概要
IPAは情報セキュリティ10大脅威 2026の結果を発表しました 1 。 今回は組織編において新規の脅威として「AIの利用をめぐるサイバーリスク」が追加されました。 本記事では選出された項目の紹介をしていきます。
これまでの情報セキュリティ10大脅威
情報セキュリティ10大脅威とは情報処理推進機構(IPA)が2014年より発表している情報セキュリティに関する10大脅威です。 当初 2 は10の脅威を挙げていましたが、2017年分 3 からは個人と組織の2部門でそれぞれ10ずつ計20個が挙げられるようになっています。
情報セキュリティ10大脅威 2026の結果
情報セキュリティ10大脅威 2026の結果 1 は下記の通りです。 組織向けには脅威に順位が付けられていますが、個人には付与されないものとなっています。 ある脅威が急に消失することはないので多くの項目が連続で選出されています。
| 順位 | 「組織」向け脅威 | 初選出年 | 10大脅威での取り扱い(2016年以降) |
|---|---|---|---|
| 1 | ランサム攻撃による被害 | 2016年 | 11年連続11回目 |
| 2 | サプライチェーンや委託先を狙った攻撃 | 2019年 | 8年連続8回目 |
| 3 | AIの利用をめぐるサイバーリスク | 2026年 | 初選出 |
| 4 | システムの脆弱性を悪用した攻撃 | 2016年 | 6年連続9回目 |
| 5 | 機密情報を狙った標的型攻撃 | 2016年 | 11年連続11回目 |
| 6 | 地政学的リスクに起因するサイバー攻撃(情報戦を含む) | 2025年 | 2年連続2回目 |
| 7 | 内部不正による情報漏えい等 | 2016年 | 11年連続11回目 |
| 8 | リモートワーク等の環境や仕組みを狙った攻撃 | 2021年 | 6年連続6回目 |
| 9 | DDoS攻撃(分散型サービス妨害攻撃) | 2016年 | 2年連続7回目 |
| 10 | ビジネスメール詐欺 | 2018年 | 9年連続9回目 |
| 「個人」向け脅威(五十音順) | 初選出年 | 10大脅威での取り扱い(2016年以降) |
|---|---|---|
| インターネット上のサービスからの個人情報の窃取 | 2016年 | 7年連続10回目 |
| インターネット上のサービスへの不正ログイン | 2016年 | 11年連続11回目 |
| インターネットバンキングの不正利用 | 2016年 | 4年ぶり8回目 |
| クレジットカード情報の不正利用 | 2016年 | 11年連続11回目 |
| サポート詐欺(偽警告)による金銭被害 | 2020年 | 7年連続7回目 |
| スマホ決済の不正利用 | 2020年 | 7年連続7回目 |
| ネット上の誹謗・中傷・デマ | 2016年 | 11年連続11回目 |
| フィッシングによる個人情報等の詐取 | 2019年 | 8年連続8回目 |
| 不正アプリによるスマートフォン利用者への被害 | 2016年 | 11年連続11回目 |
| メールやSNS等を使った脅迫・詐欺の手口による金銭要求 | 2019年 | 8年連続8回目 |
概要でも触れた通り、組織向けでは「AIの利用をめぐるサイバーリスク」は新規に選出されました。 2024年 4 以降、解説ではAIに関する言及はありましたが、脅威がより高まったために追加されたと考えられます。 リスクとしてはシャドーAIのリスク、ハルシネーションのリスク、AIを利用した脅威の増長が挙げられています。 既存の脅威にAIの脅威が掛け合わされたものと見られそうです。 例えば、シャドーAIはシャドーITの課題としてAIサービスが追加されたと見ることができるでしょう。 LLMのようなサービスを利用する場合、業務情報を許可されていないサービスで入力する時点でシャドーITとして問題になりますが、その情報が学習に利用され情報漏洩してしまうといった事案はAIサービス特有の問題と言えます。 よって2つの観点での対策が必要になってきます。
また、個人向けでは「インターネットバンキングの不正利用」が4年ぶりに挙げられています。 これは2025年 5 と比較してみると「ワンクリック請求等の不当請求による金銭被害」が抜けて追加されたもののようです。 もちろん、入れ替わったとしても脅威であることに変わりはないのでいずれも注意をしていくべき項目です。
AIに関する脅威への対策
IPAによる解説書では経営層向けにはガバナンス面での対策が、管理者従業員向けにはAIにフォーカスした対策と一般的なセキュリティ対策が挙げられています。 なお、ここでのAI利用者はAI事業者ガイドライン 6 に従ったものとなっています。
IPAではAI全般の対策を述べていますが、特にLLMにフォーカスしたものは様々な組織や団体から出されています。 OWASPは2023年からLLMに関するセキュリティ問題のトップ10を挙げています 7 し、総務省からもガイドライン 8 が2026年3月に出されています。 これらを活用してAIに関する脅威への対策を行うことでリスクの低減が図れると考えられます。
-
IPA, 情報セキュリティ10大脅威 2026, https://www.ipa.go.jp/security/10threats/10threats2026.html ↩︎ ↩︎
-
IPA, 情報セキュリティ10大脅威 2014, https://www.ipa.go.jp/security/10threats/2014/2014.html ↩︎
-
IPA, 情報セキュリティ10大脅威 2017, https://www.ipa.go.jp/security/10threats/2017/2017.html ↩︎
-
IPA, 情報セキュリティ10大脅威 2024, https://www.ipa.go.jp/security/10threats/10threats2024.html ↩︎
-
IPA, 情報セキュリティ10大脅威 2025, https://www.ipa.go.jp/security/10threats/10threats2025.html ↩︎
-
総務省・経済産業省, AI事業者ガイドライン https://www.meti.go.jp/shingikai/mono_info_service/ai_shakai_jisso/20240419_report.html ↩︎
-
OWASP, 2025 Top 10 Risk & Mitigations for LLMs and Gen AI Apps, https://genai.owasp.org/llm-top-10/ ↩︎
-
総務省, AIのセキュリティ確保のための技術的対策に係るガイドライン, https://www.soumu.go.jp/main_content/001064122.pdf ↩︎