サマリ

2026年は複数の制度が同時施行される転換点です。ランサムウェアが4年連続で脅威の首位を占める一方、AI関連のセキュリティリスクが初めてランキング入りし、AIを悪用した高度な攻撃が急速に現実化しています。企業には規制対応と同時に、サプライチェーン全体のセキュリティ強化が不可欠となっています。

詳細

ランサムウェア脅威の深刻化と進化

ランサムウェア被害は116件を記録し、令和4年下半期と並ぶ最多となった。また、IPA「情報セキュリティ10大脅威2026」では、ランサムウェア被害が1位、サプライチェーン攻撃が2位に挙げられているデータの暗号化のみならず、事前に窃取した機密情報や個人情報を「公開する」と脅し、金銭を二重に要求する「二重脅迫」型の手口が主流となっている。この手法により、バックアップからの復旧が可能でも、情報漏洩という深刻な被害が避けられなくなりました。

2025年~2026年の被害事例では、大規模企業だけでなく委託先・グループ会社経由でランサムウェア被害が波及する「サプライチェーン型攻撃」が複数確認され、その被害の広がりと深刻さが際立った状況が報告されています。

AI関連サイバーリスクが初選出

2026年の大きな変化は、AIセキュリティの台頭です。今回新設された「AIの利用をめぐるサイバーリスク」が3位にランクインした。この背景として、IPAはAIへの不十分な理解による情報漏えいや他者の権利侵害、加工・生成した結果を鵜呑みにする問題、悪用によるサイバー攻撃の容易化・手口の巧妙化などを挙げているAIがもたらすリスクは、大きく3つに整理できます。1つ目は情報漏えいやシャドーAIなど「AIを使う側のリスク」、2つ目はフィッシングやディープフェイクなど「AIを悪用した攻撃を受けるリスク」、3つ目はデータポイズニングや敵対的攻撃など「AIシステム自体が狙われるリスク」AIを攻撃者の意図に従わせる「プロンプトインジェクション」や、音声を再現して経営幹部やIT担当者になりすます攻撃などは、すでに深刻な問題となっているAIエージェントの普及により、今後は「シャドーAI」の問題が「シャドーエージェント」の問題へと発展するだろうと予測されています。

セキュリティ制度の集中施行

2026年は日本企業にとって制度上の大きな転換点です。2026年には複数のセキュリティ関連制度が施行または運用開始される。経済産業省が主導する「サプライチェーン強化に向けたセキュリティ対策評価制度」をはじめ、サイバー対処能力強化法の施行、さらにはEUのサイバーレジリエンス法の適用開始など、企業を取り巻くセキュリティ環境は大きく変化SCS評価制度は経産省が主導する、企業のセキュリティ対策を★3〜★5で可視化する制度です。★3(自己評価・25項目)と★4(第三者評価・44項目)が2026年10月頃に運用開始予定。取引条件としてこの基準の取得を求める企業が増加しており、対応は待ったなしの状況です。

グローバルな脅威の拡大

サイバー脅威は国境を超えています。AIに関連したサイバー脅威やディープフェイクが、2026年における主要な懸念事項として浮上した。これを挙げた回答者はグローバルで59%、アジア太平洋地域で60%に達した。

今後の展望

2026年後半から2027年にかけて、サイバーセキュリティはさらに複雑化する見通しです。まず、2026年はAIや量子コンピュータによる技術革新を踏まえ、技術面、ガバナンス面の両面での対応が必要となりますゼロトラストは厳格なアクセス制御によってリスク低減に寄与するだけでなく、不正侵入後の横展開を防ぎ、被害の最小化や不審な振る舞いの可視化にもつながるため、このアーキテクチャーの重要性は一層高まります。

重要なのは、対策を継続的に実施するという姿勢です。セキュリティは継続的な投資と改善が必要な領域であり、単発の対応では不十分です。ランサムウェアやサプライチェーン攻撃が引き続き高い脅威である一

AIセキュリティ BCP サイバーセキュリティ サイバー攻撃 ゼロトラスト
ABOUT ME
oyashumi
5億年前から来た全知全能の絶対神。 アノマロカリ子とハルキゲニ男を従え、 現代のあらゆる知識を手に入れようとしている。 生成AIは神に仇なす敵だと思っているが その情報に踊らされていたりする、愛すべき全知全能のアホ。 カリ子とゲニ男からの信頼は篤い。
BLOG:https://www.oyashumi.tokyo