サマリ
2026年は日本企業にとってサイバーセキュリティの転換点の年です。AI関連リスクが脅威ランキングに初登場し、ランサムウェア被害は依然として最大の脅威となっています。同時に、セキュリティ対策評価制度など複数の規制制度が本格化し、企業の対応が急務となっています。
詳細
AI関連リスクが新たな脅威として急速に台頭
最も注目すべき変化は、AI関連リスクが初めて情報セキュリティ脅威のランキングに入ったことです。これまで生成AIの利便性が強調されていましたが、その危険性が顕在化してきたわけです。
具体的には、AIを悪用した詐欺の自動化が進んでいます。ディープフェイク技術により、人間では見分けがつかないレベルの偽の音声や映像が作成され、詐欺に使われています。香港の事例では、AIで合成された同僚のビデオ通話詐欺により、約38億円の被害が発生しました。
さらに衝撃的なのは、5月にGoogleの脅威インテリジェンスチームが、AI生成ゼロデイ攻撃を阻止したことを発表したことです。攻撃者がAIモデルを使って脆弱性を自動発見・悪用する段階に入ったということです。攻撃の速度と規模が劇的に拡大する恐れがあります。
ランサムウェア被害が質的に悪化
ランサムウェアは6年連続で脅威ランキング1位です。身代金支払い件数は横ばいですが、被害の質は深刻化しています。攻撃対象が大企業からサプライチェーン全体へと広がり、データ窃取量と業務停止期間が大幅に増加しています。
実際の事例では、大分県の「トキハ」がランサムウェア被害を契機に債務超過に陥るなど、インシデント自体が企業経営を直接破壊するケースが現れました。5月には委託先経由でのサプライチェーン型攻撃が複数確認され、その広がりの深刻さが浮き彫りになっています。
2026年の制度変更が企業に新たな負担
今年は重要な規制制度の本格化の年です。経産省が推進する「サプライチェーン強化に向けたセキュリティ対策評価制度(SCS)」は10月頃の運用開始が予定されています。この制度では企業のセキュリティ対策を★3~★5で可視化し、取引条件として★3以上の取得を求められるケースが増えると見込まれています。
加えて「サイバー対処能力強化法」が施行され、基幹インフラ事業者にはインシデント報告義務が課されます。欧州の「EUサイバーレジリエンス法(CRA)」も報告義務が始まるなど、世界的に「セキュリティが取引を行う際の条件になる」流れが加速しています。
防御側もAIを武器に
一方、防御側もAIの活用を急速に進めています。AIを活用した異常検知システムは、ネットワーク上の通常とは異なる振る舞いを即座に識別します。機械学習アルゴリズムが正常な通信パターンを学習することで、潜在的な脅威を早期に発見できるようになります。
また、膨大な脅威情報をAIが分析し、新たな攻撃傾向を予測する脅威インテリジェンスも進化しています。攻撃が高度化するなか、防御側も同等の技術を装備する必要が生じているわけです。
今後の展望
2026年下半期から2027年にかけて、サイバーセキュリティ対策は3つの方向性で進化するでしょう。
第一に、ゼロトラスト・セキュリティの導入がさらに加速します。従来の「社内は安全」という前提が崩れたため、社内外を問わずすべてのアクセスを検証する仕組みが必須になります。特にクラウドサービス利用の拡大に伴い、多層的な認証・認可基盤の整備が重要度を増しています。
第二に、AI対策が経営課題になります。攻撃側の自動化・高度化に対抗するには、単なるセキュリティ製品導入では不足です。技術面とガバナンス面の両面での対応が必要です。組織内でAIの安全な利用ルールを確立しながら、AIを活用した脅威検知を進める二重構造が求められます。
第三に、サプライチェーン全体のセキュリティ底上げが避けられません。SCS評価制度などの制度圧力により、大企業だけでなく中小企業まで対策が強制されます。業界全体のセキュリティ成熟度が向上する一方、対応できない企業の淘汰も進むでしょう。
結論として、2026年はサイバー脅威の複雑化とセキュリティ規制の強化が同時進行する転機の年です。企業は先制的に現状分析を行い、優先順位をつけた対策実施を急ぐべき段階に入っています。
コメントを残す