10大脅威とセキュリティ

毎年この時期に公表される「情報セキュリティ10大脅威」が、2026年1月29日に発表されました。
各脅威に対する解説資料は、公開時期は現時点では未定となっています。

「情報セキュリティ10大脅威」は、昨年1年間に発生した社会的に影響が大きかったと考えられる情報セキュリティにおける事案から、独立行政法人情報処理推進機構(IPA)が脅威候補を選出し、情報セキュリティ分野の研究者や企業の実務担当者などのメンバー約250名からなる「10大脅威選考会」が脅威候補に対して審議・投票を行い、決定したものになります。
発表された2026年版の組織編について、留意点を解説いたします。

《組織(法人)向け》
2025年と変わらず1位と2位は「ランサムウェアによる被害」と「サプライチェーンの弱点を悪用した攻撃」でした。「ランサムウェアによる被害」はついに6年連続の1位となりました。
個々の脅威が個々のリスクになっているのではなく、連動した脅威となっています。
標的型攻撃メールを起点に認証情報が奪われ、奪われたアカウントでクラウドやシステムに侵入し、設定ミスや過剰な権限を足がかりに情報を抜き、最終的にはランサム被害へと発展する。そして、システム利用者だけではなく取引先や委託先にも被害が広がる構造です。
自組織だけでなく、関係各社と連携してセキュリティ対策の構築と運用が必要です。

新たに「AIの利用をめぐるサイバーリスク」がランクインしました。
AIは業務効率を高める強力な道具である一方で、機密情報の入力、不適切な学習データの利用、出力結果の過信、攻撃者によるAI悪用といった、これまでにないタイプの脅威となっています。
セキュリティ対策が「ITシステムの防御」から、「AIの使い方を含めた組織ルールの設計」へと広がっていることを実感します。

「不注意による情報漏えい等」がランク外となりましたが、依然減らないのが人的ミスによる情報漏えいです。
誤送信、設定ミス、脆弱性管理ミス、運用ミスなどはすべて人的要因となりますので、ランク外と言えどもセキュリティマネジメントにおける人的対策は重要なポイントです。

情報セキュリティの脅威は日々進化しています。最新の脅威動向を常に把握し、適切な対策を講じることで、被害の発生や拡大を未然に防ぐことが求められます。