サマリ
2026年のサイバーセキュリティは、AIの悪用による攻撃の高度化と制度義務化が大きな転換点です。ランサムウェアは引き続き最大の脅威で、初期アクセスから侵害まで29分という記録的な速さを実現。サプライチェーン全体での対策が急務となる中、経産省の評価制度が10月に運用開始される予定です。
詳細
AI悪用による攻撃の加速
攻撃者によるAI活用が大きな変化を遂行しています。生成AIを活用した攻撃の活動は前年比89%増加し、自動化によって攻撃の効率が飛躍的に向上しました。
特に注目すべきは、初期アクセスから完全なデータ流出までの時間の短縮です。平均的なサイバー犯罪のブレイクアウトタイムはわずか29分に短縮され、過去最速の攻撃はわずか27秒で完了したとの報告もあります。攻撃者は、生成AIを単なる情報補助ではなく、標的分析や攻撃コード最適化、脆弱性スキャン自動化に利用しているのです。
企業が導入した生成AIサービス自体も攻撃対象になっています。プロンプトインジェクション、データ漏洩、悪意あるAI生成コード、モデル汚染といった新種のリスクが顕在化。約90を超える組織で悪意のあるプロンプトが注入され、認証情報や暗号資産盗取に悪用されました。
ランサムウェア脅威の深刻化
ランサムウェアは依然として組織向け脅威の第1位です。2025年第1四半期だけで世界中で2,289件のインシデントが報告され、前年比126%増という驚異的な増加率を記録しました。
攻撃の手口も大きく進化しています。従来の「データ暗号化+身代金要求」から、「データ窃取+情報公開脅迫」へシフトが進んでいます。2025年第3四半期には攻撃の96%がデータ窃取を伴うようになりました。さらに二重恐喝や従業員への直接接触といった強硬化した交渉手法へと進化しています。
国内でも2025年上半期に116件のランサムウェア被害が報告され、KADOKAWA、トヨタ、アサヒグループなど大企業が相次いで被害を受けました。中小企業への標的化も急速に拡大しており、業種・規模を問わず「隙があれば侵入される」が前提の時代になっています。
サプライチェーン攻撃と制度対応
大企業への直接攻撃に加え、サプライチェーン全体を対象とした侵入が急増しています。セキュリティ対策が相対的に手薄な中小企業やベンダーを踏み台にして、大企業を狙う戦略が定着化しました。
これに対応するため、経産省は「サプライチェーン強化に向けたセキュリティ対策評価制度」(SCS評価制度)を2026年度中の運用開始を予定しています。評価は★3(基礎的対策)から★5(最高水準)で段階づけられ、取引条件の判定材料として機能する見込みです。また、サイバー対処能力強化法が施行され、基幹インフラ事業者にはインシデント報告義務が課されます。EUサイバーレジリエンス法の報告義務も2026年9月から先行適用されるため、国際市場で事業展開する日本企業の対応は必須です。
セキュリティ対策の総合化
単一製品や個別対策だけでは対応が困難な段階に入っています。従来の「境界防御」を軸とした対策では、AIで高度化した攻撃に対応しきれません。
重要なのは「技術×運用×統制」をセットで成立させることです。ゼロトラスト、多要素認証、クラウド環境の検知・監視、障害を前提にした復旧計画が重要になります。また、シャドーITや属人運用といった運用上の隙を是正し、経営層に対して説明可能な状態を作る責任が情報システム部門に求められています。
今後の展望
2026年のサイバーセキュリティ市場は、攻撃の高度化と防御要件の同時進行が特徴です。AIエージェント技術の進化に伴い、攻撃側のAI活用率がさらに加速するでしょう。それに対抗するため、AI搭載型の検知・防御技術への投資が加速します。
制度面では、セキュリティが単なる技術課題から経営ガバナンスの課題へと格上げされました。企業間の取引条件にセキュリティ評価が組み込まれる時代が来ます。大企業との取引を希望する企業は、一定水準以上のセキュリティ成熟度証明が避けて通れなくなります。
同時に、業務継続の観点からの準備も不可欠です。完全な侵害防止ではなく、「侵害されることを前提に、いかに迅速に検知・復旧するか」へと意識が転換しています。クラウド環境のバックアップ戦略、インシデント対応体制の整備、従業員のセキュリティ教育といった人的対策の重要性がますます高まっていくでしょう。
コメントを残す