IPA、情報セキュリティ10大脅威(2026年版)を公表 AIリスクが新たな脅威として台頭
2026.3.23
独立行政法人情報処理推進機構(IPA)は、2026年の情報セキュリティ10大脅威を公表した。
これらは2025年に発生した事案をもとに、研究者や企業の実務担当者からなる「10大脅威選考会」による審議・投票を経て決定したもの。当社コンサルタントもこの選考会メンバーに名を連ねている。
組織向けの脅威では、7つの項目が5年以上連続で選ばれ、ランサム攻撃やサプライチェーンを狙った攻撃が依然として大きな脅威であることが明らかになった。昨年には上場企業がランサム攻撃を受けたことにより事業中断や情報漏洩に至ったことが耳目を集め、伝統的な脅威への対策の重要性が再認識されている。
また、10大脅威に初めて「AIの利用をめぐるサイバーリスク」が選ばれ、上位にランクインした。業務効率化や生産性向上を目的として企業でAIの活用が進んでいるが、AIの利用に際しては、個人情報や営業秘密の意図しない漏えい、実在しない情報の生成(ハルシネーション)、他社の権利の侵害といったセキュリティ上および法的なリスクがある。AIの業務活用を促進すると同時に、セキュリティ対策の徹底や利用規定の整備、従業員への教育を通じて、AI利用に関するガバナンスの確立が求められる。
IPAが発表した情報セキュリティ10大脅威(2026年版、組織向け)
| 順位 | 組織向け脅威 | 初選出年 | 10大脅威での取り扱い (2016年以降) |
|---|---|---|---|
| 1 | ランサム攻撃による被害 | 2016年 | 11年連続11回目 |
| 2 | サプライチェーンや委託先を狙った攻撃 | 2019年 | 8年連続8回目 |
| 3 | AIの利用をめぐるサイバーリスク | 2026年 | 初選出 |
| 4 | システムの脆弱性を悪用した攻撃 | 2016年 | 6年連続9回目 |
| 5 | 機密情報等を狙った標的型攻撃 | 2016年 | 11年連続11回目 |
| 6 | 地政学的リスクに起因するサイバー攻撃 (情報戦を含む) |
2025年 | 2年連続2回目 |
| 7 | 内部不正による情報漏えい等 | 2016年 | 11年連続11回目 |
| 8 | リモートワーク等の環境や仕組みを狙った攻撃 | 2021年 | 6年連続6回目 |
| 9 | DDoS攻撃(分散型サービス妨害攻撃) | 2016年 | 2年連続7回目 |
| 10 | ビジネスメール詐欺 | 2018年 | 9年連続9回目 |
出典:IPA「情報セキュリティ10大脅威2026[組織]」を参考に当社作成
https://www.ipa.go.jp/security/10threats/10threats2026.html
IPAは2月下旬以降に10大脅威に関する解説や対策を公表する予定であり、これら解説等に基づき、各組織がセキュリティ対策を更に強化することが期待される。
【参考情報】
IPA「情報セキュリティ10大脅威2026」
https://www.ipa.go.jp/security/10threats/10threats2026.html
E(環境)・S(社会)・G(ガバナンス)に関する国内外の重要な話題を毎月レポート形式でお届けしています。
2026年3月発行の「ESGリスクトピックス」の全文PDFは、以下のリンクからご覧いただけます。
https://rm-navi.com/search/item/2457
