こんにちは。ランシステムのヒロ田中です。
独立行政法人情報処理推進機構(IPA)より 「情報セキュリティ10大脅威」2026年3月、最新版となる「組織編」が公開されました。毎年見ている方も多いと思いますが、今回のランキングを改めて確認すると、サイバー攻撃の環境が確実に変化していることが分かります。
これまでと同じ対策を続けているだけでは十分とは言えない状況です。
今回は最新ランキングの内容をもとに、企業がいま考えておくべきセキュリティ対策のポイントを整理します。
情報セキュリティ10大脅威 2026 [組織]
| 順位 | 「組織」向け脅威 | 初選出年 | 10大脅威での取り扱い 2016年以降) |
|---|---|---|---|
| 1 | ランサム攻撃による被害 | 2016年 | 11年連続11回目 |
| 2 | サプライチェーンや委託先を狙った攻撃 | 2019年 | 8年連続8回目 |
| 3 | AIの利用をめぐるサイバーリスク | 2026年 | 初選出 |
| 4 | システムの脆弱性を悪用した攻撃 | 2016年 | 6年連続9回目 |
| 5 | 機密情報を狙った標的型攻撃 | 2016年 | 11年連続11回目 |
| 6 | 地政学的リスクに起因するサイバー攻撃(情報戦を含む) | 2025年 | 2年連続2回目 |
| 7 | 内部不正による情報漏えい等 | 2016年 | 11年連続11回目 |
| 8 | リモートワーク等の環境や仕組みを狙った攻撃 | 2021年 | 6年連続6回目 |
| 9 | DDoS攻撃(分散型サービス妨害攻撃) | 2016年 | 2年連続7回目 |
| 10 | ビジネスメール詐欺 | 2018年 | 9年連続9回目 |
(出典:IPA 独立行政法人 情報処理推進機構 https://www.ipa.go.jp/security/10threats/10threats2026.html)
1. ランサム攻撃は依然として最大の脅威
今回のランキングでも 「ランサム攻撃による被害」 が1位となりました。
これで 4年連続の1位、さらに 11年連続でランキング入り しています。
ランサム攻撃は、もはや特定の企業だけが狙われる特殊な事件ではありません。
企業活動において常に想定しておくべきリスクになっています。
また攻撃の手法も変化しています。
以前は
「データを暗号化して身代金を要求する」
という比較的単純なものが主流でした。
現在はそれに加えて
- データを盗み出し公開を脅す「二重脅迫」
- DDoS攻撃を組み合わせる手法
- 取引先への連絡による圧力
など、複数の手段を組み合わせる攻撃が増えています。
実際に国内企業でも、システム停止によって受注や出荷が止まり、復旧まで長期間を要するケースが報告されています。
ランサム攻撃への対策は、IT部門だけの課題ではありません。事業継続(BCP)を支える経営課題として取り組む必要があります。
2. 新たに注目される「AI利用をめぐるリスク」
2026年版のランキングで特徴的なのが、「AIの利用をめぐるサイバーリスク」 が初めてランクインした点です。
生成AIの普及によって、企業の業務効率は大きく向上しています。その一方で、新しいリスクも生まれています。
代表的な例として次のようなものがあります。
シャドーAI
企業が管理していない個人アカウントで生成AIを利用し、
機密情報を入力してしまうケースです。
意図せず情報漏えいにつながる可能性があります。
ハルシネーション
AIがもっともらしい誤情報を生成してしまう現象です。
内容を確認せず業務判断に使用すると、誤った意思決定につながる恐れがあります。
AIを利用した攻撃
攻撃者側もAIを活用しています。
自然な日本語のフィッシングメールや、攻撃コードの生成が容易になっています。
このような状況を踏まえると、企業では
- AI利用ルールの整備
- 入力データの管理
- 利用範囲の明確化
といった AIガバナンスの整備 が重要になります。
3. リモートワーク環境を狙う攻撃
ランキングでは「リモートワーク等の環境や仕組みを狙った攻撃」 も挙げられています。
テレワークの普及により、企業ネットワークの境界は大きく変化しました。
従来のようにオフィス内のネットワークだけを守ればよいという状況ではありません。
特に注意が必要なのが
- VPN機器
- リモートデスクトップ
- 自宅ネットワーク
などのリモート接続環境です。
警察庁の統計でも、ランサムウェア感染の経路として
VPN機器やリモートデスクトップ経由の侵入が多いことが報告されています。
リモート環境は利便性の高い仕組みですが、
適切な管理を行わなければ企業ネットワークの入口になり得ます。
- 機器のアップデート
- アクセス制御
- 多要素認証
など、継続的な対策が必要です。
4. 個人の注意だけに頼らないセキュリティ
企業のセキュリティ対策では、長い間
- 怪しいメールを開かない
- パスワードを強化する
といった個人の注意に依存する対策が中心でした。
しかし現在の攻撃は高度化しており、人の判断だけで防ぎ続けることは難しくなっています。
そのため、現在のセキュリティ対策では「多層防御」の考え方が重要になります。
具体的には
- 多要素認証(MFA)
- エンドポイント保護(EDR)
- 脆弱性管理
- ログ監視
など、複数の防御を組み合わせてリスクを低減します。
また、セキュリティ対策は技術だけで完結するものではありません。
社員が不審な挙動に気づいた際に、気軽に相談できる環境を作ることも重要です。
組織全体でセキュリティを支える体制づくりが求められます。
5. 人手不足時代のセキュリティ戦略
多くの企業が現在直面している課題の一つが、人手不足です。
業務を維持するために
- 業務の自動化
- 省人化
- リモート運用
などを進める企業が増えています。
しかし、自動化されたシステムが十分に保護されていなければ、リスクも同時に拡大してしまいます。
これからの企業環境では
「業務の効率化」と「セキュリティ対策」を同時に設計すること
が重要になります。
例えば
- 安全なVPN環境
- 入退室管理
- 端末保護
- アクセス管理
などを組み合わせた仕組みを整えることで、安定した運用と安全性の両立が可能になります。
人手不足の時代だからこそ、セキュリティを前提としたIT基盤の整備が必要です。
