【2025→2026】IPA情報セキュリティ10大脅威 - 変化から読み解く最新セキュリティトレンド
2026年1月29日、IPA(情報処理推進機構)が「情報セキュリティ10大脅威 2026」を発表しました。
2025年に発生した社会的に影響が大きかったセキュリティ事案から、約250名の専門家が選定したこのランキングは、組織が直面する脅威の最新動向を映し出す重要な指標です。
本記事では、2025年版と2026年版を詳細に比較し、新たに浮上した脅威、順位の変動、そして私たちが注目すべきセキュリティトレンドを解説します。
組織向け10大脅威 - 2025年版と2026年版の比較
全体ランキング比較表
順位 | 2025年版 | 2026年版 | 変動 |
|---|---|---|---|
1 | ランサム攻撃による被害 | ランサム攻撃による被害 | = 変動なし |
2 | サプライチェーンや委託先を狙った攻撃 | サプライチェーンや委託先を狙った攻撃 | = 変動なし |
3 | システムの脆弱性を突いた攻撃 | AIの利用をめぐるサイバーリスク | NEW 新規 |
4 | 内部不正による情報漏えい等 | システムの脆弱性を悪用した攻撃 | ▼ 3位 → 4位 |
5 | 機密情報等を狙った標的型攻撃 | 機密情報を狙った標的型攻撃 | = 変動なし |
6 | リモートワーク等の環境や仕組みを狙った攻撃 | 地政学的リスクに起因するサイバー攻撃 | ▲ 7位 → 6位 |
7 | 地政学的リスクに起因するサイバー攻撃 | 内部不正による情報漏えい等 | ▼ 4位 → 7位 |
8 | 分散型サービス妨害攻撃(DDoS攻撃) | リモートワーク等の環境や仕組みを狙った攻撃 | ▼ 6位 → 8位 |
9 | ビジネスメール詐欺 | DDoS攻撃(分散型サービス妨害攻撃) | ▼ 8位 → 9位 |
10 | 不注意による情報漏えい等 | ビジネスメール詐欺 | ▼ 9位 → 10位 |
ー | ー | 不注意による情報漏えい等(圏外) | ✕ ランク外 |
注目すべき3つの重大変化
01 |
【衝撃】第3位に初登場! 「AIの利用をめぐるサイバーリスク」
2026年版の最大のトピックは、間違いなく「AIの利用をめぐるサイバーリスク」の初登場です。
なぜ今、AIがセキュリティ脅威に?
- 生成AIの爆発的普及: ChatGPT等の生成AIツールが企業業務に急速に浸透
- 新たな攻撃ベクトル: AIを利用した高度なフィッシング詐欺や偽情報の生成
- データ漏えいリスク: 業務情報をAIに入力することによる意図しない情報流出
- AIシステム自体の脆弱性: プロンプトインジェクション等の新種の攻撃
企業が直面する具体的リスク
1. 社内情報の意図しない公開 |
|---|
|
2. AI生成コンテンツの信頼性問題 |
|
3. AI依存によるセキュリティ判断の劣化 |
|
- 対策のポイント
- 社内でのAI利用ガイドラインの策定
- 機密情報の入力禁止ルールの徹底
- AI生成コンテンツの検証プロセスの確立
02 |
【浮上】地政学的リスクが6位にランクアップ
2025年版で初登場7位だった「地政学的リスクに起因するサイバー攻撃」が、6位に上昇。
副題に「情報戦を含む」が追加されました。
背景にある国際情勢
- 国家間の緊張関係の高まり
- サイバー空間を利用した情報戦の激化
- 重要インフラへの攻撃リスク増大
企業への影響
- サプライチェーン全体のリスク: 特定国との取引企業が攻撃対象に
- 偽情報キャンペーン: SNS等を通じた企業イメージの毀損
- 二次被害の拡大: 攻撃の踏み台として利用されるリスク
- 対策のポイント
- 地政学的リスクを含めた包括的リスク評価
- インシデント発生時の危機管理体制の強化
- 情報発信の監視と偽情報への迅速な対応
03 |
【圏外へ】「不注意による情報漏えい等」がランク外に
10年連続でランクインしていた「不注意による情報漏えい等」が、2026年版ではトップ10から姿を消しました。
消えた理由の考察
- セキュリティ意識の向上: 長年の啓発活動が功を奏した可能性
- 技術的対策の普及: DLP(データ損失防止)ツール等の導入進展
- より深刻な脅威の出現: AI関連リスク等、新たな脅威に順位を譲った
しかし油断は禁物
- ランク外になったからといって脅威が消えたわけではない
- 基本的なセキュリティ教育は引き続き重要
- ヒューマンエラー対策は継続すべき課題
その他の注目すべき順位変動
「内部不正による情報漏えい等」が4位→7位に下降
11年連続ランクインながら、順位を3つ下げました。
考察
- 内部統制システムの進化
- ゼロトラストセキュリティの普及
- 従業員教育の成果
ただし、リモートワーク環境下での監視の難しさなど、新たな課題も存在します。
DDoS攻撃が8位→9位、ビジネスメール詐欺が9位→10位
両脅威とも1ランク下降。しかし完全に消えたわけではなく、依然として注意が必要です。
個人向け10大脅威の変化
2025年版から2026年版で、個人向け脅威にも重要な変化がありました。
新たにランクイン : 「インターネットバンキングの不正利用」
4年ぶりにトップ10に復帰した「インターネットバンキングの不正利用」。
復活の背景
- フィッシング詐欺の巧妙化
- スマートフォンを狙った新手の手口
- ワンタイムパスワードの突破技術の進化
被害事例
- 銀行を装ったSMSからの誘導
- 偽サイトでの認証情報窃取
- 即座に行われる不正送金
- 対策のポイント
- 公式アプリの利用
- URLの確認習慣
- 多要素認証の活用
- 異常な取引通知の即時確認
ランク外になった脅威 : 「ワンクリック請求等の不当請求」
2025年版で3年連続ランクインしていた「ワンクリック請求等の不当請求による金銭被害」が圏外に。
考察
- 利用者のリテラシー向上
- より巧妙な詐欺手法(サポート詐欺等)への移行
- 対策技術の普及
企業が今すぐ取り組むべき対策
優先度【高】 : AI関連リスクへの対応
1. AI利用ポリシーの策定 |
|---|
|
2. 従業員教育の強化 |
|
3. 技術的対策 |
|
優先度【高】 : ランサム攻撃対策の継続
11年連続1位の脅威。対策の手を緩めてはいけません。
- 定期的なバックアップ(3-2-1ルール)
- パッチ管理の徹底
- ゼロトラストアーキテクチャの導入
- インシデント対応計画の策定と訓練
優先度【中】 : サプライチェーンセキュリティ
8年連続2位。取引先を含めた包括的対策が必要です。
- 取引先のセキュリティ評価
- 契約におけるセキュリティ条項
- 情報共有体制の構築
- まとめ
2026年のセキュリティトレンド
3つのポイント
1. AI時代の新リスク |
|---|
|
2. 地政学的緊張の高まり |
|
3. 変わらぬ基本の重要性 |
|
- 今後の展望
2026年版の10大脅威は、セキュリティの世界が大きな転換点を迎えていることを示しています。AI技術の急速な進化、国際情勢の複雑化、そして常に進化し続けるサイバー犯罪。
企業に求められるのは、これらの変化に柔軟に対応しながら、基本的なセキュリティ対策を着実に実行し続けることです。
