サマリ
2026年は、ランサムウェアとAIが二大脅威として台頭しています。ランサムウェア被害は過去最高水準で推移し、2025年1月〜3月だけで全世界で2,289件のインシデントが報告されています。同時に、生成AIの急速な普及で、AIを悪用した攻撃やAI利用時のリスクが初めて脅威ランキング3位に浮上し、企業のセキュリティ対策は「技術だけでなく経営・ガバナンス」へシフトしている転換点を迎えています。
詳細
ランサムウェア被害の深刻化と多様化
2025年1月〜3月だけで全世界で2,289件のランサムウェアインシデントが報告され、前年比126%増という驚異的な増加を記録しました。国内でも被害は拡大しており、令和7年に報告された国内のランサムウェア被害件数は226件でした。注目すべきは、被害の質が変わってきた点です。データを暗号化せず、窃取した情報の公開をちらつかせて金銭を要求する「暴露型」攻撃が主流化しており、2025年第3四半期には攻撃の96%がデータ窃取を伴っていました。
攻撃対象も進化しています。中小企業を対象としたランサムウェア被害が全体の88%を占めており、大企業のセキュリティ対策が強化されたため、攻撃者はサプライチェーンの弱点である中小企業へシフトしています。また、2026年5月は、委託先・グループ会社経由でランサムウェア被害が波及する「サプライチェーン型攻撃」が複数確認され、その被害の広がりと深刻さが際立った月となりました。身代金支払いの傾向にも変化があり、身代金支払い率は2024年調査の57.0%から2026年調査では43.8%へと3年連続で低下しています。
AI時代の新たな脅威
今年最大の変化は、AIに関するリスクが初めて脅威ランキングの上位に登場したことです。「AIの利用をめぐるサイバーリスク」が初選出され、3位にランクインしました。このリスクは単純ではありません。AIの悪用、AIへの攻撃、運用・法的リスクの3つに分けられます。
攻撃者側のAI活用も急速に進んでいます。最も警戒すべきシナリオは「完全自律型攻撃エージェント」の実用化で、研究機関の間では2027〜2028年頃に実用レベルになるという予測もあります。具体的には、攻撃の民主化により、プロンプトエンジニアリングの知識があれば、高品質なフィッシングメールを数秒で生成したり、既存のマルウェアコードを改変してセキュリティツールによる検知を回避することが可能になりつつあります。
規制環境の大きな転換
2026年は規制面でも大きな転機を迎えています。経済産業省が主導する「サプライチェーン強化に向けたセキュリティ対策評価制度」をはじめ、サイバー対処能力強化法の施行、さらにはEUのサイバーレジリエンス法の適用開始など、企業を取り巻くセキュリティ環境は大きく変化します。★3(自己評価・25項目)と★4(第三者評価・44項目)が2026年10月頃に運用開始予定です。これまでセキュリティ対策は企業の内部課題でしたが、セキュリティ対策は個社の問題にとどまらず、取引条件や評価・格付けといった形で企業間関係にも影響を及ぼし始めています。
求められる総合的な対応
従来の「個別対策の積み上げ」だけでは限界が見え始めており、実際のインシデントの多くは、高度な攻撃以前に、利用者の操作ミスや設定ミス、安易なリンクのクリックといった「運用の隙」から始まっています。データ量からみても深刻です。サイバー犯罪による企業への損失は2025年時点で10.5兆ドルに達し、2029年までに15.63兆ドルに近づくと予測されています。
今後の展望
2026年から2027年にかけて、サイバーセキュリティ対策は大きく3つの方向へ進むと予想されます。
第一に、2026年は、AI活用が一層浸透し、特にAIエージェントが実業務で自律的に動作する時代が本格化すると見込まれます。これに伴い、企業は従来の「検知と防御」モデルから「侵害を前提とした復旧」モデルへの転換を急ぐ必要があります。
第二に、規制対応がビジネスの競争要件になります。セキュリティ評価が低い企業は取引の条件から外される時代が到来しており、特に大企業との取引を希望する中小企業にとって対応は急務です。
第三に、2026年以降も「業種・組織規模に関係なく、侵入できる隙がある組織に侵入する」という基本的な構造は変わりません。むしろ、組織のDX推進によるアタックサーフェスの拡大やA
コメントを残す