2026年1月29日、情報処理推進機構(IPA)は「情報セキュリティ10大脅威2026」を発表しました。
情報セキュリティ10大脅威とは、その年に社会的影響が大きかった情報セキュリティの事案からIPAが候補を選出し、「10大脅威選考会」の審議と投票によって決定されます。これは、個人と組織それぞれの観点からランキング形式で紹介されます。企業にとっては、サイバー攻撃の最新動向を把握し、今後強化または導入すべきセキュリティ対策を検討する際の重要な参考情報といえるでしょう。
本コラムでは「組織」の立場におけるTOP10についてと、初めて登場した「AIの利用をめぐるサイバーリスク」についてご紹介します。
情報セキュリティ10大脅威2026
「組織」の立場における2026年のTOP10は以下の通りです。ランサム攻撃による被害が11年連続1位になりました。今回初めて「AIの利用をめぐるサイバーリスク」がランクインしました。
2位にランクインしているサプライチェーンや委託先を狙った攻撃については2026年度下半期に導入予定のサプライチェーン強化に向けたセキュリティ対策評価制度を確認したうえで対策を検討しておきたいところです。
2025年12月頃から日本の様々な企業で被害が観測されたニセ社長による詐欺メールを代表としたビジネスメール詐欺も10位にランクインしています。
| 1位 | ランサム攻撃による被害 |
|---|---|
| 2位 | サプライチェーンや委託先を狙った攻撃 |
| 3位 | AIの利用をめぐるサイバーリスク |
| 4位 | システムの脆弱性を突いた攻撃 |
| 5位 | 機密情報等を狙った標的型攻撃 |
| 6位 | 地政学的リスクに起因するサイバー攻撃(情報戦を含む) |
| 7位 | 内部不正による情報漏えい等 |
| 8位 | リモートワーク等の環境や仕組みを狙った攻撃 |
| 9位 | DDoS攻撃(分散型サービス妨害攻撃) |
| 10位 | ビジネスメール詐欺 |
AIの利用をめぐるサイバーリスクとは
AIの利用をめぐるサイバーリスクとは、利用者のリテラシー不足、AI技術そのものの特性、そして攻撃者側の技術進化が複雑に絡み合った、多面的な脅威といえます。
-
AIを正しく理解しないまま利用することによるリスク
業務で生成AIを活用する際、入力した情報がどのように扱われるかを把握していないと、意図せず機密情報や個人情報を外部に流出させてしまう恐れがあります。また、著作権や肖像権といった第三者の権利を侵害してしまうケースも想定されます。
-
AIが出力した結果を過信してしまうリスク
AIが生成した文章や判断結果は、必ずしも正確とは限りません。十分な確認や裏取りを行わずにそのまま利用すると、誤情報の拡散や不適切な意思決定につながる可能性があります。
-
AI技術の悪用によるサイバー攻撃の変化
生成AIの活用により、巧妙で信ぴょう性の高いフィッシングメールや偽のコンテンツを短時間で大量に作成できるようになり、攻撃のハードルは大きく下がっています。これにより、攻撃手法は一層高度化・自動化し、防御側の負担が増すことが懸念されています。
-
その他の関連リスク
AIシステムそのものを標的とした攻撃や、外部のモデルやツールに依存することで生じるサプライチェーン上のリスクも無視できません。AIは単体で完結する技術ではないため、関連するデータやソフトウェアの管理体制も含めた対策が求められます。
AI技術の急速な普及により利便性が高まる一方で、従来とは異なる新たなリスクが顕在化してきたことが、上位にランクインした背景といえるでしょう。
AIの利用をめぐるサイバーリスクの対策
 |
AIの活用は、企業の成長や業務効率化において欠かせない存在となりつつあります。その一方で、リスクを踏まえた適切な対策が不可欠です。AIの利用をめぐるサイバーリスクの対策としては以下が考えられます。 |
-
社内でのAI利用ルールを明確にする
社内で利用してよいAIツールを定めるとともに、入力しても問題のないデータの種類を整理し、ルールとして明文化することが重要です。
-
従業員向けの教育・啓発を行う
従業員一人ひとりのAI活用を過度に制限しないためにも、利用可能なAIツールやルールの背景を丁寧に説明し、必要に応じて内容を見直していきましょう。
-
技術的な制限を設ける
利用を想定していないAIツールへのアクセス制限や、重要データのコピー・持ち出し制限など、誤操作やルール逸脱によるリスクを防ぐ技術的対策も有効です。
-
継続的な情報収集と対策の見直しを行う
これはAIに限らず、サイバー攻撃は日々巧妙化しています。最新動向を把握しながら、技術的対策や社内ルール、教育内容を定期的に見直すことが重要です。
まとめ
本コラムでは、情報セキュリティ10大脅威2026の概要とAIの利用をめぐるサイバーリスクについて紹介しました。
特に10大脅威にランクインしたセキュリティ脅威については、あらゆる企業が被害を受ける可能性があります。これらの脅威に対して、自社が現時点でどの程度対応できているのか、また対応が不十分な点があるのか、この機会に、自社の対策状況をあらためて確認し、不足している点がないか見直してみてはいかがでしょうか。
JBサービス株式会社は、24時間365日体制の運用センターSMACにおいて、認定ホワイトハッカーを中心とした高度なセキュリティ専門家チームによるSecurity Operation Center(SOC)機能を備えています。また、JBサービス株式会社が提供するセキュリティ運用サービス(MSS)は、「情報セキュリティサービス基準適合サービスリスト」に登録されています。セキュリティ対策の導入支援やセキュリティ運用サービスをお探しでしたら、JBサービス株式会社にご相談ください。
