サマリ
2026年は日本企業にとってサイバーセキュリティの大転換点です。ランサムウェアが6年連続で脅威首位である一方、AI関連リスクが初めてランキング入りするなど、攻撃手法は高度化・多様化しています。セキュリティ対策評価制度やサイバー対処能力強化法など、複数の法制度が同時運用開始される中、企業への対応の重要性が急速に高まっています。
詳細
ランサムウェア脅威、依然として深刻
2025年のランサムウェア「身代金支払い総額」は約8.2億ドル(約1,279億円)と2024年の8.92億ドルから約8%減少しましたが、リークサイト等で主張された被害件数は前年比50%増と報告されていますクラウド経由での個人情報漏洩が判明しており、暗号化による業務停止だけでなくデータ流出を伴う「二重恐喝」が常態化しています。企業経営への直接的な打撃も報告されており、サプライチェーン全体への波及が大きな課題となっています。
AI関連リスク、新たな脅威として浮上
2026年の最大の変化がAI関連脅威のランク入りです。従業員が生成AIサービスに機密情報を入力してしまった、AIで作られた偽の音声で詐欺被害に遭ったといった事例が国内外で相次いでいますCrowdStrikeの「2026 Global Threat Report」によると、AIを駆使したサイバー攻撃は2025年に前年比で89%増加しましたサイバー脅威の侵入から他のシステムへ移動する速度を示す「平均ブレイクアウト時間」は前年比65%増となっており、具体的には約29分まで短くなったというのです。
法制度の同時運用が企業対応を加速
2026年は規制面での大きな変化の年となります。2026年は日本企業にとってサイバーセキュリティの転換点となる年です。SCS評価制度の運用開始、サイバー対処能力強化法の施行、EUサイバーレジリエンス法の報告義務開始など、複数の制度変更が同時に進行しますSCS評価制度は経産省が主導する、企業のセキュリティ対策を★3〜★5で可視化する制度です。★3(自己評価・25項目)と★4(第三者評価・44項目)が2026年10月頃に運用開始予定です。これらは単なる努力目標ではなく、取引条件として求められる可能性が高まっています。
防御側もAI活用が必須に
攻撃の高度化に対抗するため、防御側もAI活用を急速に進めています。AIにより、未知の攻撃のリアルタイムでの検知、膨大なログを基にした脆弱性の予測、インシデント対応の自動化などを実現し、従来の限界を超えた防御態勢を構築しています。
同時に、これまでの「社内外の境界防御」では対応不可能な状況になっています。ゼロトラストというセキュリティアプローチが注目を集めています。。
今後の展望
2026年後半から2027年にかけて、サイバーセキュリティの環境は更に厳しくなると予想されます。攻撃側と防御側の「AI対AI」の競争がさらに激化し、その結果、ランサムウェアやディープフェイク詐欺などの被害はさらに多様化・複雑化するでしょう。
企業経営層は、セキュリティを単なるIT部門の課題ではなく、経営課題として捉え直す必要があります。SCS評価制度への対応は、単に加点を得るだけでなく、取引先から選ばれ続けるための必須条件となります。特に中堅・中小企業のサプライチェーン上の企業への波及効果は大きく、業界全体での対策の底上げが進むと見込まれます。
同時に、AI活用による自動検知・自動対応といった次世代型セキュリティソリューションへの投資が急速に増加するでしょう。ゼロトラストの実装も標準化に向けて加速し、「境界がない」時代の新しい防御スタイルが定着していくことが予想されます。
コメントを残す