IPAが10大脅威2026年版を発表 行間から見えた“日本企業の弱点”：半径300メートルのIT

IPAが2026版「情報セキュリティ10大脅威」を公開しました。皆さんが気になる新しい脅威もランクインしています。ただ本当に注目してほしいのは脅威そのものではなく、これにどう対抗するかです。筆者流の10大脅威の読み方をお伝えします。

[宮田健，ITmedia エンタープライズ編集部]

　毎年恒例、情報処理推進機構（以下、IPA）とセキュリティ識者を含む約250人のメンバーによる「情報セキュリティ10大脅威」の2026年版が公開されました。現時点では10の脅威のリストが発表されており、今後この詳細や対策を含むドキュメントが公開される予定です。

　早速チェックしてみましょう。今回も個人向けに対しては順位は付けられておらず、どれも等しく対策が必要な脅威として選出されています。

情報セキュリティ10大脅威 2026（出典：IPAのWebサイト）

筆者流10大脅威の読み方　新たに出てきた脅威をどう捉えるか？

　毎年触れているこの10大脅威、これが多くのセキュリティベンダーによる発表会や説明会で、冒頭必ず触れられるような基準となります。一方、情報セキュリティにおいて革新的な脅威や手法はそうそう生まれることはなく、実はここ数年は選出される脅威に大きな変化はありません。今回も赤字で触れられている幾つかのもの以外は「N年連続」という内容であり、引き続きこれまで述べてきたような“基本的な”対策を、地道にすることこそが重要だと考えています。

　その中で、今回2つの新たな内容が選出されています。まずは、個人向け脅威に4年ぶり8回目に上がってきたのは「インターネットバンキングの不正利用」です。これは2025年初頭から大きな話題となっていた、オンライン証券サービスの不正アクセスが反映されたものでしょう。

　定点観測している金融庁の注意喚起「インターネット取引サービスへの不正アクセス・不正取引による被害が急増しています」では、被害が一時期よりは激減しているものの、いまだに脅威であることが分かります。個人向け10大脅威にはこれまで通り「インターネット上のサービスへの不正ログイン」や「フィッシングによる個人情報等の詐取」もあります。これらの対策を組み合わせることで、インターネットバンキング不正利用を防ぐことが重要です。

　そして組織向け10大脅威には、今回初めて「AIの利用を巡るサイバーリスク」が選ばれました。とはいえ、こちらについてもAIという言葉に惑わされることはなく、ほんの少し読みかえれば、これまでの脅威と大きく違わないのではないかと読み取りました。

AIとセキュリティの関係を考える

　SFの世界であれば、AIとサイバー攻撃の関係性はシンプルでしょう。自然言語で対話しながら超高度なことをやってのけるというイメージです。

　「Aという会社を攻撃したいのでうまくやってくれない？」といった文言だけで、生成AIがマルウェアを作ってくれるという認識かもしれませんが、残念ながら一般的な生成AIサービスでは、そういった悪事に対するガードレールが実装されており、そう簡単にはできません。

　であれば悪の生成AIサービスならどうでしょう。実際に悪の生成AIサービスを使ったことはないのですが、これも少々難しいと思います。確かにガードレールはなく、要望のマルウェアの“たたき”ができるかもしれません。しかし、実際にそれを実行するには、侵入のための詐取したアカウント情報や、マルウェア自身のチューニングなど、ハードルもたくさんあるはずです。

　では、生成AIはサイバー攻撃には役に立たないのでしょうか。10大脅威にリストアップされるくらいなので、もちろんこれは有用です。しかし知識ゼロの人が高度な攻撃をするというよりも、それなりに高度なスキルを持つ攻撃者が、その攻撃のスピードを極限にまで速めるという形で、AIが活用されるという見方が妥当です。悪のサービスでなくても、コードのチューニングを生成AIが手助けしたとしたら、暗号化のための時間が短くなり、ランサムウェア攻撃の兆候を発見することがより困難になるでしょう。

　筆者は10大脅威にAIのサイバーリスクが含まれたことは「脅威のスピードが格段に上がる」と読み取りました。実際のところ、10大脅威での解説は生成AIサービスに社内の情報を入力してしまうという「情報漏えいリスク」がメインだとは思っていますが、その先を考えた時、AI活用によってインシデントに関わるありとあらゆる「速度」が変わるという点にも注目してほしいと思います。

問題は日本企業の「速度」？

　そうなると、日本企業は非常に厳しい状況に置かれています。筆者は日本企業を渡り歩いてきましたが、新入社員の頃に非常に悩んだのが、「稟議」でした。形式が重要であり、多くのステークホルダーにチェックをもらい、やっとそれが通ったときには若干時代遅れになり……。皆さんも似たような経験はあるはずです。

　最も懸念しているのは、サイバー攻撃被害がどの企業にも当たり前になったとき、その対策を社内でどう話を通すのかという点です。社内でランサムウェア被害が発見されたとき、最適なタイミングでシステムを停止したり、対外的な発表をしたりと、多数の決断が必要です。しかしその決断に稟議が絡んできたとしたら、進化する攻撃のスピードに追い付けるでしょうか。

　有事になってから考えるのでは遅いのです。そのため平時の今こそ、ランサムウェア被害に遭ったらどうするかを決めておかねばなりません。相手は既に漏れていた認証データを使って侵入し、内部の調査やデータ奪取、暗号化に至るまで生成AIを活用し、数日単位ではなく数時間単位という、思った以上のスピードでゴールを目指します。対策は早いタイミングであればあるほど効果があります。兆候が見えていたのに、社内の承認処理で間に合わなかった……ということがないようにしなければなりません。

　最近になって多くのセキュリティベンダーが「リテーナーサービス」を打ち出し始めました。リテーナーとは弁護士の顧問契約などで使われる言葉で、それのITセキュリティ版です。説明すると、事前に契約してサブスクリプション的にポイントを購入、平時からそのポイントを活用して事前検査やトレーニングをしつつ、有事にはそれを調査、対応に使うという仕組みです。

　筆者は「リテーナーサービスを契約せよ！」という結論に持っていきたいわけではありません。セキュリティ専門知識を社内で養成することが難しい以上、何らかのインシデントが発生したときに、必ず専門家に助けを求めることになります。

　そのためランサムウェア被害が起きる前に、稟議が必要な「契約」処理は済ませておかねばなりません（それが結果としてアタックサーフェスの把握や資産管理につながるはずです）。リテーナーサービスでなくとも、これまで付き合いのあるシステムインテグレーターとは契約があるかもしれません。しかしその契約でセキュリティインシデント対応が可能かどうかは、やはり平時に確認する必要があるでしょう。

　生成AIによるスピードアップがリスクになるならは、それに向けた準備を今のうちにする。日本企業だから時間がかかるというのならば、今のうちにそれを済ませておかねばなりません。セキュリティソリューションの導入だけでなく、サイバー保険やリテーナーサービスなどの情報収集、そしてシステムインテグレーターとの絆の確認といったことを、今のうちに整理しておく必要があるかもしれません。

著者紹介：宮田健（みやた・たけし）

元＠ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。自分の生活を変える新しいデジタルガジェットを求め、趣味と仕事を公私混同しつつ日々試行錯誤中。

2019年2月1日に2冊目の本『Q＆Aで考えるセキュリティ入門　「木曜日のフルット」と学ぼう！〈漫画キャラで学ぶ大人のビジネス教養シリーズ〉』（エムディエヌコーポレーション）が発売。スマートフォンやPCにある大切なデータや個人情報を、インターネット上の「悪意ある攻撃」などから守るための基本知識をQ＆Aのクイズ形式で楽しく学べる。