目次
2026年 情報セキュリティ10大脅威
| 順位 | 「組織」向け脅威 | 初選出年 | 10大脅威での取り扱い(2016年以降) |
|---|---|---|---|
| 1 | ランサム攻撃による被害 | 2016年 | 11年連続11回目 |
| 2 | サプライチェーンや委託先を狙った攻撃 | 2019年 | 8年連続8回目 |
| 3 | AIの利用をめぐるサイバーリスク | 2026年 | 初選出 |
| 4 | システムの脆弱性を悪用した攻撃 | 2016年 | 6年連続9回目 |
| 5 | 機密情報を狙った標的型攻撃 | 2016年 | 11年連続11回目 |
| 6 | 地政学的リスクに起因するサイバー攻撃(情報戦を含む) | 2025年 | 2年連続2回目 |
| 7 | 内部不正による情報漏えい等 | 2016年 | 11年連続11回目 |
| 8 | リモートワーク等の環境や仕組みを狙った攻撃 | 2021年 | 6年連続6回目 |
| 9 | DDoS攻撃(分散型サービス妨害攻撃) | 2016年 | 2年連続7回目 |
| 10 | ビジネスメール詐欺 | 2018年 | 9年連続9回目 |
出展:IPA『情報セキュリティ10大脅威 2026』
ポイント
今回の最大の変化は、AI関連リスクが初めて上位に入ったことです。
生成AIの誤使用による情報漏えいや、攻撃者がAIを悪用して攻撃手口を高度化させるケースが増えており、従来のランサム攻撃やサプライチェーン攻撃とあわせて、新旧の脅威が同時に拡大しています。
そのため企業には、AI利用ルールの整備と、これまでのセキュリティ対策を両立させる体制づくりが一層求められています。
2026年度末には「セキュリティ格付け制度(SCS評価制度)」が始まり、企業の対策状況が客観的に示されるようになります。
従来脅威の深刻化に加え、AI時代の新リスク、そして格付け制度による可視化が重なる2026年は、より実効的で分かりやすいセキュリティ対応が求められる一年といえます。
対策
基本的な対策を、組織全体でしっかり行うことが重要+最新のリスクも知っておきましょう。
システムによる対策(自動化による防衛強化)
- 人の監視では対応できない部分はシステムによる検知・遮断が必須
- インターネットのリスクを低減する環境構築、不審メール検知隔離、ウイルス対策
復元できる仕組み
- 意図しないデータ削除、故障、ランサムウェア被害でも復旧できるバックアップの仕組み
- ローカル→クラウド、クラウド→他クラウドへのバックアップ、復旧テストの定期実施
脆弱性対策
- パソコン・ソフトのアップデート、ネットワーク機器のファームウェアアップデート
- 古い・不要な機器は取り外す、組織で利用する機器を把握・管理が必要(資産管理台帳の整備)
利用ルールの徹底
- ルールがないと、意図せず情報漏えい・人為的な情報漏えいが防げない、権限管理
社員教育
- フィッシングメールに信じて自ら情報を入力してしまうと防げない、不審なメールは社内共有
- 偽の警告のサポート詐欺、社長をかたるLINEやメッセ―ジでの振込指示も、知っていれば防げる
《New!》AI利用ルール
- AIに社外秘の情報を渡さない、AIサービスの情報の取り扱いや規定を確認する
- 組織で利用するAIサービスを決める、利用ルールを設ける
2026年末からは、外部からセキュリティ対策について確認が求められることも増える可能性があります。まずは現状を確認しましょう。
