ニューノーマル処方箋(第85回)
Wi-Fi 7導入を検討する前に知っておきたいポイントと準備のヒント
独立行政法人情報処理推進機構(以下、IPA)は2026年1月29日に「情報セキュリティ10大脅威2026」を発表した。社会的に影響が大きかったセキュリティの攻撃状況などから選定された候補に、約250名の専門家や実務担当者が投票して決定されたもので、「組織」向けの脅威と「個人」向けの脅威に分けられている。ここでは今回の発表を基に、企業として把握すべきリスクとその対策を考える。
組織を狙う脅威のトップ3と注目の新顔 ---- ランサムウエア攻撃が11年連続1位、AIリスクが初選出
2026年版の組織向けの情報セキュリティ10大脅威では、ランサムウエア攻撃が11年連続で1位を維持した。今回特に注目すべきは、生成AI(Generative AI)の普及を背景とした「AIの利用をめぐるサイバーリスク」が新たに3位に初選出されたことだ。以下に本記事で取り上げる主要な脅威を示す。
情報セキュリティ10大脅威 2026 [組織]から本記事で取り上げる主要な脅威
| 順位 | 脅威名 | 備考 |
|---|---|---|
| 1 | ランサム攻撃による被害 | 11年連続選出 |
| 2 | サプライチェーンや委託先を狙った攻撃 | 8年連続選出 |
| 3 | AIの利用をめぐるサイバーリスク | 初選出 |
| 6 | 地政学的リスクに起因するサイバー攻撃(情報戦を含む) | 近年の注目トレンド |
| 9 | DDoS攻撃(分散型サービス妨害攻撃) | 近年の注目トレンド |
順位・備考は独立行政法人情報処理推進機構(IPA)の発表資料を基に作成
最も注意すべきセキュリティリスクである1位の「ランサムウエア攻撃による被害」は、実際に被害の届出も多い。攻撃の手口はさまざまだ。機器の脆弱性を悪用する方法や、盗み取ったIDやパスワードを用いた不正アクセスによって組織内のネットワークに侵入する手口が代表的だ。侵入後はPCやサーバーをランサムウエアに感染させてデータを暗号化し、利用できなくした上で身代金を要求する。国内でも大手通販会社や大手飲料メーカーが業務停止に追い込まれた事例が報告されている。
8年連続選出の2位「サプライチェーンや委託先を狙った攻撃」も依然として重大なリスクだ。多くの企業間取引がネットワーク上で行われサプライチェーンが形成されている中、大手企業に比べてセキュリティ対策が脆弱な中小企業が狙われ、サプライチェーン全体に波及する被害が発生している。
今回初選出の3位「AIの利用をめぐるサイバーリスク」は、生成AIの進化と普及によって顕在化した新たなリスクだ。他者の権利を侵害したり、意図せず情報を漏えいしたりする問題のほか、AIの回答を鵜呑みにして誤情報を拡散するリスクもある。
その他、最近のトレンドとして挙げられるのが、6位の「地政学的リスクに起因するサイバー攻撃(情報戦を含む)」と9位の「DDoS攻撃(分散型サービス妨害攻撃)」だ。ウクライナ戦争でも相手に対するサイバー攻撃が繰り広げられているように、国家支援型の攻撃が増加傾向にある。これらが新たなトレンドとして注目される背景には、地政学的緊張の高まりとインターネットインフラへの依存度の上昇がある。
企業が取るべき情報セキュリティ対策の基本 ----「脅威の把握」「資産の洗い出し」「対策の実施」の3ステップ
さまざまな情報セキュリティの脅威が増えている中で、企業はどう対応していくべきか。脅威が多様化していることは確かだが、そのすべてにきめ細かく対応するのは、多くの企業にとって現実的ではない。重要なのは「情報セキュリティ対策の基本」を着実に守ることであり、以下の3ステップで整理できる。
- 1.脅威の把握:自社のビジネスに影響を与えそうな脅威を抽出し、優先度の高いリスクを特定する
- 2.自社資産の洗い出し:保護すべきデータや機器を明確にし、優先順位をつける
- 3.対策の選択と実施:優先度の高い資産に対する対策状況を評価し、未実施のものから順に導入を進める
脅威と自社の状況を正確に把握することが、対策の第一歩となる。中国の有名な兵法家である孫子は「彼を知り己を知れば百戦危うからず」と説いているが、情報セキュリティ対策においても、「敵を知り、己を知る」という視点が有効だ。
ステップ1:脅威の把握では、自社のビジネスへの影響が大きいものに絞り込んで対応することだ。例えば、部品の製造業であればサプライチェーン攻撃の対象になりやすく、生産ラインが停止すれば取引先にも影響が及び、ビジネス全体に大きなダメージをもたらす。
ステップ2:自社資産の洗い出しでは、自社にどんなデータや機器があり、どれを優先的に保護すべきかを洗い出す。医療機関であれば、患者の健康データの流出は重大な問題となる。電子カルテのデータがランサムウエアに感染して利用できなくなり、病院機能が停止した事例もある。
ステップ3:対策の選択と実施では、優先順位の高い資産に対する対策状況を評価した上で、導入すべき対策を選択する。優先順位の高い資産に対して対策が「未実施」であれば、早急に導入を進めるべきだ。
企業活動においてICT(情報通信技術)が重要な役割を果たすようになった今、情報セキュリティ対策の実施は必要不可欠だ。経済産業省のサイバーセキュリティ経営ガイドラインなどでも示されているように、サプライチェーンを構成する取引先企業に対して必要な情報セキュリティ対策を求める大企業も多い。必要な対策を認識しながらも放置することだけは避けなければならない。
※掲載している情報は、記事執筆時点のものです。
執筆=高橋 秀典
【TP】
あわせて読みたい記事
連載バックナンバー
最新セキュリティマネジメント
- 第59回 2026年版「情報セキュリティ10大脅威」:企業が把握すべき最新リスクと対策 2026.04.20
- 第58回 「多要素認証」って何だろう?~企業が知るべきメリットとデメリット 2026.03.16
- 第57回 「PPAP」が非推奨とされる理由と代替手段、今後の対策を解説 2026.02.16
- 第56回 パスキー認証で強固なセキュリティを確立しよう 2026.01.16
- 第55回 若手人材のセキュリティスキルアップ 2025.12.19
- 第54回 Windows 10サポート終了でリスク増大!偽セキュリティ詐欺に要注意 2025.11.07
- 第53回 セキュリティインシデント対応の基本3ステップ 2025.10.20
- 第52回 長期休暇中のセキュリティ危機管理のヒント:初動対応と復旧に向けた備え 2025.09.11
- 第51回 連休前に確認しよう!セキュリティ対策チェックリスト 2025.08.01
- 第50回 調査で見えてきた中小企業のセキュリティ対策の実態と投資効果 2025.07.16
- 第49回 選挙で影響力を増すSNS。有権者が注意すべきポイントを確認 2025.06.18
- 第48回 無料のセキュリティ相談窓口を活用してセキュリティリスクに立ち向かおう 2025.05.19
- 第47回 「情報セキュリティ10大脅威2025」活用法 2025.04.25
- 第46回 「情報セキュリティ10大脅威2025」決定 2025.02.13
- 第45回 情報セキュリティマネジメント試験でリテラシー向上 2025.01.31
- 第44回 サイバーセキュリティお助け隊サービスとは 2025.01.15
- 第43回 ウイルス感染警告のサポート詐欺にだまされない 2024.12.19
- 第42回 スマート工場のセキュリティリスク 2024.11.18
- 第41回 不注意なクリックなしでPCが突然操作不能に! 2024.10.17
- 第40回 認識すべき3原則と指示すべき重要10項目 2024.09.17
- 第39回 長期休暇前後のセキュリティ対策 2024.08.19
- 第38回 AI利用におけるセキュリティ対策 2024.07.18
- 第37回 中小企業の内部不正対策を強化する3つのポイント 2024.06.18
- 第36回 SECURITY ACTION宣言で全社の意識を変える 2024.05.23
- 第35回 2023年、新種のランサムウエア攻撃が増加 2024.04.15
- 第34回 企業に必須の情報セキュリティ対策の基本 2024.03.14
- 第33回 2023年の10大脅威から見えてきたもの 2024.02.19
- 第32回 偽セキュリティ警告を体験する 2024.01.22
- 第31回 IPAのイベントでセキュリティ最新動向を確認 2023.12.18
- 第30回 サプライチェーンの一員としてのセキュリティ対策 2023.11.20
- 第29回 最新のサイバー攻撃の実態を知って被害を防ぐ 2023.10.23
- 第28回 無料で簡単に自社の情報セキュリティレベルを診断 2023.09.21
- 第27回 工場のスマート化に潜むセキュリティリスク 2023.08.21
- 第26回 「不正のトライアングル」の観点で内部不正を防ぐ 2023.07.24
- 第25回 「SECURITY ACTION自己宣言」をしよう 2023.06.22
- 第24回 セキュリティインシデント対応は3ステップで 2023.05.29
- 第23回 無料教材でできる情報セキュリティ教育 2026.04.17
- 第22回 「情報セキュリティ10大脅威 2023」に学ぶ 2023.03.20
- 第21回 パスワード付き添付ファイルの送受信リスク 2023.02.24
- 第20回 J-CRATの活動報告から学ぶ国家支援型サイバー攻撃 2023.01.24
- 第19回 産業用制御システムのセキュリティ強化 2022.12.20
- 第18回 攻撃を再開したマルウエア「Emotet」の脅威 2022.11.24
- 第17回 ビジネスメール詐欺の手口と対策が丸わかり 2022.10.24
- 第16回 「情報セキュリティ白書2022」に学ぶ(後編) 2022.09.22
- 第15回 「情報セキュリティ白書2022」に学ぶ(前編) 2022.08.23
- 第14回 未来を担う高度IT人材の育成に注力 2022.07.26
- 第13回 「情報セキュリティ10大脅威2022」を確認 2022.06.21
- 第12回 サイバー攻撃情報の入手とその有効活用および提供 2022.05.24
- 第11回 サプライチェーン全体の対策及び状況把握 2022.04.19
- 第10回 インシデントによる被害に備えた復旧体制の整備 2022.03.15
- 第9回 インシデント発生時の緊急対応体制の整備 2022.02.15
- 第8回 セキュリティ対策におけるPDCAサイクルの実施 2022.01.18
- 第7回 リスクに対応するための仕組みの構築 2021.12.21
- 第6回 サイバーセキュリティリスクの把握と対応計画の策定 2021.11.16
- 第5回 サイバーセキュリティ対策のための資源確保 2021.10.19
- 第4回 セキュリティリスク管理体制の構築 2021.09.21
- 第3回 サイバーセキュリティリスクの認識、組織全体での対応方針の策定 2021.08.24
- 第2回 サイバーセキュリティ経営の重要10項目 2021.07.20
- 第1回 サイバー空間潮流。サイバーセキュリティは経営問題 2021.06.22