IPA「情報セキュリティ10大脅威2026」解説｜企業が取るべき対策まとめ

2026年1月29日、IPA（独立行政法人情報処理推進機構）が「情報セキュリティ10大脅威2026」を発表しました。ランサムウェア攻撃が4年連続で1位となり、新たに「AIの利用をめぐるサイバーリスク」が初登場で3位にランクインするなど、企業を取り巻くセキュリティ環境は大きく変化しています。本記事では、各脅威の内容と具体的な対策を解説し、御社が今すぐ実行すべきアクションをご紹介します。

情報セキュリティ10大脅威2026の概要

IPAが毎年公表する「情報セキュリティ10大脅威」は、前年に発生した社会的影響の大きい情報セキュリティ事故や攻撃を、約250名の専門家で構成される「10大脅威選考会」が審議・投票して決定するものです。セキュリティ対策の優先順位を考える上で、多くの企業が参考にする重要な指標となっています。

2026年版の組織向けランキングでは、1位「ランサム攻撃による被害」、2位「サプライチェーンや委託先を狙った攻撃」が2023年以降4年連続で不動の順位を維持しました。注目すべきは3位に初登場した「AIの利用をめぐるサイバーリスク」です。生成AIの急速な普及に伴い、AI特有の脆弱性を突いた攻撃や、AIを悪用したサイバー攻撃の高度化が現実の脅威として認識されるようになりました。

このランキングは全体的な傾向を示すものであり、各組織が直面するリスクは業種や規模、取り扱うデータの性質によって異なります。ランキング下位の脅威であっても、自社にとっては重大なリスクとなる可能性があることを忘れてはなりません。

上位3つの脅威と対策を詳しく解説

1位：ランサム攻撃による被害

ランサムウェアによる被害は依然として深刻な状況が続いています。警察庁の統計によると、2025年上半期だけで116件の被害が報告されており、3期連続で100件を超える高水準で推移しています。特に注目すべきは、被害の約7割が資本金10億円未満の中小企業であるという点です。攻撃者は「防御の甘い組織」を狙っており、企業規模に関係なく標的となる可能性があります。

感染経路としてはVPN機器やリモートデスクトップ経由の侵入が全体の約8割を占めており、テレワーク環境に潜む脆弱性が主要なリスク要因となっています。復旧に要する期間は1週間以上が約53%を占め、復旧費用が1,000万円以上に達したケースも約58%に上ります。

対策としては、まずVPN機器やファイアウォールなどのネットワーク機器について、ファームウェアを常に最新の状態に保つことが不可欠です。加えて、多要素認証の導入により認証情報の窃取による不正侵入を物理的に阻止することが重要です。また、バックアップデータをネットワークから切り離して保管する「オフラインバックアップ」を実施し、万が一の感染時にも復旧できる体制を整えておく必要があります。

2位：サプライチェーンや委託先を狙った攻撃

2025年は委託先を狙うサイバー攻撃が多発し、委託先におけるセキュリティインシデントが委託元企業にも深刻な影響を及ぼす事例が相次ぎました。実際に、ある物流プラットフォーム企業がランサムウェア被害を受けた結果、取引先である大手小売企業のECサービスが受注停止に追い込まれるなど、サプライチェーン全体への連鎖的な影響が発生しています。

この脅威に対しては、自社だけでなくサプライチェーン全体のセキュリティ対策状況を把握することが求められます。取引先や委託先との契約時にセキュリティ要件を明確化し、定期的な対策状況の確認を行う体制を構築することが重要です。また、インシデント発生時の連絡プロセスを事前に確立しておくことで、被害の拡大を最小限に抑えることができます。

2026年度下期には経済産業省が推進する「サプライチェーン強化に向けたセキュリティ対策評価制度」の運用開始が予定されており、今後はこうした制度への対応も求められるようになります。

3位：AIの利用をめぐるサイバーリスク（初登場）

生成AIの急速な普及により、AI特有のリスクが新たな脅威として認識されるようになりました。このリスクは大きく3つの側面があります。

1つ目は「AIを利用する際のリスク」です。AIに対する不十分な理解により、機密情報を生成AIに入力してしまい意図しない情報漏えいが発生するケースや、著作権侵害などの権利侵害を引き起こす問題が発生しています。

2つ目は「AIそのものへの攻撃」です。AIモデルに対する敵対的攻撃により誤った判断を引き起こしたり、学習データに悪意のあるデータを混入させてモデルの動作を歪めたりする攻撃が技術的に可能となっています。

3つ目は「AIを悪用した攻撃の高度化」です。生成AIを使えば、説得力のあるフィッシングメールやディープフェイク動画を大量に作成でき、ソーシャルエンジニアリング攻撃が容易になります。また、AIが脆弱性発見を支援することで、サイバー攻撃の効率が向上する懸念もあります。

対策としては、自社の業務環境に適した生成AI利用ガイドラインを策定し、従業員への周知徹底を図ることが重要です。特に、生成AIへの機密情報の入力制限や、AI出力結果の検証プロセスの確立が求められます。

4位以下の脅威も見逃せない

4位以下の脅威についても、自社の状況に応じた対策が必要です。4位「システムの脆弱性を悪用した攻撃」への対策としては、定期的な脆弱性診断と迅速なパッチ適用が基本となります。5位「機密情報を狙った標的型攻撃」に対しては、不審なメールを見分けるための従業員教育と、メールセキュリティ対策の強化が有効です。

6位「地政学的リスクに起因するサイバー攻撃」は2年連続のランクインとなり、国家レベルの支援を受けた高度な攻撃が一般企業も標的とする可能性があることを示しています。7位「内部不正による情報漏えい等」は11年連続の選出であり、アクセス権限の適切な管理と退職時の速やかな権限削除が重要です。

8位「リモートワーク等の環境や仕組みを狙った攻撃」、9位「DDoS攻撃」、10位「ビジネスメール詐欺」も継続的に警戒が必要な脅威です。特にビジネスメール詐欺は生成AI技術の進化により文面がより巧妙化しており、送金指示の真正性を電話でも確認するなど、送金フローの見直しが求められます。

御社が今すぐ取るべき5つのアクション

これらの脅威に対して、すべての組織が今すぐ実行すべき具体的なアクションがあります。

まず、VPN機器やファイアウォールなどのネットワーク機器の棚卸しを行い、ファームウェアが最新かどうかを確認してください。多くのランサムウェア被害は、古いバージョンの機器の脆弱性を突いて侵入されています。

次に、重要システムへのアクセスに多要素認証を導入してください。IDとパスワードだけの認証では、認証情報が窃取された場合に防ぐ手段がありません。

3つ目として、バックアップの取得方法を見直してください。警察庁の調査によると、ランサムウェア被害に遭った企業でバックアップから完全に復元できた割合は低く、多くの企業でバックアップ自体も暗号化されていました。バックアップデータはネットワークから切り離して保管することが重要です。

4つ目として、生成AIの利用ルールを策定してください。従業員が個人判断で生成AIを利用し、機密情報を入力してしまうリスクを防ぐためです。

5つ目として、取引先・委託先のセキュリティ対策状況を確認してください。サプライチェーン攻撃は、セキュリティが脆弱な取引先を経由して侵入されるケースが増えています。

セキュリティ対策を強化するならGXOにご相談ください

情報セキュリティ10大脅威への対策は、すべてを自社だけで実施するには専門知識やリソースが不足するケースも少なくありません。特に中小企業においては、セキュリティ専任担当者がいない、あるいは担当者がいても他の業務と兼任しているという状況が一般的です。

GXOは、180社以上の支援実績を持つセキュリティ事業を通じて、SIEM/SOAR導入支援、SOC運用、インシデント対応まで、企業のセキュリティ体制強化をトータルでサポートしています。福岡本社とベトナム開発拠点を活かした体制で、上流のセキュリティ戦略策定から下流の運用監視まで、一気通貫で伴走型の支援を提供しています。

自社のセキュリティ対策に不安を感じている方、10大脅威への対応を具体的に進めたい方は、まずはお気軽にご相談ください。

▶ セキュリティ対策のご相談はこちら：https://gxo.co.jp/contact-form

まとめ

IPA「情報セキュリティ10大脅威2026」では、ランサムウェア攻撃が4年連続1位となり、新たにAI関連リスクが3位に初登場しました。警察庁の統計によると、2025年上半期のランサムウェア被害は116件に上り、特に中小企業への被害が増加しています。

企業が取るべき対策として重要なのは、ネットワーク機器の脆弱性管理、多要素認証の導入、オフラインバックアップの実施、生成AI利用ルールの策定、そしてサプライチェーン全体のセキュリティ確認です。ランキングの順位にとらわれすぎず、自社の事業環境に照らしてリスクを評価し、優先度の高い対策から着実に実施していくことが求められます。