毎年、独立行政法人 情報処理推進機構(IPA)は、国民の情報セキュリティに対する脅威への関心を高め、対策の実施を促進することを目的に「情報セキュリティ10大脅威」を公表しています。
そして、先日「情報セキュリティ10大脅威 2026」が発表されました。
「情報セキュリティ10大脅威」は、現在「組織」と「個人」の2つのカテゴリーに分けて発表されています。
今回の記事では、「情報セキュリティ10大脅威 2026[組織]」の内容を確認しつつ、インフラエンジニアの視点で気になったポイントを紹介します。
情報セキュリティ10大脅威発表
■情報セキュリティ10大脅威 2026 [組織]ランキング
まずは、2026年1月29日に発表された「情報セキュリティ10大脅威 2026[組織]」のランキングを確認してみましょう。
| 順位 | 「組織」向け脅威 | 初選出年 | 10大脅威での取り扱い(2016年以降) |
|---|---|---|---|
| 1 | ランサム攻撃による被害 | 2016年 | 11年連続11回目 |
| 2 | サプライチェーンや委託先を狙った攻撃 | 2019年 | 8年連続8回目 |
| 3 | AIの利用をめぐるサイバーリスク | 2026年 | 初選出 |
| 4 | システムの脆弱性を悪用した攻撃 | 2016年 | 6年連続9回目 |
| 5 | 機密情報を狙った標的型攻撃 | 2016年 | 11年連続11回目 |
| 6 | 地政学的リスクに起因するサイバー攻撃(情報戦を含む) | 2025年 | 2年連続2回目 |
| 7 | 内部不正による情報漏えい等 | 2016年 | 11年連続11回目 |
| 8 | リモートワーク等の環境や仕組みを狙った攻撃 | 2021年 | 6年連続6回目 |
| 9 | DDoS攻撃(分散型サービス妨害攻撃) | 2016年 | 2年連続7回目 |
| 10 | ビジネスメール詐欺 | 2018年 | 9年連続9回目 |
やはり1位は「ランサム攻撃による被害」でした。
実際、現場でもセキュリティ研修や注意喚起の機会は多く、体感では「3か月に1回くらい」受けている気がします。これだけ継続して上位に入っているため、企業側も強い危機感を持っている証拠だと感じます。
そしてもう一点注目したいのが、初選出の「AIの利用をめぐるサイバーリスク」です。
従来の脅威に加えて、AIの活用が進むことで新しいリスクが顕在化してきた、という流れが見て取れます。こちらは後ほど、軽く触れます。
■直近3年の脅威推移
IPAから発表されています、情報セキュリティ10大脅威の直近3年の脅威ランキング推移を見てみましょう。
「内部不正による情報漏えい」が順位を下げているのは、組織側の対策が一定進んだ結果かもしれません。
一方で、それ以外の項目は、初選出の「AIの利用をめぐるサイバーリスク」が上位に入った影響で、全体的に順位が繰り下がったようにも見えます。
■「AIの利用をめぐるサイバーリスク」とは?
「情報セキュリティ10大脅威 2026」で初選出となった「AIの利用をめぐるサイバーリスク」とは、具体的にどのようなリスクを指すのでしょうか。
IPAによる詳しい解説は2月下旬以降に公開予定ですが、プレスリリースでは次のような内容が紹介されています。
「AIの利用をめぐるサイバーリスク」で想定されるものは多岐にわたります。AIに対する不十分な理解に起因する意図しない情報漏えいや他者の権利侵害といった問題、AIが加工・生成した結果を十分に検証せず鵜呑みにすることにより生じる問題、AIの悪用によるサイバー攻撃の容易化、手口の巧妙化、などが挙げられます。上位にランクインした背景にはこのような多岐にわたるリスクの存在が考えられます。
出典:プレス発表「情報セキュリティ10大脅威 2026」を決定
概要を読む限り、これは「AIの悪用による組織への攻撃」だけでなく、利用者側のAIリテラシー不足によって起こる事故(意図しない情報漏えい、誤った判断など)もリスクとして含めている、と捉えるのが自然です。
AIエージェントの普及により、AIは業務に欠かせない存在になりつつあります。一方で、企業によっては「業務利用の禁止」や「機密情報の入力禁止」など、利用に関するガイドラインを定めているケースもあります。
そのため、自分の所属組織のルールに加えて、利用しているAI/AIエージェントのデータ利用ポリシー(入力情報が学習に使われるか等)を把握しておくことが重要ですね。
まとめ
2026年も、ランサム攻撃・サプライチェーン攻撃などの上位常連は健在でしたね。
インフラとしては、権限管理・脆弱性管理・監視・バックアップ/復旧といった基本の積み上げが最優先です。加えて、初選出の「AIリスク」は、攻撃の高度化だけでなく“使い方のリスク”も含む点が新しいところのように感じます。
自組織のルールとAIツールのデータ利用ポリシーを理解したうえで、安全に使う運用を整えていきたいです。
参考リンク:情報セキュリティ10大脅威 2026
↓ほかの協栄情報メンバーも脆弱性についての記事を公開しています。ぜひ参考にしてみてください。
■Amazon Inspectorの検出結果をエクスポート!バケットポリシーやKMSキーポリシーの壁を乗り越えて(齊藤弘樹)