サマリ
2026年のサイバーセキュリティは、AIリスクが初めて10大脅威の上位3位に選出されるなど、生成AI時代への対応が急務となっています。同時にランサムウェア被害は6年連続で1位であり、サプライチェーン攻撃も2位に位置。セキュリティ対策義務化制度が運用開始を迎え、企業には技術と運用・法制の統合的対応が求められています。
詳細
AIがもたらす新たなサイバーリスク
2026年は新たに「AIの利用をめぐるサイバーリスク」が初登場ながら3位にランクインしました。このリスクには3つの側面があります。
まず、AIを使う側のリスクとして情報漏えいやシャドーAI、AIを悪用した攻撃を受けるリスク、AIシステム自体が狙われるリスクが挙げられます。企業の従業員が機密情報をChatGPTなどに入力して漏らしてしまうケースが増えています。
AIはサイバー攻撃と防衛の両面で速度と規模を拡大する要因となり、従来の手動での対応だけでは対策困難な状況が顕在化しています。攻撃者も生成AIを使ってフィッシングメールやマルウェアを作成し、攻撃の効率化を図っています。
ランサムウェア被害の深刻化
警察庁によるレポートでも、ランサムウェア被害は116件を記録し、令和4年下半期と並ぶ最多となりました。特に懸念される手口が「二重脅迫」です。データを暗号化するだけでなく、事前に窃取した機密情報や個人情報を「公開する」と脅し、金銭を二重に要求する手口が主流となっています。
被害規模も膨大です。ランサムウェアの調査・復旧費用の総額として1,000万円以上かかったという回答が37%を占めています。医療機関や製造業が狙われやすく、経営存続の危機に直結する脅威となっています。
サプライチェーン攻撃の拡大
4年連続でランサムウェア攻撃が1位、サプライチェーン攻撃が2位にランクインしています。2025年も、サイバー攻撃の被害組織の取引先が二次被害・三次被害をこうむる、ビジネスサプライチェーン被害の事案が続発しました。
これに対応すべく、SCS評価制度は経産省が主導する、企業のセキュリティ対策を★3〜★5で可視化する制度で、2026年10月頃に運用開始予定です。取引条件としてセキュリティ対策の評価が重視されるようになります。
セキュリティ対策の義務化と制度整備
2026年は日本企業のセキュリティ対策において大きな転換点となる年です。サプライチェーン強化に向けたセキュリティ対策評価制度をはじめ、サイバー対処能力強化法の施行、EUのサイバーレジリエンス法の適用開始など、企業を取り巻くセキュリティ環境は大きく変化します。
サイバー対処能力強化法は基幹インフラ事業者にインシデント報告義務を課す法律です。これらの制度は取引を行う際の条件となり、対応が遅れると事業機会を失う可能性があります。
ゼロトラストセキュリティへの転換
従来の「社内は安全」という考えは通用しません。ゼロトラストとは、あらゆるネットワークアクセスを信用せず、すべてのアクセス要求に対して検証を行うことを前提とする、新たなセキュリティの考え方です。
2024年、NIST提唱のゼロトラストの7つの基本原則への対応状況を聞いたところ、国内企業の約5割がゼロトラストの一部に対応していることが分かりました。中でも「多要素認証」は最も進んでおり、約6割が対応済みです。しかし、完全な実装にはまだ課題が残っています。
今後の展望
2026年から2027年にかけて、サイバーセキュリティ対策は企業経営そのものに直結するテーマになります。単なる技術部門の課題ではなく、経営層が関与すべき経営課題として位置づけられる傾向が強まるでしょう。
2026年は「目に見えるものも疑うべき」というファクトチェックが必須となり、ゼロトラストの概念を「通信」だけでなく「人間(アイデンティティ)」そのものにまで拡張する必要が出てくるでしょう。
AIと防御技術の軍拡競争が激化する一方で、制度整備が並行して進みます。企業は①セキュリティ制度への対応準備、②AIリスク管理体制の構築、③ゼロトラストモデルへの段階的移行、④継続的な従業員教育という4つの柱で、統合的な対策を急ぐ必要があります。被害を「起こりうる前提」で考え、検知・封じ込め・復旧までの流れを整備できる企業だけが、この転換期を乗り切ることができるでしょう。
コメントを残す