2026年05月23日のサイバーセキュリティ動向まとめ

サマリ

2026年のサイバーセキュリティは、AIを活用した高度化した攻撃、ランサムウェアの巧妙化、そしてサプライチェーン全体へのセキュリティ義務化が大きなテーマです。特にAI悪用による攻撃が初めてIPA「10大脅威」に3位でランクインするなど、技術と規制の両面で環境が急速に変わっています。企業は従来の防御的な対策では対応しきれず、ゼロトラストセキュリティへの転換が急務となっています。

詳細

AI活用による攻撃の高度化：新たな脅威の登場

もっとも注目すべきは、生成AIが攻撃手段として急速に悪用されていることです。2026年版の「情報セキュリティ10大脅威」で初めて「AIの利用をめぐるサイバーリスク」が3位にランクインしました。これは単なる理論的な懸念ではなく、実際の攻撃に転化しています。

AIを悪用した攻撃は多岐にわたります。ディープフェイク技術による詐欺が顕著で、2025年には香港での「ディープフェイクCFO詐欺」事件で約37億円がだまし取られました。日本でも経営幹部を装ったビデオ会議詐欺やCEO音声を模倣した電話詐欺が報告されています。さらに攻撃者がAIを使って窃取したデータを分析し、被害組織にとって最も重要な資産を特定する事例も増加中です。

複数のサイバーセキュリティ専門家は2026年にAIが攻撃側と防衛側の処理速度と判断能力を急速に高め、従来の対処では追随が難しい局面が拡大すると指摘しています。特に懸念されるのは「自律型AI」の出現で、人間の指示なく自動的に脆弱性を探し出して攻撃を実行する可能性です。

ランサムウェア被害の深刻化：二重脅迫から暗号化なし攻撃へ

ランサムウェアは5年連続で脅威トップの座を守っています。警察庁の2025年上半期統計によると116件の被害が報告されており、被害の約8割がVPN機器などの脆弱性を突いたネットワーク侵入が感染経路です。セキュリティアップデートを怠った「管理の盲点」が最大の狙い目になっています。

手口も進化しています。従来の「データ暗号化＋身代金要求」から、データを暗号化せずに窃取と公開脅迫だけで恐喝する「純粋な情報流出型攻撃」が急増中です。さらに「二重脅迫」では身代金だけでなく、盗まれた情報をネット公開すると脅迫するため、企業は社会的信用失墜という甚大なリスクに直面します。

2025年の身代金要求中央値は約929万円と、前年比で約368%急増しました。被害件数は前年比50%増加しており、支払い率が低下する中で攻撃者の交渉手口は一層強硬化しています。業務委託先のセキュリティ不備を入口にした「逆流型サプライチェーン被害」も顕著で、大手通販会社の事例では約74万件の個人情報流出につながりました。

セキュリティ対策の義務化：サプライチェーン評価制度の衝撃

2026年度中に経産省が「サプライチェーン強化に向けたセキュリティ対策評価制度」の運用を開始する予定です。これは単なる努力目標ではなく、企業取引の条件として機能する可能性が高い実質的な義務です。

評価は★3～★5の3段階で行われます。★3は基礎的対策で自己評価による取得が可能。★4は第三者評価が前提で、取引先管理やインシデント対応など約44項目の包括的対策が必要。★5は未知の高度な攻撃も想定した到達点で、国際規格やベストプラクティスに基づくサイバーレジリエンスが求められます。

さらに2026年中には「サイバー対処能力強化法」の施行も予定されており、重要インフラ企業などに対してセキュリティ対策が法的に義務付けられます。これらの制度は中小企業にも影響を及ぼし、大企業との取引継続の条件となるため、対応が急務です。

ゼロトラストセキュリティの拡大：市場は434億8000万ドル規模に

ゼロトラストセキュリティはもはや理論的概念ではなく、企業のセキュリティロードマップに組み込むべき運用フレームワークとなっています。市場規模は2025年の385億6000万米ドルから2026年には434億8000万米ドルに拡大し、年平均成長率13.4%で成長が続く見込みです。

「決して信頼せず、常に検証する」というゼロトラストの基本原則は、リモートワーク・クラウド利用・DX推進が進む現在、単なる技術的選択肢ではなく戦略的必須となっています。特に日本では2026年以降、従来の境界防御モデルからの転換が急速に進み、金融・製造・公共分野でセキュリティ投資の中心的位置づけになると予測されています。

段階的導入が実務的です。多要素認証（MFA）、エンドポイント検知・対応（EDR）、ネットワーク分離といった基本的な技術から着手し、3～6ヶ月のサイクルで段階的に展開することで、組織に過度な負担をかけずに導入できます。

今後の展望

2026年は日本企業に