IPAが10大脅威2026年版を発表　行間から見えた“日本企業の弱点”

--- > [!NOTE] 目次 ```table-of-contents title: minLevel: 0 maxLevel: 0 includeLinks: true ``` --- > [!NOTE] リスト掲載用文字列 - [IPAが10大脅威2026年版を発表　行間から見えた“日本企業の弱点”](https://www.itmedia.co.jp/enterprise/articles/2602/03/news020.html)【ITmedia エンタープライズ】(2026年02月03日) --- > [!NOTE] この記事の要約（箇条書き） - IPAが2026年版「情報セキュリティ10大脅威」を発表。 - 個人向けに「インターネットバンキングの不正利用」が、組織向けに「AIの利用を巡るサイバーリスク」が新たにランクイン。 - 筆者は、AIによるサイバーリスクを、攻撃の「速度」が格段に上がるものと解釈している。 - 日本企業は「稟議」など意思決定プロセスの遅さが課題であり、この攻撃速度の向上に対応できない危険性がある。 - 企業は平時から、インシデント発生時の対応を迅速に行えるよう、セキュリティ専門家との契約や体制整備などの事前準備をすべきだと提言。 > [!NOTE] 要約おわり --- ## IPAが10大脅威2026年版を発表　行間から見えた“日本企業の弱点”：半径300メートルのIT IPAが2026版「情報セキュリティ10大脅威」を公開しました。皆さんが気になる新しい脅威もランクインしています。ただ本当に注目してほしいのは脅威そのものではなく、これにどう対抗するかです。筆者流の10大脅威の読み方をお伝えします。 » 2026年02月03日 07時00分公開 \[， ITmedia エンタープライズ編集部\] この記事は会員限定です。会員登録すると全てご覧いただけます。　毎年恒例、情報処理推進機構（以下、IPA）とセキュリティ識者を含む約250人のメンバーによる「情報セキュリティ10大脅威」の2026年版が公開されました。現時点では10の脅威のリストが発表されており、今後この詳細や対策を含むドキュメントが公開される予定です。　早速チェックしてみましょう。今回も個人向けに対しては順位は付けられておらず、どれも等しく対策が必要な脅威として選出されています。 ## 筆者流10大脅威の読み方　新たに出てきた脅威をどう捉えるか？　毎年触れているこの10大脅威、これが多くのセキュリティベンダーによる発表会や説明会で、冒頭必ず触れられるような基準となります。一方、情報セキュリティにおいて革新的な脅威や手法はそうそう生まれることはなく、実はここ数年は選出される脅威に大きな変化はありません。今回も赤字で触れられている幾つかのもの以外は「N年連続」という内容であり、引き続きこれまで述べてきたような“基本的な”対策を、地道にすることこそが重要だと考えています。　その中で、今回2つの新たな内容が選出されています。まずは、個人向け脅威に4年ぶり8回目に上がってきたのは「インターネットバンキングの不正利用」です。これは2025年初頭から大きな話題となっていた、オンライン証券サービスの不正アクセスが反映されたものでしょう。　定点観測している金融庁の注意喚起 [「インターネット取引サービスへの不正アクセス・不正取引による被害が急増しています」](https://www.fsa.go.jp/ordinary/chuui/chuui_phishing.html) では、被害が一時期よりは激減しているものの、いまだに脅威であることが分かります。個人向け10大脅威にはこれまで通り「インターネット上のサービスへの不正ログイン」や「フィッシングによる個人情報等の詐取」もあります。これらの対策を組み合わせることで、インターネットバンキング不正利用を防ぐことが重要です。　そして組織向け10大脅威には、今回初めて「AIの利用を巡るサイバーリスク」が選ばれました。とはいえ、こちらについてもAIという言葉に惑わされることはなく、ほんの少し読みかえれば、これまでの脅威と大きく違わないのではないかと読み取りました。 ## AIとセキュリティの関係を考える　SFの世界であれば、AIとサイバー攻撃の関係性はシンプルでしょう。自然言語で対話しながら超高度なことをやってのけるというイメージです。　「Aという会社を攻撃したいのでうまくやってくれない？」といった文言だけで、生成AIがマルウェアを作ってくれるという認識かもしれませんが、残念ながら一般的な生成AIサービスでは、そういった悪事に対するガードレールが実装されており、そう簡単にはできません。　であれば悪の生成AIサービスならどうでしょう。実際に悪の生成AIサービスを使ったことはないのですが、これも少々難しいと思います。確かにガードレールはなく、要望のマルウェアの“たたき”ができるかもしれません。しかし、実際にそれを実行するには、侵入のための詐取したアカウント情報や、マルウェア自身のチューニングなど、ハードルもたくさんあるはずです。　では、生成AIはサイバー攻撃には役に立たないのでしょうか。10大脅威にリストアップされるくらいなので、もちろんこれは有用です。しかし知識ゼロの人が高度な攻撃をするというよりも、それなりに高度なスキルを持つ攻撃者が、その攻撃のスピードを極限にまで速めるという形で、AIが活用されるという見方が妥当です。悪のサービスでなくても、コードのチューニングを生成AIが手助けしたとしたら、暗号化のための時間が短くなり、ランサムウェア攻撃の兆候を発見することがより困難になるでしょう。　筆者は10大脅威にAIのサイバーリスクが含まれたことは「脅威のスピードが格段に上がる」と読み取りました。実際のところ、10大脅威での解説は生成AIサービスに社内の情報を入力してしまうという「情報漏えいリスク」がメインだとは思っていますが、その先を考えた時、AI活用によってインシデントに関わるありとあらゆる「速度」が変わるという点にも注目してほしいと思います。 ## 問題は日本企業の「速度」？　そうなると、日本企業は非常に厳しい状況に置かれています。筆者は日本企業を渡り歩いてきましたが、新入社員の頃に非常に悩んだのが、「稟議」でした。形式が重要であり、多くのステークホルダーにチェックをもらい、やっとそれが通ったときには若干時代遅れになり……。皆さんも似たような経験はあるはずです。　最も懸念しているのは、サイバー攻撃被害がどの企業にも当たり前になったとき、その対策を社内でどう話を通すのかという点です。社内でランサムウェア被害が発見されたとき、最適なタイミングでシステムを停止したり、対外的な発表をしたりと、多数の決断が必要です。しかしその決断に稟議が絡んできたとしたら、進化する攻撃のスピードに追い付けるでしょうか。　有事になってから考えるのでは遅いのです。そのため平時の今こそ、ランサムウェア被害に遭ったらどうするかを決めておかねばなりません。相手は既に漏れていた認証データを使って侵入し、内部の調査やデータ奪取、暗号化に至るまで生成AIを活用し、数日単位ではなく数時間単位という、思った以上のスピードでゴールを目指します。対策は早いタイミングであればあるほど効果があります。兆候が見えていたのに、社内の承認処理で間に合わなかった……ということがないようにしなければなりません。　最近になって多くのセキュリティベンダーが「リテーナーサービス」を打ち出し始めました。リテーナーとは弁護士の顧問契約などで使われる言葉で、それのITセキュリティ版です。説明すると、事前に契約してサブスクリプション的にポイントを購入、平時からそのポイントを活用して事前検査やトレーニングをしつつ、有事にはそれを調査、対応に使うという仕組みです。　筆者は「リテーナーサービスを契約せよ！」という結論に持っていきたいわけではありません。セキュリティ専門知識を社内で養成することが難しい以上、何らかのインシデントが発生したときに、必ず専門家に助けを求めることになります。　そのためランサムウェア被害が起きる前に、稟議が必要な「契約」処理は済ませておかねばなりません（それが結果としてアタックサーフェスの把握や資産管理につながるはずです）。リテーナーサービスでなくとも、これまで付き合いのあるシステムインテグレーターとは契約があるかもしれません。しかしその契約でセキュリティインシデント対応が可能かどうかは、やはり平時に確認する必要があるでしょう。　生成AIによるスピードアップがリスクになるならは、それに向けた準備を今のうちにする。日本企業だから時間がかかるというのならば、今のうちにそれを済ませておかねばなりません。セキュリティソリューションの導入だけでなく、サイバー保険やリテーナーサービスなどの情報収集、そしてシステムインテグレーターとの絆の確認といったことを、今のうちに整理しておく必要があるかもしれません。 [この連載を「連載記事アラート」に登録する](https://www.itmedia.co.jp/enterprise/articles/2602/03/) New ## 著者紹介：宮田健（みやた・たけし） [![『Q＆Aで考えるセキュリティ入門「木曜日のフルット」と学ぼう！〈漫画キャラで学ぶ大人のビジネス教養シリーズ〉』](https://image.itmedia.co.jp/enterprise/articles/1903/26/ki_flutte100_w90.jpg)](https://www.amazon.co.jp/dp/4844368397) 元＠ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。自分の生活を変える新しいデジタルガジェットを求め、趣味と仕事を公私混同しつつ日々試行錯誤中。 2019年2月1日に2冊目の本『Q＆Aで考えるセキュリティ入門　「木曜日のフルット」と学ぼう！〈漫画キャラで学ぶ大人のビジネス教養シリーズ〉』（エムディエヌコーポレーション）が発売。スマートフォンやPCにある大切なデータや個人情報を、インターネット上の「悪意ある攻撃」などから守るための基本知識をQ＆Aのクイズ形式で楽しく学べる。 ### チェックしておきたい人気記事 - [![メールもURLも踏まない攻撃が始まった　Geminiを乗っ取る恐怖のシナリオ](https://image.itmedia.co.jp/enterprise/articles/2601/28/news013.png) メールもURLも踏まない攻撃が始まった　Geminiを乗っ取る恐怖のシナリオ](https://www.itmedia.co.jp/enterprise/articles/2601/28/news013.html) - [![ChatGPTの会話を盗む悪質Chrome拡張機能　約90万人がダウンロード済み](https://image.itmedia.co.jp/enterprise/articles/2601/09/news041.png) ChatGPTの会話を盗む悪質Chrome拡張機能　約90万人がダウンロード済み](https://www.itmedia.co.jp/enterprise/articles/2601/09/news041.html) - [![受け身情シスじゃAIに食われる　本当に活躍できる社内IT人材の育て方](https://image.itmedia.co.jp/enterprise/articles/2601/21/news005.png) 受け身情シスじゃAIに食われる　本当に活躍できる社内IT人材の育て方](https://www.itmedia.co.jp/enterprise/articles/2601/21/news005.html) - [![攻撃者は“侵入ではなくログインを選ぶ”　アイデンティティー攻撃手法の最新動向](https://image.itmedia.co.jp/enterprise/articles/2601/22/news005.png) 攻撃者は“侵入ではなくログインを選ぶ”　アイデンティティー攻撃手法の最新動向](https://www.itmedia.co.jp/enterprise/articles/2601/22/news005.html) ### 関連リンク - [情報セキュリティ10大脅威 2026（IPA）](https://www.ipa.go.jp/security/10threats/10threats2026.html) - [インターネット取引サービスへの不正アクセス・不正取引による被害が急増しています（金融庁）](https://www.fsa.go.jp/ordinary/chuui/chuui_phishing.html) Special PR ![__ALT__](https://image.itmedia.co.jp/enterprise/images/pushone/icon_enterprise.png) ## ITmedia エンタープライズのおすすめ記事をお届けします ✔