、
従来の攻撃に加えてAI時代の新たなリスクが本格的に顕在化したことを示しています。
企業は、技術的対策だけでなく、ガバナンス、教育、運用の見直しを進めることで、これらの脅威に備える必要があります。
当社では、グループ会社や外部企業と連携し、セキュリティに関するお悩みに解決策をご提案します。まずはお気軽にお問合せください。