ランサムウェアやサプライチェーン攻撃に加え
AI利用に伴う新たなリスクが組織を揺るがす

情報処理推進機構（IPA）が毎年発表している「情報セキュリティ10大脅威」の2026年版が公開されました。このランキングは、前年に発生した社会的に影響の大きいセキュリティ事案を基に選出されるもので、組織のセキュリティ対策における重要な羅針盤となっています。

今年の「組織」における脅威ランキングで最も注目すべき点は、初登場でいきなり3位にランクインした「AIの利用をめぐるサイバーリスク」です。生成AIをはじめとするAI技術の急速な普及は、業務効率化や新たな価値創造に大きく貢献していますが、同時にこれまで想定していなかったリスクも招いています。具体的には、従業員が機密情報を不用意にAIに入力してしまうことによる情報漏洩や、AIが生成した不正確な情報を鵜呑みにして意思決定を行ってしまうリスクなどが挙げられます。また、攻撃者側もAIを悪用しており、より巧妙なフィッシングメールの作成や、サイバー攻撃の自動化・高度化に利用される懸念も高まっています。

一方で、1位と2位は昨年に引き続き、「ランサムウェアによる被害」と「サプライチェーンや委託先を狙った攻撃」が占めました。ランサムウェアは11年連続のランクインとなり、依然として組織にとって最大の脅威であり続けています。また、自社のセキュリティ対策だけでは防ぎきれないサプライチェーン攻撃も高止まりしており、取引先を含めた包括的な対策の必要性が改めて浮き彫りになりました。

「個人」向けの脅威については、順位が低い脅威への警戒が薄れることを防ぐため、今回からランキング形式ではなく五十音順での発表となりました。「インターネットバンキングの不正利用」や「フィッシングによる個人情報等の詐取」など、金銭や情報を狙った手口は依然として多く、手口も日々巧妙化しています。

今回の「AIリスク」のランクインは、テクノロジーの進化が新たな脅威を生み出すというセキュリティの宿命を象徴しています。新しい技術を導入する際は、その利便性だけでなく、影の部分であるリスクにも目を向け、適切なルール作りや教育を行うことが不可欠です。従来の対策に加え、AI時代に即した新たなセキュリティ観点を持つことが、組織を守る鍵となるでしょう。

セキュリティ対策に「これで終わり」はありません。IPAの発表を一つの契機として、自組織の対策状況を見直し、変化する脅威に適応していく姿勢が求められています。