サマリ
2026年のサイバーセキュリティは、ランサムウェアとサプライチェーン攻撃が急速に拡大し、AIセキュリティが急務となっています。経営リスクの観点から、企業規模や業種を問わず被害が波及する状況が見えてきました。新しい法制度や評価制度の施行により、セキュリティ対策の実装が実質的な義務となってきたことが特筆すべき動きです。
詳細
ランサムウェア被害の質的変化─金額より規模と長期化
2025年のランサムウェア身代金支払い総額は約8.2億ドルと前年比で約8%減少しましたが、一方で被害件数の報告は前年比50%増と急増しています。重要なのは、攻撃者側が少数高額より多数被害を狙う戦略へシフトしていることです。
警察庁統計によると、2025年上半期のランサムウェア被害報告件数は116件に達し、被害は大企業だけに留まりません。データ窃取と暗号化を組み合わせた「二重恐喝」が常態化し、業務停止期間も長期化しています。特に注目すべきは、大分県の大型商業施設がサイバー攻撃を契機に債務超過に陥った事例です。経営そのものが破綻する深刻な影響が生まれ始めています。
サプライチェーン攻撃が急速に拡大─二次被害の連鎖
2025年の大きなトレンドは、「サプライチェーン攻撃」の急増です。大企業への直接攻撃よりも、下請けや関連企業への侵入から波及する攻撃パターンが目立つようになりました。
具体例としては、2026年5月に山形のシステム企業への攻撃により、自治体や関連企業50万件以上の機微情報(マイナンバー含む)が流出するケースが報告されています。さらに、ランサムウェアグループQilinによるあなぶきハウジングサービスへの攻撃では、約20万8千件の漏洩に加え、松山市営住宅の入居者情報7,237件まで波及する二次被害も確認されました。
この現象に対応するため、経済産業省は「サプライチェーン強化に向けたセキュリティ対策評価制度」を2026年度中の運用開始を目指しており、企業のセキュリティ対策を★3~★5の段階で可視化し、取引判断の基準として機能させようとしています。
AI技術がセキュリティの両面で大きな転換点に
2026年の注目トピックは、攻撃側と防御側の両方でAI活用が急速に進むことです。AIに関するテーマが複数の脅威ランキング項目に登場し、セキュリティの様相を大きく変え始めています。
攻撃側では、生成AIにより攻撃の自動化・高度化が加速し、従来は高度な技術が必要だった攻撃が誰でも簡単に実行可能になってきました。一方、防御側ではAIを活用した異常検知システムや自動対応機能が重要性を増しています。ただし、生成AIそのものへのセキュリティリスク(プロンプトインジェクション、学習データの漏洩など)と、AIサービス利用時のリスク(無許可のAI SaaS利用による情報流出など)の両方に対応が求められている状況です。
新しい法制度の施行で企業責任が一層厳格化
2026年は日本企業のセキュリティ対策における大きな転換点です。2025年5月に成立した「サイバー対処能力強化法」が2026年中の施行を予定しており、国の安全保障や国民生活に影響する重要電子計算機を管理する事業者に、セキュリティ対策の実装を実質的に義務付けることになります。
また、IPA「情報セキュリティ10大脅威2026」では、ランサムウェアが引き続き1位、サプライチェーン攻撃が2位に位置付けられ、政府と専門家の認識が一致しています。技術部門だけの課題ではなく、経営・ガバナンス・事業継続計画を含めた組織全体の対策が求められるようになったわけです。
今後の展望
サイバーセキュリティ市場は、「個別対策の積み上げから統合的なアプローチへ」の転換期を迎えています。
第一に、企業規模や業種を問わず、セキュリティ対策の標準化と可視化が必須となります。サプライチェーン評価制度により、セキュリティレベルが取引条件に直結する時代が本格到来します。「対策が不十分な企業は取引の土俵に上がれない」という現実が加速するでしょう。
第二に、運用と技術の融合がますます重要になります。単一製品への依存を避け、障害や侵害を前提に「検知・封じ込め・復旧」の一連の流れを設計できる体制が差別化要因となります。特にVPN脆弱性やクラウド設定ミスといった「運用の隙」を狙う攻撃が増えているため、技術対策と運用プロセスの統制がセットで機能することが不可欠です。
第三に、AI時代への適応が急務です。攻撃の敷居が大きく下がる一方で、防御側もAI活用による自動検知・自動対応を実装する競争が始まっています。同時にAIセキュリティそのものに関する社員教育と、生成AIの安全な利用ルール整備も待ったなしです。
2026年後半から2027年にかけては、セキュリティを「技術部門だけの課題」と見なす企業はますます立場が
コメントを残す