公開日:2026年3月31日
ISO27001の審査が月額 ¥17,000円(税抜) から
情報セキュリティの脅威から組織を守るには、単発的な対策ではなく、体系的なマネジメントシステムの構築が効果的です。ISMS認証(ISO/IEC 27001)の取得で、自社のリスクを把握し、効果的な対策を講じることができます。
「IPAの10大脅威のレポートを読んだけど、結局うちは何から手をつければいい?」
「経営層に報告したいが、自分たちの取り組みと、経営者にお願いすることが整理できていない」
「AIリスクが初めてランクインしたけど、ISMS取得済みの会社でも対応が必要なの?」
このような悩みを抱えている経営者・情報セキュリティ担当者の方も多いのではないでしょうか?
この記事で解決できる課題
本記事では、IPA「情報セキュリティ10大脅威 2026」の各脅威について、経営者・担当者それぞれが「今すぐ・3ヶ月以内・年度内」に何をすべきかを一覧表で整理しています。脅威の概要を把握するだけでなく、明日からの行動に直結する内容になっていますので、ぜひ最後までご覧ください。
\ ISOや情報セキュリティに関する情報を配信! /
ISOご担当者様・ご興味がある企業様は、情報収集の一環としてぜひご覧ください!
IPAが発表する「情報セキュリティ10大脅威」は、前年に社会的影響が大きかったと考えられる情報セキュリティの脅威を、ランキング形式で紹介したものです。最新のセキュリティリスクを把握し、適切な対策を講じるための貴重な指針となっています。
▸IPA発表 情報セキュリティ10大脅威 2026
https://www.ipa.go.jp/security/10threats/10threats2026.html
毎年公表されるこのリストには、個人や企業に対する脅威とその対策が含まれ、適切な対策を促しています。
組織に対する脅威についてはランキング形式で発表されていますが、順位に関わらず、自社に関係する脅威から対策を行うことが重要です。
それでは、今年特に変化があった脅威、注目すべき脅威について見ていきましょう。
IPAの最新発表によると、この5年間で脅威の順位は大きく動いています。
1位「ランサム攻撃」・2位「サプライチェーン攻撃」は4年連続で同じ順位を維持しており、依然として最大の脅威です。一方で、今年は「AIの利用をめぐるサイバーリスク」が初選出でいきなり3位にランクインするなど、AIを取り巻く脅威の台頭が鮮明になりました。
同じランキングが続いていても、脅威の手口は毎年進化しています。2025年は特にランサムウェア・サプライチェーン攻撃の両方で「これまでになかった手口」が登場し、多くの日本企業が被害を受けました。
動向に注視し、自社と関連性が高い脅威については早めに対策を練りましょう!
ここからは、2026年版で注目すべき3つのトピックについて、特徴と事例をご紹介します。
1位への選出は11年連続となりました。しかし「同じ脅威が続いている」と油断は禁物です。2025年は手口そのものが大きく変化しています。
2025年に台頭した新しい手口
ランサムウェアによる暗号化を行わず、データを直接窃取したうえで「公開されたくなければ身代金を払え」と脅迫する手口です。暗号化という目立つ動作がないため検知ツールをすり抜けやすく、企業のセキュリティ対策の前提を揺さぶる新たな脅威となっています
ランサムウェアを「ツールとして提供するグループ」と「実際に攻撃を行うグループ」が完全に分業化。技術力のない犯罪者でも攻撃実行が可能になり、攻撃者数が増加しています。
これまでの事例
VPN経由でネットワークに侵入された可能性が高く、攻撃者は約10日間潜伏したうえでランサムウェアを実行。受注・出荷システムが停止し、約191万件の個人情報漏えいの恐れが判明しました。(2025年9月)
ランサムウェアに感染し、受注・出荷業務が停止。物流を委託していた複数企業のネットストアにも波及するサプライチェーン被害に発展しました。約74万件の個人情報漏えいの可能性が報告されています。(2025年10月)
2位への選出は4年連続ですが、2025年はサプライチェーン経由の被害がかつてない規模で連鎖しました。攻撃者はセキュリティの手薄な取引先・委託先を足がかりにして本命の組織へ侵入するため、自社の対策だけでは防ぎきれないのが、この脅威の難しさです。
2025年に台頭した新しい手口
委託先のツールが攻撃を受け、直接契約のない「上流」企業(銀行・証券など)の顧客データまで流出するケースが発生。サプライチェーンのリスクが想定以上に広範囲に及ぶことが明らかになりました。
2025年に国内で公表されたセキュリティインシデントのうち、最も多かった侵入経路は「他組織(委託先)経由」でした。業務委託先が攻撃を受けたことで、委託元企業の顧客情報が流出するパターンが急増しており、クラウドサービスや外部ツールを通じた連鎖感染も含め、外部委託に伴うリスクが従来の想定を大きく超えています。
これまでの事例
AIを活用したデータ入力ツールの開発元がランサムウェア攻撃を受けたことをきっかけに、ツールを利用していた委託先、さらにその業務を委託していた複数の法人組織へと情報漏えいのリスクが連鎖的に波及しました。直接の契約関係がない組織にまで影響が及ぶ、現代のデジタルサプライチェーンの脆弱性を示した事例です。(2025年9月)
プレスリリース配信サービス大手への不正アクセスで90万件以上の情報漏えいが発生。同サービスを利用していた多数の法人組織も二次被害の可能性を公表する事態になりました。(2025年4月)
今回初めて選ばれ、いきなり3位にランクインした「AIの利用をめぐるサイバーリスク」とはどのようなものでしょうか?
AIへの不十分な理解に起因する意図しない情報漏えいや他者の権利侵害
機械学習モデルへの敵対的攻撃、学習データへの悪意ある情報の混入(データポイズニング)
生成AIによる巧妙なフィッシングメールやディープフェイク動画の大量生成、サイバー攻撃の自動化・高度化
生成AI(ChatGPTなどの大規模言語モデル)の急速な普及により、多くの企業で業務にAIを取り入れるようになりました。しかし、AI活用が広がる一方で、AIに関連した情報セキュリティ上のリスクも多様化・深刻化しています。
特に中小企業で懸念されるのは、「社員が業務上の機密情報や顧客データを生成AIに入力してしまう」ケースです。入力情報がAIサービス提供者のサーバーに保存・学習データとして利用される可能性があるため、社内ルールの整備が急務となっています。
これまでの事例(2025年)
高校生がChatGPTに対して直接的な犯罪表現を避けた質問を繰り返すことで、AIの不正利用防止機能を巧みに回避。自作したプログラムで大手企業のサーバーに不正アクセスし、数百万人規模の会員情報漏えいと業務妨害を引き起こしました。「高度な知識がなくてもAIを使えば大規模な侵害が可能」という現実を示した事例です。(2025年1月)
自然で流暢な日本語で書かれた精巧なフィッシングメールの急増が、警察庁やセキュリティ機関から相次いで報告されています。生成AIを活用することで、従来は作成が困難だった高品質な日本語の詐欺メールを短時間・大量に生成できるようになったと分析されており、「日本語がおかしいから見抜けた」という従来の判断基準が通用しなくなっています。
ここからは、今年の情報セキュリティ10大脅威それぞれの攻撃手口とその対策を一覧でご紹介します。
ランサムウェアは、組織のシステムに侵入してデータを窃取・暗号化し、復旧や情報の非公開と引き換えに身代金(ransom)を要求するサイバー攻撃です。
攻撃手口
現在主流の「二重脅迫型」では、暗号化に加えてデータのダークウェブへの公開をちらつかせるため、被害組織が支払いを検討せざるを得ない状況に追い込まれます。
主な侵入経路は、VPN機器等のネットワーク機器の脆弱性悪用(最多)、
フィッシングメール、リモートデスクトップへの不正アクセスなどです。
| 今すぐ(今日〜今週) | 3ヶ月以内 | 年度内 | |
|---|---|---|---|
| 👔経営者向け |
|
|
|
| 💻担当者向け |
|
|
|
自社のセキュリティが強固でも、取引先・委託先・仕入先などサプライチェーン上のパートナーの対策が不十分な場合、そこを経由して攻撃を受けるリスクがあります。被害に遭った場合、機密情報漏えいや業務停止に加え、取引先への損害賠償請求のリスクもあります。
攻撃者はセキュリティが比較的手薄な中小企業を足がかりにして、最終的に大企業の情報を狙います。ソフトウェアのアップデートに悪意あるコードを混入させる「ソフトウェアサプライチェーン攻撃」も増加しており、直接攻撃が困難な組織でもサプライチェーン上の弱点を経由して侵入される事例が相次いでいます。
| 今すぐ(今日〜今週) | 3ヶ月以内 | 年度内 | |
|---|---|---|---|
| 👔経営者 |
|
|
|
| 💻担当者 |
|
|
|
【注目】2026年10月開始予定の新制度
経済産業省は「サプライチェーン強化に向けたセキュリティ対策評価制度」の2026年10月開始を予定しています。企業のセキュリティ対策状況を第三者が評価・認定するこの制度は、取引先選定の基準として活用されることが期待されており、早期の対応準備が重要です。
2026年度下期、経済産業省が主導する「サプライチェーン強化に向けたセキュリティ対策評価制度」がスタートします。この記事では、セキュリティ対策評価制度の詳細と、ISMS(ISO27001)を取得済みの企業が知っておくべき「ISMSとの関係」について、ISO認証機関である東京スタンダードの視点から徹底解説します。
生成AIの急速な普及を背景に、今年初めて10大脅威にランクインし、いきなり3位となった注目の脅威です。想定されるリスクとしては「AIへの不十分な理解による意図しない情報漏えい」「AIが生成した結果を鵜呑みにすることで生じる問題」「AIを悪用したサイバー攻撃の高度化・容易化」の3つを挙げられます。
国際報告書も「AIリスクは今すぐ対応すべき脅威」と警告
2026年2月発表の国際AI安全性報告書(チューリング賞受賞者が議長、EU・OECD・国連も関与する100人超の専門家による報告書)は、以下の現状を明らかにしています。
・犯罪者がAIを使ってサイバー攻撃用の有害なコードを生成し、ソフトウェアの脆弱性を探索している
・アンダーグラウンドのマーケットプレイスでは、攻撃に必要なスキルの敷居を下げるパッケージ化されたAIツールがすでに販売されている
AI攻撃は、誰でも使える武器としてすでに流通しているのが現実です。
世界経済フォーラム(WEF)が毎年発表するグローバルリスク報告書では、AIリスクについて注目すべき予測が示されています。
短期(今後2年)
「誤情報・偽情報」が世界リスク第2位にランク。AIが大量生成する偽情報が社会的分断や信頼低下を加速させるリスクとして強調されています。
長期(今後10年)
「AI技術がもたらす悪影響」は現在の30位から第5位へ急上昇すると予測。企業・社会・安全保障への影響が長期にわたって拡大すると評価されています。
「今だけ対応すればいい問題」ではなく、経営レベルで中長期の視点から備える必要がある脅威であることが、世界的な専門家の共通認識となっています。
| 今すぐ(今日〜今週) | 3ヶ月以内 | 年度内 | |
|---|---|---|---|
| 👔経営者 |
|
|
|
| 💻担当者 |
|
|
|
OSやソフトウェアに存在する脆弱性を悪用した攻撃です。公表された脆弱性情報(CVE等)をもとに攻撃ツールが短時間で開発・拡散するため、パッチ適用が遅れるほど被害リスクが急増します。
脆弱性情報が公開されると、攻撃者は数時間〜数日以内に悪用ツールを開発します。特にVPN機器やファイアウォールなど、インターネットに直接接続された機器の脆弱性は格好の標的となります。パッチ未適用のシステムは「既知の穴」を放置していることと同義であり、組織全体の侵入口になりかねません。
| 今すぐ(今日〜今週) | 3ヶ月以内 | 年度内 | |
|---|---|---|---|
| 👔経営者 |
|
|
|
| 💻担当者 |
|
|
|
特定の組織を標的に、長期間にわたって潜伏しながら機密情報を窃取し続ける高度な攻撃です。11年連続でランクインしており、対策が難しい脅威の一つです。
関係者を装った巧妙なメール(スピアフィッシング)を入口として組織内に侵入し、一般的なマルウェア対策では検知が難しい手法で長期潜伏します。
侵入後は内部ネットワークを横断しながら機密情報を収集・窃取します。近年はAIを活用した精巧な日本語文面により、見抜くことがさらに困難になっています。
| 今すぐ(今日〜今週) | 3ヶ月以内 | 年度内 | |
|---|---|---|---|
| 👔経営者 |
|
|
|
| 💻担当者 |
|
|
|
政治的・経済的対立を背景に、国家やその支援を受けた組織が関与するサイバー攻撃です。重要インフラや政府機関だけでなく、一般企業も標的となる可能性があります。
APT(持続的標的型攻撃)、ゼロデイ攻撃、DDoS攻撃などが使われ、社会的混乱や機密情報の窃取を目的とします。2025年も国内企業・学術機関を狙った情報窃取や、エネルギー・交通分野を狙ったDDoS攻撃が継続的に確認されています。
| 今すぐ(今日〜今週) | 3ヶ月以内 | 年度内 | |
|---|---|---|---|
| 👔経営者 |
|
|
|
| 💻担当者 |
|
|
|
従業員や元従業員、業務委託者による意図的な情報持ち出しや不正操作です。外部攻撃と異なり、正規のアクセス権限を持つ人物が行うため、発見が遅れやすい傾向があります。
転職・退職時の顧客リストや技術情報の持ち出し、私怨によるシステム破壊などが代表的な例です。クラウドストレージや私用メールへのデータ転送など手口も多様化しており、アクセスログの取得・監視がない環境では被害が長期間発覚しないケースもあります。
| 今すぐ(今日〜今週) | 3ヶ月以内 | 年度内 | |
|---|---|---|---|
| 👔経営者 |
|
|
|
| 💻担当者 |
|
|
|
在宅勤務等で使用するVPN機器の脆弱性悪用や、クラウドサービスへの不正アクセスです。リモートワークが定着した現在も6年連続でランクインしており、対策が欠かせない脅威です
攻撃手口
自宅の脆弱なWi-Fiや私物デバイスを経由した侵入、クラウドサービスのID・パスワードの窃取が主な手口です。VPN機器の脆弱性を悪用して社内ネットワークへ直接侵入するケースも多く、1位のランサムウェア攻撃の侵入経路としても多用されています。
| 今すぐ(今日〜今週) | 3ヶ月以内 | 年度内 | |
|---|---|---|---|
| 👔経営者 |
|
|
|
| 💻担当者 |
|
|
|
大量のトラフィックを集中させ、Webサイトやサーバーを過負荷状態にしてサービスを停止・遅延させる攻撃です。昨今は地政学的リスクと絡んだDDoS攻撃も目立っています。
複数の踏み台マシン(ボットネット)を悪用して一斉に仕掛けるため、攻撃元の特定が難しく、規模も大きくなる傾向があります。Webサービスを業務の中核に置く企業にとっては、サービス停止による業務損失・信頼失墜のリスクが深刻です。
| 今すぐ(今日〜今週) | 3ヶ月以内 | 年度内 | |
|---|---|---|---|
| 👔経営者 |
|
|
|
| 💻担当者 |
|
|
|
経営層・取引先・弁護士等を装った偽メールで、不正な振込送金や機密情報の提供を指示する詐欺です。9年連続でランクインしており、手口の巧妙化が続いています。
2025年12月頃から、ニセ社長による送金指示詐欺メールの被害が日本の多くの企業で観測されました。近年は生成AIを活用した精巧な文面で、従来の「日本語が不自然」という見抜き方が通用しなくなっています。国内製造業の担当者が「社長」を装ったメールで数千万円の送金を実行してしまった事例も報告されています。
| 今すぐ(今日〜今週) | 3ヶ月以内 | 年度内 | |
|---|---|---|---|
| 👔経営者 |
|
|
|
| 💻担当者 |
|
|
|
ここまで10大脅威への個別対策を紹介してきましたが、「それぞれの対策を個別に実施するだけでは、全体の抜け漏れが心配…」と感じた方も多いのではないでしょうか。
そのような場合に有効なのが、ISMS(情報セキュリティマネジメントシステム)の構築です。
ISO(国際標準化機構)とIEC(国際電気標準会議)が共同策定した情報セキュリティマネジメントシステムの国際規格です。組織が情報セキュリティリスクを特定・評価し、適切な管理策を選択・実施・継続改善するための仕組みを定めています。ISMSを構築・認証取得することで、「自社の情報セキュリティ対策が体系的に整備されていること」を第三者が証明することができます。
10大脅威への対策を一度に全部実施しようとすると、どこから手をつければよいか分からなくなることもあります。まずは以下の5つの基本対策から始めてみましょう!
この記事で解決できる課題
これらの基本対策に取り組んだうえで、さらに体系的なセキュリティ対策を整備したい場合は、ISMS(ISO/IEC 27001)の認証取得を視野に入れることをおすすめします。
ISO27001取得をご検討中の企業様へ!
東京スタンダードなら、月額¥17,000〜でISO認証審査が可能です。中小企業様に取り組んでいただきやすいISO教育ツールもご提供しています。
【出典】
・IPA(独立行政法人 情報処理推進機構)「情報セキュリティ10大脅威 2026」 https://www.ipa.go.jp/security/10threats/10threats2026.html
・IPA プレス発表「情報セキュリティ10大脅威 2026」を決定(2026年1月29日) https://www.ipa.go.jp/pressrelease/2025/press20260129.html
・経済産業省「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針(案)」(2025年12月)
https://www.meti.go.jp/press/2025/12/20251226001/20251226001.html
・国際AI安全性報告書 2026(International AI Safety Report 2026)
https://www.prnewswire.com/jp/news-releases/2026ai-302678851.html
・WEF グローバルリスク報告書 2026(Global Risks Report 2026)https://jp.weforum.org/publications/global-risks-report-2026/
https://www.gate02.ne.jp/lab/security-article/ransomware-attack-on-asahi-group-holdings/
https://www.tsr-net.co.jp/data/detail/1202348_1527.html
https://www.trendmicro.com/ja_jp/jp-security/25/l/securitytrend-20251211-01.html
https://internet.watch.impress.co.jp/docs/news/2012329.html
https://act1.co.jp/2025_12_04-1/
2023年東京スタンダード設立。エイエスアール株式会社、アームスタンダード株式会社、アフノールジャパン株式会社、QAICジャパン株式会社をグループ会社として持ち、ISO認証登録件数グループ合計5,500件以上の実績を持つ。長年の経験とノウハウを活かして、ISOをより活かすことができるお役立ち情報を発信。
記事の監修者
東京スタンダード編集部
こちらのフォームにご入力後、弊社サービスやISOに関する資料がダウンロードできます。
