2026年1月29日、IPA(独立行政法人情報処理推進機構)が「情報セキュリティ10大脅威 2026」を発表しました。前回の2025年版から脅威の状況は大きく変化しており、生成AIの急速な普及やランサムウェア攻撃の深刻化など、企業が直面するリスクはますます多様化しています。
本記事では、2026年版の全ランキングと2025年版からの主要な変更点、特に新規ランクインしたAI関連リスクの詳細と、各脅威への具体的な対策を解説します。
情報セキュリティ10大脅威とは
情報セキュリティ10大脅威とは、IPA(独立行政法人情報処理推進機構)が2006年から毎年発表している、前年に発生したセキュリティ事案の中から社会的影響が大きかったものをランキング形式でまとめた指針です。
ランキングは、情報セキュリティ分野の研究者や企業の実務担当者など約250名で構成される「10大脅威選考会」の審議・投票によって決定されます。統計データではなく実際の被害事案をもとにしているため、現場で直面しうるリスクを把握するための実践的な資料として活用されています。
脅威は「組織」向けと「個人」向けの2種類に分かれており、組織向けには順位が付けられています。金融庁や経済産業省のセキュリティガイドラインでも参照される業界標準として、多くの企業が年間のセキュリティ対策を検討する際の基準として活用しています。本記事では、企業・組織が特に注目すべき「組織」向け脅威を中心に解説します。
情報セキュリティ10大脅威 2026(組織向け)ランキング
2026年1月29日に発表された組織向け脅威のランキングは以下のとおりです。
| 順位 | 脅威名 | 10大脅威での取り扱い | 前年順位 |
|---|---|---|---|
| 1位 | ランサム攻撃による被害 | 11年連続11回目 | 1位 |
| 2位 | サプライチェーンや委託先を狙った攻撃 | 8年連続8回目 | 2位 |
| 3位 | AIの利用をめぐるサイバーリスク | 初選出 | 圏外 |
| 4位 | システムの脆弱性を悪用した攻撃 | 6年連続9回目 | 3位 |
| 5位 | 機密情報を狙った標的型攻撃 | 11年連続11回目 | 5位 |
| 6位 | 地政学的リスクに起因するサイバー攻撃 | 2年連続2回目 | 7位 |
| 7位 | 内部不正による情報漏えい等 | 11年連続11回目 | 4位 |
| 8位 | リモートワーク等の環境や仕組みを狙った攻撃 | 6年連続6回目 | 6位 |
| 9位 | DDoS攻撃(分散型サービス妨害攻撃) | 2年連続7回目 | 8位 |
| 10位 | ビジネスメール詐欺 | 9年連続9回目 | 9位 |
出典:IPA(独立行政法人情報処理推進機構)「情報セキュリティ10大脅威 2026」
1位「ランサム攻撃による被害」と2位「サプライチェーンや委託先を狙った攻撃」は、2023年以降4年連続で同じ順位が続いています。手口の巧妙化や被害規模の拡大が続くなか、多くの企業がいまだ有効な対策を講じきれていない現状が、ランキングにも表れているといえるでしょう。
一方、今回のランキングで最も注目すべきトピックが、初選出にもかかわらず3位に入った「AIの利用をめぐるサイバーリスク」です。生成AIの業務活用が急速に広まるなか、利用者側の情報漏えいリスクからAIを悪用した攻撃の高度化まで、その脅威は多岐にわたります。詳細は後述しますが、企業として早急に対策を検討すべき脅威といえます。
2025年版からの主な変更点
2026年版では、新たな脅威の追加とランキング圏外となった脅威など、いくつかの注目すべき変化がありました。また、組織向け脅威だけでなく個人向け脅威にも変動が見られます。ここでは、2025年版からの主な変更点を3つのポイントに絞って解説します。
変更点①新規脅威「AIの利用をめぐるサイバーリスク」が3位にランクイン
2026年版で最も注目される変化が、「AIの利用をめぐるサイバーリスク」の初選出です。初めて脅威候補となったにもかかわらず、いきなり3位にランクインしました。
IPAは、このリスクで想定される具体的な内容として以下を挙げています。
- AIに対する不十分な理解に起因する、意図しない情報漏えいや他者の権利侵害
- AIが加工・生成した結果を十分に検証せず鵜呑みにすることで生じる問題
- AIの悪用によるサイバー攻撃の容易化や手口の巧妙化
IPAはこれらの多岐にわたるリスクの存在が、上位ランクインの背景にあると説明しています。また、対策として、セキュリティ対策情報を継続的に収集し、使用している機器やサービスに適切なセキュリティ対策を講じながら、各脅威が自組織の事業や体制にどのようなリスクをもたらすかを洗い出すことが重要だとしています。
変更点②ランキング圏外となった脅威
2026年版では、2025年版に選出されていた「不注意による情報漏えい等」がランク外となりました。これは、新たに「AIの利用をめぐるサイバーリスク」が初選出・3位にランクインしたことにより、入れ替わる形で圏外となったものです。
IPAは、「不注意による情報漏えい等」がランク外となった点について、引き続き不注意による情報漏えいは発生しており、対策が不要になったわけではないと説明しています。ランキングへの掲載有無にかかわらず、自組織の環境に照らして各脅威のリスクを洗い出し、極力もれなく対策を講じることが求められるとしています。
変更点③個人向け脅威の変化
個人向け脅威については、2026年版でのラインナップに大きな変化はありませんでしたが、2023年以降圏外となっていた「インターネットバンキングの不正利用」が、4年ぶりに選出されました。
IPAは、この復活について昨今の被害状況を踏まえた結果と説明しています。また、個人向け脅威については脅威の呼称が同じであっても、常に手口は巧妙に変化し続けているとしており、IPAのウェブサイトで最新の手口に関する情報を確認し、手口の変化に応じた対策を把握することが重要だとしています。
注目すべき3つの脅威と対策
ここでは、2026年版のランキングの中から、特に企業・組織が優先的に対策を検討すべき3つの脅威と具体的な対策を解説します。
脅威①ランサム攻撃による被害(1位)
ランサム攻撃とは、マルウェアによってファイルを暗号化し、復号と引き換えに金銭を要求するサイバー攻撃です。近年は暗号化にとどまらず、事前にデータを窃取し「支払わなければ公開する」と脅迫する二重脅迫型が主流となっており、被害はより深刻化しています。6年連続1位という結果が示すとおり、組織にとって最大の脅威であり続けています。
ランサム攻撃への対策として、まず以下の基本的な取り組みが重要です。
- バックアップデータの定期取得とオフライン環境での保管
- VPN機器やリモートデスクトップへの多要素認証(MFA)の導入
- 脆弱性情報の収集とセキュリティパッチの迅速な適用
- WAF(Web Application Firewall)の導入による不正アクセスの検知・遮断
これらを組み合わせることで、侵入を防ぐ「入口対策」と、被害を最小限に抑える「事後対策」の両面から防御体制を強化できます。
脅威②サプライチェーンや委託先を狙った攻撃(2位)
サプライチェーン攻撃とは、セキュリティ対策が手薄な取引先や委託先を踏み台にして、本来の標的企業に侵入する攻撃手法です。自社の対策が万全でも取引先が入口となるため、被害が広範囲に及びやすく、4年連続2位という結果からも依然として深刻な脅威であることがわかります。
主な対策は以下のとおりです。
- 委託先を含むサプライチェーン全体のセキュリティ対策状況の定期的な把握
- 取引先・委託先との契約時におけるセキュリティ要件の明記
- 定期的なセキュリティ監査の実施
また、経済産業省は「サプライチェーン強化に向けたセキュリティ対策評価制度」の2026年度下期運用開始を目指しています。企業のセキュリティ対策レベルを★3〜★5で評価する制度で、取引先選定の基準としても活用されることが見込まれます。自社が「守る側」にも「選ばれる側」にもなり得ることを意識した対策が求められます。
脅威③AIの利用をめぐるサイバーリスク(3位)
初選出ながら3位にランクインした「AIの利用をめぐるサイバーリスク」は、生成AIの急速な普及を背景に顕在化した新たな脅威です。IPAはこのリスクを3つの観点から整理しており、具体的には以下のような問題が想定されています。
- 利用者観点
機密情報の意図しない入力による情報漏えい、AI出力の鵜呑みによる誤情報の拡散 - 開発者観点
プロンプトインジェクション、学習データへの不正データ混入(データポイズニング) - 社会観点
生成AIを悪用したフィッシングメールの大量作成、ディープフェイクを使った詐欺
AIの活用が業務に深く浸透するなか、まずはAI利用ポリシーの策定と従業員教育から着手し、機密情報の入力制限やAI生成コンテンツの検証プロセスを整備することが重要です。
まとめ
情報セキュリティ10大脅威 2026では、ランサム攻撃やサプライチェーン攻撃の継続的な脅威に加え、AIの利用をめぐるサイバーリスクが新たに上位にランクインしました。自社のセキュリティ対策の優先順位を見直す上で、重要な指針となるでしょう。
これらの脅威に備えるためには、まず自社システムの弱点を把握することが出発点となります。バルテスの脆弱性診断サービスでは、ランサム攻撃やサプライチェーン攻撃の入口となる脆弱性を網羅的に洗い出し、優先的に対処すべきリスクを明確化します。また、Webアプリケーションへの攻撃をリアルタイムで検知・遮断するPrimeWAFと組み合わせることで、より強固な防御体制を構築できます。
自社のセキュリティ強化をお考えの方は、ぜひお気軽にご相談ください。