保険システムよもやまばなし(第85回)
IPA「情報セキュリティ10大脅威2026」発表
今年もIPA(情報処理推進機構)から、「情報セキュリティ10大脅威2026」が公表されました(2026年1月29日)。
本調査は2006年から続く恒例レポートで、前年に発生した重大インシデントや攻撃動向をもとに、約200名の有識者が投票形式で選定するものです。組織向け・個人向けに分けて、その年の“現実的な脅威像”を示す資料として広く活用されています。
ここ数年、日本企業を狙ったサイバー攻撃は激化しており、大企業や行政機関での障害・情報漏えいの公表が相次いでいます。2025年秋以降も、企業活動を直撃する大規模インシデントが立て続けに発生しました。
■大企業を襲ったランサム攻撃の波
前回、前々回でも触れましたが、アサヒグループホールディングスは2025年9月末、ランサムウェア攻撃を受け、受発注・物流・顧客対応などの基幹システムが停止しました。復旧は長期化し、年をまたいで対応が続きました。
続く10月にはアスクルが同様の攻撃を受け、ECと物流が全面停止。2026年1月末の決算では次の影響が公表され、深刻な経営インパクトが明らかになりました。
・特別損失:52億円超
・営業外費用:6億円超
・営業赤字:約30億円
・売上:前年同期比12%減
いずれも大手企業の基幹業務が長期間停止した事例であり、報道を通じて「業種・規模に関係なく、明日は我が身」という危機感が広がっています。こうした状況の中で公表された今回のレポートには、いくつか注目すべき点が見られます。
■注目①:AI利用をめぐるサイバーリスクが初のTOP3入り
2026年版で最も象徴的な変化は、「AI利用をめぐるサイバーリスク」が組織向け脅威の第3位に初登場したことです。ChatGPTをはじめとする生成AIの普及を背景に、次のようなリスクが現実のものとなっています。
●AI利用時のリスク(利用者側)
・業務機密の誤入力・誤アップロード
・学習データとしての情報流出
・AI生成結果の誤利用・誤判断
生成AIの業務利用が急速に広がる中、「入力した情報がどこへ行くのか」という視点が不可欠になりました。
●AIを悪用した攻撃の高度化
・自然な日本語によるフィッシングメール
・音声AIによるなりすまし通話
・偽情報の大量生成・拡散
AIは“防御を強化する技術”であると同時に、攻撃側の生産性・洗練度を劇的に高めています。まさに、AI活用の光と影が同時に拡大している時代になっています。
■注目②:サプライチェーン攻撃の定着
第2位は「サプライチェーンの弱点を悪用した攻撃」。前年に続く上位入りです。
近年の攻撃は、自社ではなく委託先・ベンダー・子会社を入口に侵入する構造が増えています。
NIST CSF2.0や金融庁ガイドラインでも、「委託先・再委託先を含めた管理」が強調されています。今やセキュリティは “自社の壁の中”だけでは完結しないという認識が不可欠です。
■その他の主な脅威(組織向け)
1位:ランサムウェア被害(11年連続1位)
→ 二重恐喝・情報公開型へ進化
6位:地政学リスクに伴う攻撃
→ 国家関与が疑われる攻撃の増加
8位:リモートワーク環境への攻撃
→ VPN・RDP・クラウド設定ミスが継続的標的
9位:DDoS攻撃の再燃
→ 金融・通信・航空などが標的
■個人向け脅威
個人向けは2025年から順位付けを廃止し、五十音順での紹介に変更されました。これは「人によって脅威の深刻度が異なる」ためです。
・SNSでのなりすまし
・宅配業者や自治体を装ったフィッシング詐欺
・クレジットカードの不正利用
・パスワード使い回しによるアカウント乗っ取り
いずれも日常生活と密接に関わるリスクであり、継続的な教育と注意喚起が欠かせません。
■組織と個人の境界が消える時代
企業システムと従業員の私的環境は、すでに技術的に地続きです。
・BYOD(私用端末の業務利用)
・クラウドストレージの併用
・自宅Wi-Fi経由の社内接続
従業員一人ひとりの行動が組織全体の防御力を左右する時代となり、「セキュリティはIT部門の仕事」という考えだけでは対応できない時代になっています。
■おわりに
IPAの10大脅威は単なるランキングではありません。実際の被害を体系化した実務的な警鐘です。セキュリティ担当者はもちろん、経営層や現場部門にとっても、“次の一手”を考えるヒントが詰まっています。
▼詳細はこちら
https://www.ipa.go.jp/security/10threats/10threats2026.html
K System Planning
島田洋之
