[調査・レポート]

2026年1月29日(木)日川 佳三（IT Leaders編集部）

リスト

　情報処理推進機構（IPA）は、前年に発生した情報セキュリティ事故や攻撃の状況などを、「情報セキュリティ10大脅威」（組織編・個人編）として2006年から毎年公表している（関連記事：IPA、「情報セキュリティ10大脅威 2025」を公開、1位はランサムウェア攻撃による被害）。

　10大脅威のランキングは、脅威の候補をIPAが選定したうえで、情報セキュリティ分野の研究者や企業の実務担当者など約200人のメンバーで構成する「10大脅威選考会」が投票して決めている。

　企業の対策についてIPAは、「セキュリティ対策情報を継続的に収集し、使っている機器やサービスに適したセキュリティ対策を講じつつ、各脅威が自組織の事業や体制にどのようなリスクがあるのか洗い出すことが重要」と指摘する。

　表1は、2025年の状況をまとめた「情報セキュリティ10大脅威 2026」の組織編である。

　1位の「ランサム攻撃による被害」と2位の「サプライチェーンや委託先を狙った攻撃」は、2023年以降、4年連続で順位が変わらない。2025年もランサムウェアに感染した企業・組織が多く確認され、取引先を含むサプライチェーン全体に深刻な影響を及ぼした事例もあった。こうした情勢がランキングにも反映された。

　今回初めて脅威の候補として採用した「AIの利用をめぐるサイバーリスク」が、3位にランクインした。リスクの例には「AIに対する不十分な理解に起因する意図しない情報漏洩や他者の権利侵害といった問題」、「AIが加工・生成した結果を十分に検証せず鵜呑みにすることにより生じる問題」、「AIの悪用によるサイバー攻撃の容易化、手口の巧妙化」などがある。IPAは、「上位にランクインした背景には、このような多岐にわたるリスクの存在が考えられる」と分析する。