佐々木総研グループ

株式会社佐々木総研
西日本税理士法人／西日本社会保険労務士法人
株式会社M＆Cパートナーコンサルティング
株式会社クロスディーズ

本コラムの内容は、執筆時点での法令等に基づいています。また、本記事に関する個別のお問い合わせは承っておりませんのでご了承ください。

情報処理推進機構（IPA）が毎年発表している「情報セキュリティ10大脅威」の2026年版が公開されました。このランキングは、前年に発生した社会的に影響の大きいセキュリティ事案を基に選出されるもので、組織のセキュリティ対策における重要な羅針盤となっています。

今年の「組織」における脅威ランキングで最も注目すべき点は、初登場でいきなり3位にランクインした「AIの利用をめぐるサイバーリスク」です。生成AIをはじめとするAI技術の急速な普及は、業務効率化や新たな価値創造に大きく貢献していますが、同時にこれまで想定していなかったリスクも招いています。具体的には、従業員が機密情報を不用意にAIに入力してしまうことによる情報漏洩や、AIが生成した不正確な情報を鵜呑みにして意思決定を行ってしまうリスクなどが挙げられます。また、攻撃者側もAIを悪用しており、より巧妙なフィッシングメールの作成や、サイバー攻撃の自動化・高度化に利用される懸念も高まっています。

一方で、1位と2位は昨年に引き続き、「ランサムウェアによる被害」と「サプライチェーンや委託先を狙った攻撃」が占めました。ランサムウェアは11年連続のランクインとなり、依然として組織にとって最大の脅威であり続けています。また、自社のセキュリティ対策だけでは防ぎきれないサプライチェーン攻撃も高止まりしており、取引先を含めた包括的な対策の必要性が改めて浮き彫りになりました。

「個人」向けの脅威については、順位が低い脅威への警戒が薄れることを防ぐため、今回からランキング形式ではなく五十音順での発表となりました。「インターネットバンキングの不正利用」や「フィッシングによる個人情報等の詐取」など、金銭や情報を狙った手口は依然として多く、手口も日々巧妙化しています。

今回の「AIリスク」のランクインは、テクノロジーの進化が新たな脅威を生み出すというセキュリティの宿命を象徴しています。新しい技術を導入する際は、その利便性だけでなく、影の部分であるリスクにも目を向け、適切なルール作りや教育を行うことが不可欠です。従来の対策に加え、AI時代に即した新たなセキュリティ観点を持つことが、組織を守る鍵となるでしょう。

セキュリティ対策に「これで終わり」はありません。IPAの発表を一つの契機として、自組織の対策状況を見直し、変化する脅威に適応していく姿勢が求められています。

用語解説

・ランサムウェア：感染したコンピュータのデータを暗号化し、元に戻すための「身代金」を要求する不正プログラム。

・サプライチェーン攻撃：セキュリティ対策が強固な本来の標的（大企業など）を直接攻撃するのではなく、その取引先や関連会社など、比較的対策が手薄な企業を足掛かりにして攻撃を仕掛ける手法。

・フィッシング：実在する企業やサービスを装ったメールやSMSを送りつけ、偽のWebサイトに誘導してIDやパスワード、クレジットカード情報などを盗み出す詐欺手法。

出典・参考情報

・「セキュリティ10大脅威2026」
　https://www.ipa.go.jp/security/10threats/10threats2026.html