IPA 「情報セキュリティ10大脅威 2026」【組織編】を解説！初選出「AIリスク」と対策も

独立行政法人情報処理推進機構（IPA）が発表した「情報セキュリティ10大脅威 2026」の「組織」向け脅威について解説します。
2026年版では、ランサムウェア攻撃が依然として猛威を振るう一方で、「AIの利用をめぐるサイバーリスク」が新たに3位にランクインするなど、企業を取り巻く脅威の新たな動向が明らかになりました。自社のセキュリティ対策を見直すため、最新の脅威と対策のポイントを確認しましょう。

IPA 情報セキュリティ10大脅威 2026 【組織編】の概要

順位	情報セキュリティ10大脅威 2026【組織編】	昨年順位
1位	ランサム攻撃による被害	→1位
2位	サプライチェーンや委託先を狙った攻撃	→2位
3位	AIの利用をめぐるサイバーリスク	NEW
4位	システムの脆弱性を悪用した攻撃	↓3位
5位	機密情報を狙った標的型攻撃	→5位
6位	地政学的リスクに起因するサイバー攻撃（情報戦を含む）	↑7位
7位	内部不正による情報漏えい等	↓4位
8位	リモートワーク等の環境や仕組みを狙った攻撃	↓6位
9位	DDoS攻撃（分散型サービス妨害攻撃）	↓8位
10位	ビジネスメール詐欺	↓9位

IPA 情報セキュリティ10大脅威 2026【組織編】で注目したいポイント

ポイント1：依然として最大の脅威「ランサム攻撃による被害」

2026年も「ランサム攻撃による被害」が1位となりました。2025年版でも5年連続1位だったことから、これで6年連続の首位となります。この脅威は、データを暗号化して身代金を要求するだけでなく、窃取した情報を公開すると脅す「二重恐喝」の手口が一般化しており、事業継続に深刻な影響を与えます。11年連続でTOP10にランクインしていることからも、企業が常に対策を迫られている根深い脅威であることがわかります。

ランサムウェア攻撃事例とその対策に関する資料はこちら

ポイント2：【初選出】「AIの利用をめぐるサイバーリスク」が3位に

今回最も注目すべきは、3位に初選出された「AIの利用をめぐるサイバーリスク」です。生成AIの急速な普及に伴い、以下のような新たなリスクが懸念されます。

ポイント3：サプライチェーンの弱点を突く攻撃も継続

2位には「サプライチェーンや委託先を狙った攻撃」がランクインしました。セキュリティが比較的脆弱な取引先や子会社を踏み台にして、標的とする大企業へ侵入する手口は後を絶ちません。自社だけでなく、サプライチェーン全体での対策が不可欠です。

情報セキュリティ10大脅威 2026【組織編】を事例と共に解説

1位「ランサム攻撃による被害」

ランサムウェアの被害は2026年でも起きており、深刻な状況が続いています。単にデータを暗号化して身代金を要求するだけでなく、窃取した情報を公開すると脅迫する「二重恐喝」が常套手段となっているため、被害が甚大化しやすいことが背景にあります。

ランサムウェアについてはこちらの記事でも解説しています。

ランサムウェア攻撃事例とその対策に関する資料はこちら

2位「サプライチェーンや委託先を狙った攻撃」

8年連続でランクインしている「サプライチェーンや委託先を狙った攻撃」は、セキュリティ対策が強固な大企業を直接狙うのではなく、取引関係にあるセキュリティが脆弱な中小企業や海外拠点などを踏み台にする攻撃です。IPAは、こうした攻撃への対策として、サプライチェーン全体でのセキュリティ基準の厳密化や、パートナー企業との協力体制の構築を提案しています。

サプライチェーン攻撃について詳しくはこちらから

3位「AIの利用をめぐるサイバーリスク」

2026年版で最も注目されるのが、初登場で3位にランクインした「AIの利用をめぐるサイバーリスク」です。このリスクには、見逃せない二つの側面があります。

第一に、攻撃者によるAIの悪用です。ディープフェイク技術で役員になりすまし巨額の不正送金を指示する詐欺や、個人の特性を学習して生成される極めて巧妙なフィッシングメール、専門知識なしでのマルウェア開発といった手口により、サイバー攻撃は劇的に高度化・自動化します。

第二に、企業側におけるAI利用に伴うリスクです。従業員が業務の過程で外部の生成AIに機密情報を入力した結果、意図せず情報漏えいを引き起こすケースや、AIモデル自体の脆弱性を突く攻撃などが挙げられます。

生成AIサービスの中には、入力した内容を共有リンクとして公開できる機能や、学習データとして利用する設定が用意されているものがあります。OpenAIの公式ヘルプでも、「共有リンクを知っている人は誰でも会話を閲覧できる」「機密情報は共有しないように」と注意喚起されています。利用前に公開設定や利用規約を確認することが重要です。

企業はAIの利便性の裏にある危険性を正しく理解し、ガイドラインの策定や従業員教育といった対策を講じることが急務です。

生成AIについて詳しくはこちらから

4位「システムの脆弱性を悪用した攻撃」

OSやソフトウェア、ネットワーク機器などに存在するセキュリティ上の欠陥（脆弱性）を悪用する攻撃は、古典的ながら非常に強力な脅威であり、6年連続でランクインしています。特に、修正プログラムが提供される前に攻撃を仕掛ける「ゼロデイ攻撃」は、防御が極めて困難です。

過去には、広く利用されているプログラムの脆弱性が発覚し、世界中の多くの企業が対応に追われました。また、VPN機器の脆弱性を突かれて社内ネットワークへ不正侵入され、ランサムウェア感染の足がかりにされる事例も後を絶ちません。
DX推進やクラウド利用の拡大に伴い、外部に公開されるシステムが増加したことで、攻撃を受ける可能性のある領域は広がり続けています。対策として、セキュリティパッチを迅速に適用する体制の構築や、定期的な脆弱性診断の実施、WAF（Web Application Firewall）による防御が不可欠です。

5位「機密情報を狙った標的型攻撃」

特定の組織が持つ機密情報や知的財産を狙い、巧妙な手口で侵入を試みる「標的型攻撃」は、11年連続で脅威に挙げられるほど、企業にとって根深い問題です。攻撃者は事前にターゲット組織を綿密に調査し、取引先や関係者を装って業務に関連する内容のメールを送ることで、受信者を信用させようとします。

手口は年々巧妙化しており、単に添付ファイルを開かせるだけでなく、認証情報を入力させる偽サイトへ誘導したり、長期間システムに潜伏して情報を盗み続ける「APT（Advanced Persistent Threat）攻撃」に発展したりするケースもあります。テレワークの普及で、従業員が社内のセキュリティ管理外の環境でメールを扱う機会が増えたことも、このリスクを高める一因です。対策としては、不審なメールへの警戒を促す継続的な教育・訓練が最も重要であり、併せて多要素認証の導入や、PC端末の不審な挙動を検知するEDR（Endpoint Detection and Response）の活用が推奨されます。

EDRについて詳しくはこちらから

サイバー攻撃に対して企業が取るべき対策

このように、情報セキュリティを脅かすサイバー攻撃が日本を含め、全世界で展開されるようになってきました。サイバー攻撃のリスクをゼロにすることはできませんが、多様なアプローチを徹底することにより、被害を最小限に抑えられます。

実績豊富なセキュリティコンサルタントが支援「CSIRTインシデント訓練サービス」

組織のIT資産をサイバー攻撃から守るためには、攻撃の侵入を未然に防ぐ対策だけでなく、万が一侵入された場合を想定し迅速な対処で被害を最小限に抑える対策を考えておく必要があります。CSIRT※を構成しセキュリティリスクの洗い出しとその対策を講じたら、「ある日、突然起こる」セキュリティ事故に備え日頃から訓練を重ねておくことが重要です。

シーイーシーのCSIRTインシデント訓練サービスは、『ドキュメントひな形＋Q&A支援』で導入しやすく、訓練直後から“使える”体制づくりを支援します。

システムに潜む脆弱性を診断し危険度を評価「脆弱性診断サービス」

「脆弱性診断」とは、自社システム内のセキュリティホールを特定し、その弱点へ攻撃された場合のリスクを評価する取り組みです。これにより、潜在的な脆弱性を事前に発見し、対策を講じることでセキュリティを強化できます。脆弱性診断を受けることで、自社がまず何から取り組むべきなのかを明らかにできます。

以下のページでは、「脆弱性診断」によって被害を最小化し、最適なセキュリティシステムを構築するための具体的なプロセスを紹介しています。

脆弱性診断の手続きや内容についてはこちらから

24時間365日、ICT環境のセキュリティ運用を支援「CEC HOC」

「CEC HOC」は、「Cyber NEXT」が提供するサイバー衛生管理に特化したセキュリティサービスです。このサービスでは、日々更新される共通脆弱性識別子（CVE）を基にリアルタイムで脆弱性を監視します。また、AIを利用した24時間365日の監視体制により、人の行動履歴から内部犯行や情報漏えいの予兆を検知し、インシデントを未然に防止します。

CEC HOCについて詳しくはこちらから

24時間365日体制で監視、異常と判断した際は即座に通報「CEC SOC」

「CEC SOC」は、企業が対策すべきセキュリティポイントを網羅的にカバーし、インシデント発生時の被害を最小限に抑えるためのサービスです。マルウェア感染発生時の初動対応に加え、感染が確認されたゾーン以外にも痕跡がないかを分析することで、インシデントの影響範囲を評価します。

CEC SOCについて詳しくはこちらから

SOCを選ぶメリットに関する資料ダウンロードはこちらから

不正アクセスや情報漏えいへの対策「デジタルフォレンジックサービス」

「デジタルフォレンジック」とは、セキュリティリスクにさらされたデバイスを調査し、インシデントの原因を究明し、証拠を保全する施策です。このプロセスは、同様のインシデントを再発させないための分析を行うとともに、攻撃手法や侵入経路を特定して得られたデータをセキュリティ対策に活用することで自社に適した高度なセキュリティシステムを構築することができます。

詳しい取り組み内容については、以下のページも参考にしてください。

また、デジタルフォレンジックは事後対応の一種ですが、事前対応である脆弱性診断によって、対応方針を明確にすることもできます。

万全のセキュリティ対策を講じるなら「Cyber NEXT」にお任せください

この記事では、IPAが公開する「情報セキュリティ10大脅威 2026」について紹介しながら、脅威への対策を検討する際のポイントを解説しました。

情報セキュリティリスクは年々高まっており、もはやそのリスクをゼロに抑えることは不可能と言えます。それでも徹底したセキュリティ対策を実行することで、被害を最小限に留め、事業の継続性を確保することは可能です。

シーイーシーのトータルセキュリティソリューション「Cyber NEXT」はお客様のシステムが万が一セキュリティリスクにさらされても、直ちに脅威を検知し適切な対策ができる、安心のサービスを提供しています。予防から事後対策に至るまでの幅広いアプローチにより、システムの最適な運用環境を維持・管理することで、もしもの事態に備えることが可能です。

最先端のセキュリティ環境を構築し、維持するために役立つ「Cyber NEXT」のマネージドセキュリティサービスについては、以下のページよりご確認ください。

関連サービス

セキュリティ関連のお役立ち資料はこちらから

セキュリティ関連の相談会はこちらから

セキュリティ関連の他の記事はこちらから

過去の情報セキュリティ10大脅威についての記事はこちら