>
>
最終更新日
情報セキュリティ10大脅威 2026とは、主に2025年に社会的影響が大きかった脅威を、10大脅威選考会の投票により組織向けに整理したものです。本記事は、自社のITインフラを預かる情報システム部門の担当者やセキュリティ管理者を対象に、IPA 10大脅威の最新トレンドと具体的な防御策を提示します。
この記事でわかること
2026年版 全10脅威の順位と選出背景
自社のIT環境に応じた優先順位の読み替え方
1位〜10位それぞれの攻撃手口・実例・実務対策
情シス・経営者・人事など部門別の初動チェックリスト
「情報セキュリティ10大脅威2026」組織編 全順位
IPAが公表した2026年版の組織向け順位は、近年の攻撃トレンドを如実に反映した顔ぶれとなりました。自社のセキュリティ水準を向上させる第一歩として、まずは発表された全順位と、それぞれの脅威の背景情報を一覧で確認しましょう。
順位 | 組織向け脅威 | 初選出年 | 連続選出状況 |
|---|---|---|---|
1 | ランサム攻撃による被害 | 2016年 | 11年連続11回目 |
2 | サプライチェーンや委託先を狙った攻撃 | 2019年 | 8年連続8回目 |
3 | AIの利用をめぐるサイバーリスク | 2026年 | 初選出 ★NEW |
4 | システムの脆弱性を悪用した攻撃 | 2016年 | 6年連続9回目 |
5 | 機密情報を狙った標的型攻撃 | 2016年 | 11年連続11回目 |
6 | 地政学的リスクに起因するサイバー攻撃(情報戦を含む) | 2025年 | 2年連続2回目 |
7 | 内部不正による情報漏えい等 | 2016年 | 11年連続11回目 |
8 | リモートワーク等の環境や仕組みを狙った攻撃 | 2021年 | 6年連続6回目 |
9 | DDoS攻撃(分散型サービス妨害攻撃) | 2016年 | 2年連続7回目 |
10 | ビジネスメール詐欺 | 2018年 | 9年連続9回目 |
この全10項目を俯瞰すると、特定の攻撃手法だけでなく、技術の進歩や運用体制の不備に起因する多角的なリスクが浮き彫りになります。実務においてこの順位表を取り扱う際は、IPAが解説書でも指摘している次の3つの留意事項を念頭に置く必要があります。
まず確認すべきは、順位の高低は個々の企業における「危険度の高さ」や「対策の優先順位」をそのまま表すものではない点です。投票結果は社会的な関心の高さを反映したものであり、自社のITインフラや業務環境に応じて、どの脅威を重視すべきかは主体的に評価しなければなりません。
見落としがちなのが、この10項目から漏れた「ランク外の脅威」についても警戒を怠らない姿勢が大切である点です。たとえば、クラウドサービスの広範なシステム障害、ハードウェアの老朽化による物理障害などは今回ランクインしていませんが、事業継続においては見逃せないリスク要因となります。
その前提として、新たな脅威への対応を急ぐ前に、OSやアプリケーションのアップデート、パスワードの適切な管理といった「情報セキュリティ対策の基本」が全社で徹底されていることが大前提となります。基本が崩れた状態では、高価なツールも機能しません。
最新の脅威動向を的確に見据えるために、2026年版ならではの変化や新たな潮流について詳しく見ていきましょう。
2026年版の注目点
2026年版のラインナップにおいて最も注目すべき点は、生成AIの急激な社会進出に伴う新たな脅威の台頭と、依然として最上位に固定されているランサムウェアおよびサプライチェーン攻撃の巧妙化です。
① AIの利用をめぐるサイバーリスクが初選出(3位)
生成AI(Generative AI)の爆発的な普及を受け、2026年版では「AIの利用をめぐるサイバーリスク」が初めて選出され、いきなり3位という極めて高い位置にランクインしました。業務の効率化を急ぐ現場が、IT部門の関与しない未許可のAIサービス(シャドーAI)を利用して機密情報や顧客データを入力してしまう事例が多発しています。さらに、AIが出力するもっともらしい嘘であるハルシネーションを検証せずに活用したことによるトラブルや、攻撃者が生成AIを悪用して精巧なフィッシングメールを大量に作成する事例など、リスクの領域は多岐にわたります。IT部門は単に利用を制限するだけでなく、安全な利用環境をいかに整えるかというガバナンスへの取り組みが求められています。
② ランサム+サプライチェーンが4年連続トップ2
ランサム攻撃による被害と、サプライチェーンや委託先を狙った攻撃は、4年連続で1位と2位を独占する結果となりました。これは、企業のシステムに対する直接的な防壁を厚くしたとしても、攻撃者は依然として防御の薄い子会社やアウトソーシング先、取引先を「足がかり」として侵入してくる手法が機能している現状を示しています。自社単体の防衛から、パートナー企業や利用している外部システムを含めた包括的な防衛網へと視野を広げることが、現代の情シスにとって避けて通れない課題となっています。
③ 警察庁統計: ランサム感染経路 VPN機器・RDP経由が87パーセント
警察庁が公表しているデータによれば、ランサムウェアの侵入を許した直接的な原因として、VPN機器の脆弱性やリモートデスクトップ(RDP)の認証不備が圧倒的な割合を占めています。その具体的な数値推移は以下の通りです。
発表年次 | VPN・RDPを原因とする割合 |
|---|---|
2022年 | 80.4パーセント |
2023年 | 81.8パーセント |
2024年 | 86.0パーセント |
2025年 | 87.0パーセント |
この推移が示すように、リモートワークに対応するために設置した通信機器の脆弱性が放置され、攻撃者の最大の侵入経路として悪用され続けています。情シスは、社外との境界にある機器のバージョン管理とアクセス制御を再評価する局面に立たされています。
順位を自社の優先順位に読み替える方法
IPAが提示する順位を額面通りに受け入れるのではなく、自社の事業構造やITアセットの配置に合わせて、脅威の優先順位を独自の重要度に「読み替える」作業が必須となります。たとえば、オンプレミス環境を一切持たない完全なSaaS利用企業が、オンプレミスの物理サーバー暗号化を対象とした「ランサムウェア対策」に過度な予算を割くのは理にかなっていません。そのような企業は、ID情報の流出を防ぐ「標的型攻撃対策」や「内部不正防止」、さらには「AI利用をめぐるガバナンス」にリソースを集中すべきです。
自社の特徴に応じた最適な防衛シナリオを描くため、以下のマトリクスを参考に優先度を整理してください。
組織のIT環境・特徴 | 優先すべき脅威 | 情シスが確認すべき管理論点 |
|---|---|---|
クラウド・SaaS全面移行企業 | AI利用リスク、内部不正、標的型攻撃(認証窃取) | アカウントのMFA必須化状況、シャドーAI/SaaSの利用状況、退職者アカウントの即時削除手順の有無 |
ハイブリッド(オンプレ+クラウド)企業 | ランサム攻撃、脆弱性悪用、リモートワーク環境狙い | VPN装置やネットワーク機器のパッチ管理、拠点間アクセスの制御、支給デバイスの台帳管理状況 |
製造業・サプライチェーン連動企業 | サプライチェーン攻撃、ランサム攻撃 | 委託先企業のセキュリティチェック、システム保守アカウントの権限管理、SBOM導入やISMS取得状況 |
自組織のシステムが「どこにデータを持っており」「どこからアクセスされているか」を客観的に評価することが、適切なセキュリティ投資を行うための鍵です。
ここからは、2026年版における各脅威の具体的な手口、実際の被害事例、そして情シスが明日から実践できる防御策について個別に解説していきます。
▲ 自社のIT環境の特徴から、まず優先して対策すべきセキュリティ脅威を導く判断フロー
1位 ランサム攻撃による被害
ランサム攻撃は、データを暗号化・窃取し、身代金を要求するサイバー攻撃です。事業を止めるほどの破壊力を持つ点で、実務上最も警戒すべき脅威といえます。攻撃手口は近年さらに洗練されており、主に以下の4つのステップで実行されます。
脆弱性経由:VPN装置やネットワーク機器の未修正の脆弱性を悪用してネットワークに侵入する
不正アクセス:漏えいした資格情報や安易な認証設定(MFA未設定など)を悪用する
Web・メール:フィッシングメールや悪意あるサイト経由でマルウェアに感染させる
ダークウェブRaaS:RaaS(Ransomware as a Service:ランサムウェア・アズ・ア・サービス)と呼ばれる分業体制を利用し、高度な技術のない攻撃者でも容易に攻撃を実行する
なお、近年はデータ暗号化を行わず、窃取した情報の公開予告のみで脅迫する「ノーウェアランサム」と呼ばれる手口もIPA解説書で言及されている。暗号化が伴わないため復旧負荷は小さいものの、情報公開リスクは同等であり、対応の準備は通常のランサム攻撃と同じく必要となります。
2025年の実例として、アサヒグループHDが9月にランサム攻撃を受け、約191万件の個人情報が流出する可能性が生じる事案が発生しました。また、10月にはアスクルにて多要素認証(MFA)が未適用だったアカウントの認証情報が窃取され、結果として約72万件のデータ流出が懸念される被害が報じられています。
実務的な対策としては、徹底したアクセス管理の構築が最優先です。特に、社内ネットワークやSaaS環境への接続時には多要素認証の適用が欠かせません。これに加え、PCやスマートフォンなどのエンドポイントを適切に制御するため、デバイス管理体制の強化を進めることが、不正アクセスの抑止に直結します。万が一、マルウェアが社内ネットワークに侵入した場合でも、早期検知を行えるようMDMツールを用いた一元管理や、手離れの良いゼロタッチデプロイを組み込んだ端末制御が極めて有効に作用します。
また、身代金を要求された場合の対応について、IPAの解説書では「支払わないこと」が原則として明記されています。これは支払った資金が次の犯罪の資金源となるためです。さらに、グローバルにおける法規制の動向も変化しています。たとえば、豪州では2025年5月30日より「ランサム支払時の72時間以内の政府への報告義務」が義務付けられました。また、英国では2025年7月22日に「公的機関による身代金の支払い禁止」の方針が打ち出されています。身代金の支払いは、法的・社会的なペナルティに直面するリスクが極めて高いことを認識しなければなりません。
▲ 侵入からデータの暗号化、身代金要求(二重脅迫)に至るランサムウェア攻撃の4ステップ
2位 サプライチェーンや委託先を狙った攻撃
どれほど自社の防衛体制を強固に保っていても、外部の委託先や開発会社に存在するセキュリティの「隙」を突かれれば、自社の機密情報やインフラも容易に侵害されます。攻撃手口には、主に以下の3パターンが存在します。
関連会社経由:セキュリティ対策が手薄な子会社や海外拠点を突破口にし、本社ネットワークへ横展開する
ソフトウェア改ざん:公式に配布されているソフトウェアのコードやインストーラーにマルウェアを混入させる
MSP悪用:システム保守などを委託しているMSP(マネージドサービスプロバイダー)のアクセス権限を悪用する
2025年の具体例として、11月に東海大学の業務委託先である東海ソフト開発がランサム攻撃に遭い、同社が管理するサーバへの被害が発生した事案があります。また、人気テキストエディタ「Emurasoft EmEditor」の公式インストーラーが改ざんされ、ユーザーが意図せずマルウェアをダウンロードしてしまう事態となったソフトウェアサプライチェーン攻撃の事例も発生しました。
このような脅威に対し、情シスは「他者をどこまで信用するか」という明確な基準を設ける必要があります。対策として推奨されるのが、SCS(サプライチェーンセキュリティ)評価制度の活用や、SaaSを導入する際のセキュリティチェックシートの標準化です。経産省などのテンプレートを活用したセキュリティチェックシートの作成・評価体制を整備し、委託先の基準適合状況を継続的に確認することが求められます。さらに、近年ではソフトウェアの構成要素を可視化するSBOM(Software Bill of Materials:ソフトウェア部品表)の要求、政府のセキュリティ評価制度であるISMAPへの準拠確認、外部機関が発行するSOC2やISMS、Pマークの保有状況を契約条項に盛り込み、必要に応じて委託先監査を実施するアプローチが求められています。
委託先・SaaS利用・アカウント管理の棚卸しをさらに進めたい方は、SCS評価制度に向けたSaaS管理チェックリスト をご覧ください。
3位 AIの利用をめぐるサイバーリスク【2026初選出】
急速に業務への普及が進む生成AIは、業務効率を大きく引き上げる反面、ガバナンスが整っていなければ情報漏えいや法的トラブルの入口になります。この脅威には、主に3つのリスク類型が存在します。
シャドーAI:IT部門に無断で、個人用のアカウントやセキュリティの不十分なAIサービスを業務で利用し、機密情報を入力して学習データとして取り込まれてしまうリスク
ハルシネーション:AIが事実に基づかない、もっともらしい「嘘」を出力し、それを十分に検証せずに業務資料や対外発信に活用してしまい、信用を失うリスク
AI悪用攻撃:攻撃者がAIの処理ロジックを突くプロンプトインジェクションや、外部のシステムと連携したAIエージェントに対して悪意ある命令を紛れ込ませる間接プロンプトインジェクションを実行し、データを不当に引き出すリスク
2025年には、Microsoft 365 Copilotの脆弱性を悪用してテナント内の非公開データを窃取する「EchoLeak」と呼ばれる手法が公表されました。さらに、DeepSeekでのデータベース流出や、AI開発エディタ「Cursor」を標的にした間接プロンプトインジェクションによる情報窃取の懸念など、AI技術そのものの安全性を揺るがす事象が連続して報告されています。また、米テキサス州の弁護士がハルシネーションによって生成された架空の判例を裁判所に提出して罰則を科された事例や、中高生が不正に回線契約を締結する際に生成AIを悪用した事件も発生しました。
これらの背景には、生成AIが業務文脈を取り込むために用いるRAG(Retrieval-Augmented Generation:検索拡張生成)の仕組みや、AIエージェント間でツールやデータを連携させる新興プロトコルMCP(Model Context Protocol)の普及によって、AIシステム特有の入出力経路が拡大していることがある。RAGは社内ドキュメントを参照させる利便性と引き換えに、不正プロンプトの混入経路を増やし、MCPはツール連携の自由度を上げる一方で、信頼境界の管理を従来より難しくする側面があります。
企業における生成AIの利用状況に関して、LayerXが実施した調査によれば、業務で何らかの生成AIにデータをコピペして利用している社員は77パーセントに達しており、そのうち実に82パーセントが組織の管理下にない非管理アカウント(個人アカウント等)を使用していたという実態が明らかになっています。
対策として、まず企業は生成AI利用ガイドラインの策定から着手することをお勧めします。社内でどのようなAIサービスが利用されているかをIT資産管理ツールやCASBを用いて可視化し、未許可のAIツールの利用を遮断するシャドーAI対策が重要な柱となります。国際標準であるISO 42001(人工知能マネジメントシステム)に準拠したガバナンス枠組みの構築も、組織の信頼性を担保する手段として有効です。全面禁止ではなく、公式ライセンスを契約したAIツールを提供して適切なセキュリティポリシーを適用することで、ChatGPT等の利用に伴う情報漏えいリスクを抑えながら業務価値を引き出すアプローチが現実的といえます。
未許可SaaSやAIサービスの業務利用を可視化する具体的な手順は、シャドーAI対策と生成AI利用の可視化ガイド で詳しく解説しています。
4位〜6位の要点
4〜6位は毎年安定して選出される脅威群で、技術的な弱点・人を狙う手口・地政学的背景という異なる性質を持ちます。
4位 システムの脆弱性を悪用した攻撃
OSやアプリケーションに存在するセキュリティ上の欠陥(脆弱性)は、攻撃者がネットワークに侵入するための最も容易な入り口となります。特に、脆弱性の修正パッチが公開された後に、その内容を逆コンパイルするなどして攻撃コードを作成する「Nデイ攻撃」が主流となっており、企業はパッチ公開から適用までのタイムラグをいかに短縮するかが求められます。まずは構成管理の徹底から始めてほしい。自社で利用しているすべてのハードウェアやソフトウェアのバージョン情報を正確に把握するITアセットマネジメントが起点となります。ITガバナンスの観点からもシステム構成の可視化は外せない要件であり、デバイス管理においてはMDM(モバイルデバイス管理)ツールによるパッチ適用状況の集中監視が有効です。
5位 機密情報を狙った標的型攻撃
標的型攻撃とは、特定の組織や個人を執拗に狙い、機密情報を盗み出すことを目的とした攻撃です。近年では、一般的なフィッシングメールだけでなく、攻撃者がターゲットの業務関係者を装ってやり取りを重ねることで信頼させ、最終的にマルウェアを実行させる高度な手口が目立ちます。これに対する最も確実な対策は、多要素認証(MFA)の導入と、従業員のアクセス権限を最小限にとどめる最小権限の原則の徹底です。全社的なセキュリティ意識の底上げのための定期的な標的型メール訓練と、サイバーセキュリティに対する正しいリテラシー教育を継続的に提供することが求められます。さらに、組織の防衛体制を対外的に示すために、ISMS認証(情報セキュリティマネジメントシステム)を取得し、運用のPDCAを回し続けることが組織の信頼性を担保します。
6位 地政学的リスクに起因するサイバー攻撃(情報戦を含む)
昨今の世界情勢の不安定化に伴い、特定の国家が支援するハッカー集団(国家支援アクター)によるサイバー攻撃や、SNS等を通じた情報戦、偽情報の流布といったサイバー空間における戦闘行為が一般化しています。これらの攻撃は、特定のインフラ事業者や政府機関だけでなく、その取引先である一般企業も「間接的なターゲット」として狙われるリスクをはらんでいます。地政学的な緊迫度が高まった際、不穏なIPアドレスからのアクセス制限や、万が一の攻撃検知に備えて、セキュリティベンダーやJPCERT/CCなどの公式情報にアンテナを張り、迅速にインシデント対応を行える体制を構築しておくことが欠かせません。
7位 内部不正による情報漏えい等
組織の内部情報を最も熟知している従業員や委託先による意図的な情報の持ち出しは、外部からのサイバー攻撃以上に検知が難しく、ビジネスに壊滅的な打撃を与えます。内部不正の発生手口には、主に以下の3パターンが確認されています。
アクセス権限悪用:業務上必要な範囲を越えて、本来閲覧する必要のない機密データベースにアクセスし、データを窃取する
退職者アカウント悪用:退職した従業員のアカウントが削除されずに残っているのを悪用し、社外からクラウドサービスに接続して顧客情報を抜き出す
媒体持出:USBメモリなどの物理媒体や、個人のクラウドストレージにファイルをコピーして持ち出す
2025年の事例として、ある工作機械メーカーの元社員が営業秘密をロシア通商代表部の元職員へ漏えいさせた疑いで書類送検された事案が発生しました(2026年1月、警視庁公安部が発表)。また、ソフトバンクの業務委託先であるUFジャパンの協力会社の元社員が、約14万件の顧客情報を不正に持ち出した疑いが発覚し、ソフトバンクが警察へ相談している事案も明らかになっています。これらは、情報が漏えいした際の「秘密管理性」「有用性」「非公知性」という不正競争防止法上の3要件を満たした営業秘密が関わる事案であり、組織の核心的な価値が失われるリスクを明確に示しています。
こうした不正は、心理学者ドナルド・クレッシーが提唱した「不正のトライアングル(動機・機会・正当化)」の3つの要因が揃うことで発生すると言われています。動機と正当化へのアプローチは人事・マネジメントの領域ですが、情シスが担えるのは主に「機会(不正を行える環境)」の排除です。
具体的な対策として、IPAの「組織における内部不正防止ガイドライン第5版」を基準とした体制整備が推奨されます。従業員のID登録・変更・削除のワークフローを厳格化し、退職者のIDは退職当日に即時削除する運用手順を確立しなければなりません。クラウドサービスやSaaSに対するアクセス権を最小権限に制御し、定期的に誰がどのアカウントにアクセスできるかを棚卸しする監査プロセスの実施が必要です。また、退職者IDの即時削除と権限棚卸しを継続的に運用するには、ITガバナンスの仕組み化と紐づけて全社方針として展開することが望ましい。ISMS認証取得プロセスを通じて、こうした権限管理体制を制度化することは極めて有効です。情シスだけで全責任を負うのではなく、サイバーセキュリティ体制全体のなかで内部不正対策を位置付け、人事・法務・情シスの横断運用に落とし込むことが、再発防止の現実的な道筋となります。さらに、大量のデータダウンロードや未許可の外部ストレージへの通信を検知・防御するCASBやDLP(Data Loss Prevention)の導入、退職予定者のPCログに対する監視強化などが、不正の「機会」を低減するための実効性ある施策となります。
退職者・異動者のSaaSアカウント棚卸しと権限統制の実務は、ITガバナンス整備のステップ も合わせて確認してください。
8位 リモートワーク等の環境や仕組みを狙った攻撃
オフィスの外壁による物理的なセキュリティが及ばないリモートワーク環境は、認証の不備や接続機器の脆弱性を突く攻撃者にとって最も侵入しやすい経路となっています。警察庁の統計ではランサムウェアの感染経路としてVPNやRDPが約87パーセントを占めており、適切なパッチ管理が行き届かない状況を突かれているのが実態です。攻撃者は、未修正のパッチがあるVPN装置をスキャンして見つけ出し、あるいはダークウェブ等で取引されている流出アカウント情報を用いて、社内ネットワークへ正規のアクセスを装って侵入します。
この脅威に立ち向かうためには、従来の「境界防御(社内と社外を区別する考え方)」から脱却し、すべての通信を信用しない「ゼロトラスト」モデルへの移行が必要です。具体的には以下の対策を組み合わせる。
ZTNA(ゼロトラストネットワークアクセス)やSDP(Software Defined Perimeter)の導入:VPNに依存せず、ユーザーと端末の健全性を都度認証して接続を許可する
MFA(多要素認証)の厳格な運用:IDとパスワードの組み合わせだけでの接続を一切廃止し、FIDO2認証規格に準拠したパスキーや、AiTM(Adversary-in-the-Middle:中間者攻撃によるワンタイムパスワードの傍受)に強い認証手段を採用する
NLA(ネットワークレベル認証)の有効化:RDP接続時の認証を確立する前に、送信元を検証する
VDI(デスクトップ仮想化)の活用:ローカル端末にデータを残さず、画面転送のみで業務を行わせる
BYODの制限と明確な区別:私有PCでの業務接続を制限し、会社支給端末には適切なMDMツールを導入してセキュリティ設定を強制する
リモートワーク環境を健全に保つためには、端末が安全な状態であるかを可視化するMDM(モバイルデバイス管理)の実装が必要です。適切なMDMツールの選定基準を理解し、社内にある端末すべてが会社のポリシーに適合しているかを台帳管理することが防衛の基本となります。新規PCを配布する際にも、キッティング作業を自動化し、初期設定漏れを防ぐゼロタッチキッティングプロセスの導入が、設定ミスによる脆弱性の混入を防ぐ強力な対策となります。
端末台帳・MDM連携・SaaS利用者管理を1つの基盤で運用する方法は、Admina MDM連携・デバイス台帳ガイド で詳しく紹介しています。
▲ ネットワークの安全性を担保する「境界防御」と「ゼロトラストモデル」の概念対比
9〜10位の要点
下位に位置する脅威であっても、影響規模は大きく、対策コストは低め。費用対効果の高い優先項目として押さえておきたい。
9位 DDoS攻撃
DDoS攻撃(分散型サービス妨害攻撃)とは、多数の乗っ取られた端末(ボットネット)から、特定のWebサイトやサーバーに対して一斉に大量のアクセスやデータを送りつけ、サービスを停止に追い込む攻撃です。近年は地政学的な要因や金銭の脅迫目的で行われるケースが増加しています。対策としては、WAF(Web Application Firewall)や、クラウド型DDoS対策サービス(CDNの保護機能など)を事前に導入し、不正なトラフィックをエッジで遮断するインフラ設計が有効です。
10位 ビジネスメール詐欺
ビジネスメール詐欺(BEC:Business Email Compromise)とは、取引先や自社の役員になりすまし、偽の請求書を送付したり、虚偽の送金指示を行ったりして資金をだまし取る極めて悪質な詐欺です。昨今は生成AIの悪用により、日本語として極めて自然で、過去の実在の取引メールを踏まえた文面が作成されるため、目視だけで見破ることが極めて困難になっています。さらに、ディープフェイク技術を用いて役員の「声」を合成し、電話で送金指示を重ねる「CEO詐欺」などの高度な事例も発生しています。
技術的な対策として、送信ドメイン認証技術であるSPF、DKIM、DMARCの導入が極めて有効であり、これに加えて暗号化と署名を行うS/MIMEの導入がなりすまし防止に貢献します。また、運用面では「送金先口座の変更時には、メール以外の既知の連絡手段で複数名がダブルチェックを行う」という社内ルールの徹底が、最後の防衛線となります。
さて、個別の脅威への対策を見てきましたが、多くの企業がセキュリティ対策に乗り出しながらも、なぜインシデントを防ぎきれないのでしょうか。その背景にある失敗パターンについて解説します。
情報セキュリティ対策において失敗しやすい3つのパターン
高度なセキュリティツールを買い揃えても、運用の仕組みが形骸化していたり、現場の業務実態を無視した強制的な制限を行ったりすれば、対策は脆くも崩れ去ります。情シスが陥りがちな3つの代表的な失敗パターンは以下の通りです。
パターン1:ルールを策定しただけで監査や見直しを行わない(ルール形骸化)
セキュリティポリシーや生成AI利用ガイドラインなどの社内規定を「作っただけ」で満足し、実際にそれが遵守されているかを定期的にチェック(監査)しないパターンです。現場は「業務が回らない」という理由でルールを無視した運用を常態化させ、結果として形骸化したルールは何の防御力も持たなくなります。ルールを設ける場合は、監査する手段(ログの確認やシステム的な利用制限)をセットで設計することが必須です。
パターン2:現場の利便性を無視し、シャドーITを徹底排除しようとして失敗する
業務効率を高めるためのSaaSやAIツールの利用を、情シスが「危険だから」という理由ですべて禁止するパターンです。現場は業務を遂行するために、情シスに無断で個人アカウントを用いたり、セキュリティ基準を満たさないツールを導入したりする「シャドーIT」に走ります。結果として、IT部門の管理から完全に隠れたところで情報漏えいが発生する事態を招きます。禁止ではなく、安全に使える環境を情シスが率先して提供する「イネーブルメント」の姿勢への転換を先に考えておきたい。
パターン3:セキュリティ製品を導入しただけで運用を放置する
「これを導入すれば安全」というベンダーの言葉を鵜呑みにし、EDR(Endpoint Detection and Response)やCASBなどの高度な製品を導入したものの、日々発生する大量のセキュリティアラートを監視・分析する体制がないパターンです。警告が発生していても誰も気づかず、最終的にランサムウェアの侵入を許してしまうケースが後を絶ちません。自社に運用リソースがない場合は、SOC(Security Operation Center)などの外部監視サービスを併用しなければ、対策が機能しません。
こうした失敗を回避するために、まず組織として取り組むべきなのが、IPAが提唱するセキュリティの基本原則の徹底です。
IPA「基本対策」と「共通対策」
サイバーセキュリティにおいて、最新かつ高価なツールの導入以上に、全脅威に共通して有効に作用する基本動作の徹底が、最も費用対効果の高い防衛策となります。IPAの解説書では、対策の土台として「情報セキュリティ対策の基本」および「共通対策」が示されています。これらを3つの表で整理します。
① 表1.2 情報セキュリティ対策の基本(6項目)
基本対策項目 | 対策の解説 | 具体的なアクション |
|---|---|---|
1. ソフトウェアの更新 | OSやアプリの脆弱性を修正するパッチを適宜適用する | 自動アップデート設定の有効化、情シスによるパッチ適用状況の監視 |
2. セキュリティソフトの導入 | ウイルスやマルウェアの検知・駆除を行う製品を動かす | EDRや定義ファイルの自動更新設定の維持 |
3. パスワード・認証の強化 | 推測されにくい文字列の使用と多要素認証を必須とする | 使い回しの禁止、パスキーやMFAの設定徹底 |
4. 設定の見直し | 初期設定のままでの運用や不要なポート・共有設定を排除する | 不要なプロトコルの無効化、管理者アカウントの権限最小化 |
5. バックアップの取得 | 暗号化や消失に備えて別媒体にデータを退避させる | 論理的に隔離されたバックアップ(3-2-1ルールの適用) |
6. 脅威の手口理解 | 最新の攻撃傾向や不審なメールのパターンを周知する | 定期的な標的型メール訓練と従業員教育の実施 |
② 表1.3 クラウドサービスの利用における基本+α(SaaS時代に必須)
クラウド固有のリスク | 基本+αの対策 |
|---|---|
IDやパスワードの単純さによる不正ログイン | 多要素認証(MFA)を全ユーザーに必須とし、推測困難なパスワードポリシーを適用する |
不適切なアクセス制限によるデータの公開 | アクセス可能なIPアドレスの制限、共有リンクの範囲制限、管理者権限の適正割り当てを行う |
退職従業員のアクセス権残存 | 退職者のSaaSアカウントを一元管理し、退職当日に即時削除する運用フローを構築する |
③ 脅威を横断する「共通対策」7つ
共通対策テーマ | 具体的な取り組み |
|---|---|
1. インシデント対応体制(CSIRT) | 事故発生時の連絡ルートを定義し、連絡網を毎年更新する |
2. セキュリティ機器対策 | ファイアウォールやIDS/IPS、WAF等のセキュリティ機器のログを蓄積する |
3. バックアップ運用 | リストアテストを定期的に行い、バックアップが正常に機能することを確認する |
4. 報告・連絡・相談(報連相) | 不審な兆候を早期に検知した際、従業員がIT部門へ迷わず報告できる仕組みを整える |
5. リテラシー・モラルの向上 | SNSの不適切な利用による機密流出のリスクを周知する従業員教育を実施する |
6. 認証の適切な運用 | 1つのアカウントを複数名で使い回す行為を廃止し、個人に紐づくIDを発行する |
7. 添付・URLクリックの警戒 | 業務と関係のない不審なファイルや短縮URLを安易に開かないルールを徹底する |
これらの表に示された基本動作が、自社のセキュリティレベルを底上げする強固な土台となります。情シスはこの基本動作が組織全体で「当たり前」に実施されているかを、定期的にセルフチェックする必要があります。
SaaS時代に追加で確認すべきこと
業務データの大部分が自社サーバー内ではなく多数のクラウド(SaaS)サービス上に保管される現代において、インフラを守るための管理手法も根本からアップデートする必要があります。SaaSが業務のインフラとなった時代においては、特に以下の「4つの軸」に基づいた管理が求められます。
SaaSの可視化:社員がどのようなクラウドサービスを利用しているか(シャドーITやシャドーAIがないか)を検知し、一元把握する
ID統制:すべてのSaaSにおいてアカウントが適切に管理されているか、退職者のアカウントが残存していないか、多要素認証(MFA)が必須化されているかを統制する
デバイス台帳の整備:どの端末から社内のSaaSや機密データにアクセスしているかを把握し、未許可の端末からの接続を拒否する
委託先・サプライチェーン管理:委託先企業が利用しているSaaSや、そこでのID管理体制が当社の基準を満たしているかを継続的に監視・評価する
ここで重要となるのが、自社で導入する管理ツールの対応範囲を正しく認識することです。たとえば、SaaS一元管理ツールであるAdminaは、社内の未許可SaaSやAIツールの可視化、従業員のID棚卸し・管理(退職者アカウントの即時検知・削除)、およびデバイス情報との紐付け(デバイス台帳)を的確に行うプラットフォームとして非常に役立ちます。
しかし、セキュリティ対策は多岐にわたり、Adminaだけですべてを解決できるわけではありません。以下の領域はAdminaの対象外領域であるため、対応する場合は専門の別ソリューションの導入を検討する必要があります。
EDR / NDR:端末内やネットワーク内での実時間の攻撃・挙動検知
CASB / DLP:パケットレベルでの未許可通信の遮断や、ファイルアップロードの監視
WAF:自社でWebサービスを開発・運用している場合の、Webアプリケーションへの攻撃防御
SOC / SIEM:各機器のログの統合分析と常時監視・アラート対応
SSPM / CSPM / DSPM:SaaSやクラウド、データそのものの設定ミスの自動検知
ASM(Attack Surface Management):インターネット上から攻撃可能な領域をスキャンして可視化する技術
まずセクション12の基本対策を起点に、自社のギャップを棚卸しするところから始めるのが現実的です。
それでは、組織が一丸となって初動の対策を開始するための、部門別チェックリストを提示します。
経営者・情シス・人事総務・購買・現場の初動チェックリスト
セキュリティはIT部門だけの問題ではなく、各業務プロセスを担う関係者がそれぞれの職責に応じたチェックリストを実行することで、初めて実効性のある防衛網として機能します。IPAの「対策と対応」の区分(経営者層、管理者、従業員)に準拠し、部門別の具体的な5項目ずつの初動アクションを定義しました。自社の状況と照らし合わせて、チェックを入れてみてください。
1. 経営者・経営層(セキュリティガバナンスとリソース配分の意思決定)
[ ] 1. セキュリティ対策を「コスト」ではなく、事業継続に必要な「投資」として位置づけ、適切な予算を確保した
[ ] 2. インシデント発生時の最高責任者(CISO等)を任命し、経営直轄の体制を整えた
[ ] 3. 委託先やサプライチェーンでインシデントが発生した場合の経営判断フローを策定した
[ ] 4. 内部不正防止や生成AIガバナンスなどの全社方針を表明し、セキュリティ方針を自ら全社に発信した
[ ] 5. 重大なセキュリティ事案が発生した際の社会的な説明責任、プレスリリースの体制を事前に準備した
2. 情報システム・セキュリティ担当部門(技術的対策と運用の実務)
[ ] 1. 社内のすべてのPCやスマートフォンを対象に、MDMツールを用いた一元管理と暗号化・セキュリティパッチ適用状況の監視を有効化した
[ ] 2. 主要なSaaSや社内ネットワークへのアクセスに、多要素認証(MFA)を例外なく必須化した
[ ] 3. 社内で利用されている未許可のSaaSやAIサービス(シャドーIT/シャドーAI)を特定するための可視化プロセスを開始した
[ ] 4. システムバックアップが、ネットワークから論理的に隔離された環境(3-2-1ルールやWORM属性の活用)に正しく取得されていることを検証した
[ ] 5. システムやソフトウェアの未修正の脆弱性を検知・評価し、適用期限を定めたパッチ管理手順を確立した
3. 人事・総務部門(退職者・従業員の管理と内部不正の防止)
[ ] 1. 従業員の入社・異動・退職時におけるIDやアカウントの発行・変更・即時削除のワークフローを情シスと合意し、システムと連携させた
[ ] 2. 退職予定者に対するセキュリティポリシーの再説明、および機密データ持出を防ぐための誓約書の提出手続きを整備した
[ ] 3. 全従業員を対象にした定期的なセキュリティ教育(なりすましメール訓練や、AI利用に関するルール周知)の実施計画を策定した
[ ] 4. 雇用契約書および就業規則において、営業秘密の取り扱いに関するペナルティや禁止事項(不正競争防止法に基づく営業秘密管理)を明記した
[ ] 5. 従業員の過度な業務ストレスや不満を早期に検知するための面談や、相談窓口の体制を維持した
4. 購買・法務・調達部門(サプライチェーンおよび委託先管理)
[ ] 1. 新規の委託先やSaaSサービスを選定する際、標準化したセキュリティチェックシートを必須の提出書類とした
[ ] 2. 委託先契約書に、秘密保持条項(NDA)だけでなく、セキュリティ事故発生時の「72時間以内の報告義務」や損害賠償、定期監査の権利を明記した
[ ] 3. 委託先が保有するISMS(ISO 27001)やPマーク、SOC2等のセキュリティ認証の有効期限を台帳管理し、毎年更新を確認した
[ ] 4. 開発会社への委託において、提供されるシステムやソフトウェアにSBOM(部品表)の提供を要求する条項を盛り込んだ
[ ] 5. 委託先でインシデントが発生した際、速やかに自社への影響範囲を調査できる連絡ルートを確立した
5. 現場従業員(一人ひとりの防衛意識と基本動作の徹底)
[ ] 1. 業務で使用するすべてのパスワードは他人に教えず、サービスごとに異なる強力な文字列を設定し、付箋などに書いて貼る行為を禁止した
[ ] 2. 不審な電子メールの添付ファイルやリンクを安易にクリックせず、少しでも違和感を覚えたら速やかにIT担当者やCSIRTに報告した
[ ] 3. 情シスに無断で、個人所有のPCやスマートフォン、個人用クラウドストレージを業務に利用しないことを誓約した
[ ] 4. 生成AIなどの未許可のオンラインサービスに、業務上の顧客情報や社外秘データをコピー&ペーストして入力しないルールを徹底した
[ ] 5. 離席時の画面ロックの徹底や、公共の場での機密資料の閲覧、パソコン・スマートフォン等の紛失に十分に注意して行動した
チェックリストを実行に移すことで、セキュリティは「机上の空論」から「生きた防衛体制」へと進化します。最後に、この記事の要点をまとめます。
FAQ
Q. 2026年版で組織向けの1位は何ですか?
「ランサム攻撃による被害」が1位です。2016年以降11年連続でランクインしており、2025年もアサヒグループHDやアスクルなど大規模被害が相次ぎました。なおIPAは「順位は対策優先度ではない」と明記しているため、自組織のリスクに応じて重み付けして対策を進めてください。
Q. 2026年に初選出された脅威は何ですか?
「AIの利用をめぐるサイバーリスク」が2026年版で初選出(3位)されました。業務での生成AI利用が急拡大したことを背景に、シャドーAI・ハルシネーション・AI悪用攻撃の3類型が課題として挙げられています。
Q. 10大脅威の順位通りに対策を進めればいいですか?
A. 順位はそのまま自社の優先順位にはなりません。投票結果は社会的な関心の高さを反映したものであり、自社のIT環境(SaaS中心か、オンプレ混在か、製造業のサプライチェーン連動かなど)に応じて読み替えが必要です。セクション3のマトリクスを参考に、自社に当てはまる脅威を優先してください。
Q. 中小企業でもランサム攻撃への対策は必要ですか?
A. 必要です。攻撃者は大企業だけを狙うわけではなく、むしろセキュリティリソースが限られた中小企業や、大企業のサプライチェーンに連なる企業を「踏み台」として積極的に狙います。まずVPN機器・RDPのパッチ適用とMFAの導入、そして3-2-1ルールに基づくバックアップ整備から着手することを推奨します。
Q. シャドーAIを完全に禁止する方法はありますか?
A. 技術的な遮断(CASBやURLフィルタリング)で利用を制限することは可能ですが、完全な禁止を追求するだけでは現場が抜け道を探すため、根本的な解決にはなりません。公式ライセンスを契約した安全なAIツールを情シスが提供し、利用ガイドラインを整備した上で可視化ツールで状況を把握する「イネーブルメント」アプローチが現実的です。
Q. 2025年版と2026年版の大きな違いは何ですか?
最大の変化は「AIの利用をめぐるサイバーリスク」の初選出(3位)です。1位ランサム攻撃・2位サプライチェーン攻撃の上位2脅威は2023年版から4年連続で固定。地政学的リスクは前年に続き2年連続で6位、リモートワークも6年連続8位と、定着した脅威が並ぶ構成になっています。
Q. 「情報セキュリティ対策の基本」と「共通対策」はどう違いますか?
「情報セキュリティ対策の基本」(表1.2)は、ソフトウェア更新・セキュリティソフト・パスワード/認証強化・設定見直し・バックアップ・手口の理解という、攻撃の糸口6種に対する基本姿勢を整理したものです。一方「共通対策」(解説書3章)は、インシデント対応体制やリテラシー教育など、10大脅威を横断して必要となる運用テーマ7つをまとめたものです。基本対策が「予防の土台」、共通対策が「組織として継続する運用」と理解すると整理しやすいでしょう。
本記事の内容に誤り等がございましたら、こちらからご連絡ください。
監修
Admina Team
情シス業務に関するお役立ち情報をマネーフォワード Adminaが提供します。
SaaS・アカウント・デバイスの管理を自動化し、IT資産の可視化とセキュリティ統制を実現。
従業員の入退社対応や棚卸し作業の工数を削減し、情報システム部門の運用負荷を大幅に軽減します。
中小企業から大企業まで、情シス・管理部門・経営層のすべてに頼れるIT管理プラットフォームです。
おすすめの記事をご紹介
まとめ
IPA情報セキュリティ10大脅威2026組織編は、近年の攻撃者が狙う脆弱なポイントを鋭く指摘しており、組織が防御を固めるための最良のロードマップです。
改めて強調しますが、10大脅威の順位は「自社にとっての危険度の順位」ではありません。自社を取り巻く環境(SaaSの普及状況、デバイス管理の状況、委託先の割合など)を客観的に分析し、優先すべき脅威を特定してリソースを配分することが情シスに求められる役割です。
特に2026年版で初登場したAI利用のサイバーリスクや、毎年上位を占めるサプライチェーン攻撃・内部不正への対策は、もはや従来型のウイルス対策ソフトやファイアウォールだけでは対応できません。まずは、社内にあるSaaSアカウントの棚卸し、IDの適切な権限管理、および使用されている端末の徹底した台帳管理という「基本動作の可視化」から着手することをおすすめします。
今日からできるアクション
✅ VPN機器・RDPのパッチ適用状況を今週中に確認する
✅ 全SaaSアカウントの棚卸しをAdmina等で実施し、退職者アカウントが残っていないか検証する
✅ 退職者アカウントの削除フローを人事部門と合意し、退職当日に即時削除できる運用を確立する
✅ MFAが未適用のSaaS・VPN接続をリストアップし、優先順位をつけて適用を進める
✅ バックアップが3-2-1ルールに沿って取得されているかをリストアテストで確認する
SaaS・ID・端末台帳の管理状況を1画面で把握する取り組みは、Admina MDM連携・デバイス台帳ガイド でも触れています。
