2026.03.16
2026.04.02
【2026年度版】情報セキュリティ10大脅威解説(組織編)
- 文字で構成されています。
※この記事内容は
独立行政法人情報処理推進機構(IPA)が2006年から毎年発行している「情報セキュリティ10大脅威」をご存じでしょうか?この資料は、前年に発生したセキュリティ事故や攻撃の状況から、社会的に影響が大きかったトピックを「10大脅威」として選出し、各脅威の概要、被害事例、対策方法などをまとめています。
「10大脅威」は以下2つのカテゴリーに分けて選出されており、「組織向け」脅威については毎年ランキング形式で発表されています。
- 個人向け(家庭などでパソコンやスマートフォンを操作する利用者が対象)
- 組織向け(企業や政府機関等、組織のシステム管理者や社員・職員が対象)
今回は、2026年度版の「組織向け」脅威の概要をご紹介します。
| 順位 | 「組織」向け脅威 | 初選出年 | 10大脅威での取り扱い (2016年以降) |
|---|---|---|---|
| 1 | ランサムウェアによる被害 | 2016年 | 11年連続11回目 |
| 2 | サプライチェーンの弱点を悪用した攻撃 | 2019年 | 8年連続8回目 |
| 3 | AIの利用をめぐるサイバーリスク | 2026年 | 初選出 |
| 4 | システムの脆弱性を悪用した攻撃 | 2016年 | 6年連続9回目 |
| 5 | 機密情報を狙った標的型攻撃 | 2026年 | 11年連続11回目 |
| 6 | 地政学的リスクに起因するサイバー攻撃 (情報戦を含む) |
2025年 | 2年連続2回目 |
| 7 | 内部不正による情報漏えい等 | 2016年 | 11年連続11回目 |
| 8 | リモートワーク等の環境や仕組みを狙った攻撃 | 2021年 | 6年連続6回目 |
| 9 | DDoS攻撃(分散型サービス妨害攻撃) | 2016年 | 2年連続7回目 |
| 10 | ビジネスメール詐欺 | 2018年 | 9年連続9回目 |
出典:独立行政法人情報処理推進機構「情報セキュリティ10大脅威 2026」
"独立行政法人情報処理推進機構「情報セキュリティ10大脅威 2026解説書(組織編)」を基に記事を作成しております。"
1位 ランサムウェアによる被害
出典:IPA
PCやサーバー内のデータ窃取や暗号化、窃取した情報の暴露予告を行い、これらを取引材料とした様々な脅迫により金銭を要求する攻撃をランサム攻撃という。ランサムウェアは「組織向け脅威」として11年連続で選出されており、危険視されているサイバー攻撃です。
ランサム(ransom)が「身代金」を意味するとおり、攻撃者は標的組織のPC等に保存されたデータやファイルを暗号化して人質として扱い、その復旧と引き換えに金銭を要求します。
定期的なバックアップ対策や従業員に対するセキュリティ教育を徹底するなど、予防策を講じておくとともに、被害が発生した場合でも迅速に対応できる体制づくりをしておくことが必要です。
ランサムウェアとは?
連載記事①~多様化する攻撃手法
連載記事②~数字でみる国内組織の被害実態
連載記事③~組織で行う予防対策
2位 サプライチェーンの弱点を悪用した攻撃
出典:IPA
「サプライチェーン」とは「供給連鎖」と訳されます。商品や製品が消費者に届くまでの一連の流れのことで、原材料の調達から販売まで様々な組織が関わっています。
攻撃者は、標的とする組織が属するサプライチェーンの中で、セキュリティ対策が甘い組織を足がかりに攻撃を仕掛けます。そして標的組織の取引先や委託先から、機密情報を入手しようとするのです。
そのため最初に侵入された組織は被害者でありながら、同時に取引先への攻撃に加担する側にもなってしまいます。このような被害を予防するためには、自組織だけでなく、委託先や利用しているサービスについても適切な管理が必要です。
3位 AIの利用をめぐるサイバーリスク
出典:IPA
生成AIの進化と普及に伴い、様々な問題、懸念が浮上している。例えば、AIに対する不十分な理解による、意図しない問題として他者の権利侵害、情報漏えい、AIが加工・生成した結果を十分に検証せず鵜呑みにすることにより生じる問題、AIの悪用によるサイバー攻撃の容易化、手口の巧妙化などがあげられます。
AI活用は国内でも急速に進んでいるが、AIシステムの脆弱性を狙った攻撃やAI悪用によるサイバー攻撃の高度化といったリスクも指摘されています。また、生成AIの業務利用では、生成内容の正確性を確認せず使用することによるトラブルにも注意が必要です。
4位 システムの脆弱性を悪用した攻撃
出典:IPA
脆弱性対策情報の公表は、利用者に対して対策の必要性を周知できる一方、攻撃者に悪用される可能性もあります。近年は脆弱性の発見から攻撃までの期間が短くなっており、情報が公開された際には迅速な対策が重要です。
5位 機密情報を狙った標的型攻撃
出典:IPA
標的型攻撃とは、特定の組織(民間企業、官公庁、団体等)に対して行われるサイバーエスピオナージ(サイバー諜報活動)であり、主に機密情報の窃取を目的としています。攻撃者は社会の動向や慣習の変化に合わせて攻撃手口を変える等、標的とする組織の状況に応じた巧みな攻撃手法で目的を果たそうとします。
6位 地政学的リスクに起因するサイバー攻撃
(情報戦を含む)
出典:IPA
地政学的リスクとは、地理的・政治的な関係から生じる国家間の政治・軍事的な緊張によるリスクを指します。こうした対立を背景に、社会的混乱の誘発や機密情報の窃取、外貨獲得などを目的とした国家によるサイバー攻撃が行われる場合があります。また、SNSを通じて偽情報を拡散し、他国の評判を貶める影響工作が行われることもあります。
7位 内部不正による情報漏えい等
出典:IPA
内部不正による情報漏えいには、従業員や元従業員など内部関係者による意図的な情報持ち出しやデータ削除だけでなく、規則違反による情報持ち出しや不注意による紛失なども含まれます。こうした不正行為は、組織の社会的信用の失墜や損害賠償などの経済的損失を招く可能性があり、不正に取得された情報を利用した組織や個人も責任を問われる場合があります。
8位 リモートワーク等の環境や仕組みを狙った攻撃
出典:IPA
リモートワークの普及により、多くの組織で業務環境のオンライン化が進みました。一方で、外部からの攻撃対象領域(アタックサーフェス)が拡大したことで、それらを狙ったサイバー攻撃も増加しています。
9位 DDoS攻撃(分散型サービス妨害攻撃)
出典:IPA
DDoS攻撃(分散型サービス妨害攻撃)は、攻撃者が乗っ取った多数の機器で構成されるボットネットから、大量のアクセスを一斉に送りつける攻撃です。これによりWebサイトなどのサービスが高負荷状態となり、応答遅延や機能停止が発生するなど、サービス提供に支障が生じるおそれがあります。
10位 ビジネスメール詐欺
出典:IPA
ビジネスメール詐欺(BEC)は、攻撃者が標的組織や取引先の従業員になりすまして虚偽のメールを送り、偽の口座へ送金させるサイバー攻撃です。近年は生成AIを悪用した手口も増えており、CEOを装った詐欺など、より巧妙な攻撃への対策が求められています。
情報リテラシー、モラルを向上させる
情報リテラシーとモラルの向上は、組織における情報管理の重要な要素です。業務の多忙さや緊急対応などの状況から、意図せず規則に反する行為が発生する場合もあるが、悪意の有無に関わらず責任が伴います。個人だけでなく組織としても適切な理解と対策が求められます。
セキュリティリスクがあるからといって、デジタル化推進の時代に逆行することはできません。重要なのは、デジタル化の利便性に伴うリスクを正しく理解し、対策していくことです。
インソースデジタルアカデミー(IDA)は、そのための研修を多数ご用意しています。
※本記事は2026年04月02日現在の情報です。
おすすめ公開講座
関連ページ
ランサムウェアや生成AIを悪用したなりすましなど、サイバー攻撃はすべての組織にとって現実的な脅威です。独立行政法人情報処理推進機構(IPA)の「情報セキュリティ10大脅威 2026」では、AIを巡るリスクが初めて上位に入りました。背景には対策の属人化や運用不足があります。
似たテーマの記事
2025 AUTUMN
Vol.17 企業課題を解決
Vol.17は、「企業課題解決」がテーマです。労働人口の減少など企業を取り巻く環境が大きく変化する中で、 成長し続けるために経営戦略や人事戦略を改めて考えていくことが求められます。 本誌では、企業インタビューによるDX人財育成の事例や人的資本経営をサポートするソリューション事例をご紹介しております。
Index
2024 WINTER
DXpedia® 冊子版 Vol.3
Vol.3は「普及期に入ったAI」がテーマです。AI活用を見据え管理職2,200人を対象とする大規模なDX研修をスタートさせた三菱UFJ銀行へのインタビューや、AIの歴史と現在地に光を当てる記事、さらに因果推論や宇宙ビジネスといった当社の新しい研修ジャンルもご紹介しています。
Index
-
冊子限定
【巻頭対談】管理職2,200人のDX研修で金融人材をアップデートする
-
冊子限定
ChatGPTが占う2025年大予測
-
冊子限定
AI研究がノーベル賞ダブル受賞
-
冊子限定
チョコとノーベル賞の謎
-
冊子限定
宇宙ビジネスの将来
-
冊子限定
【コラム】白山から宇宙へ~衛星の電波を自宅でとらえた
2024 AUTUMN
DXpedia® 冊子版 Vol.2
『DXpedia®』 Vol.2は「サイバーセキュリティの今」を特集しています。我が国トップ水準のリスク関連コンサルティング会社であるMS&ADインターリスク総研の取締役に組織の心構えをうかがいました。このほかサイバー攻撃やセキュリティの歴史を当社エグゼクティブアドバイザーがひもといています。
Index
-
PICKUP
【巻頭対談】サイバー攻撃への備え 従業員教育が欠かせない
-
冊子限定
「復旧まで1カ月以上」が2割〜国内のランサムウェア被害調査
-
PICKUP
サイバーセキュリティ今昔物語
-
冊子限定
DXpediaⓇ人気記事
-
冊子限定
【コラム】白山から宇宙へ~アポロが生んだ技術の大変革
2024 SUMMER
DXpedia® 冊子版 Vol.1
IDAの新しい冊子『DXpedia®』が誕生しました。創刊号の特集は「ChatGPT時代」。生成系AIを人間の優秀な部下として活用するための指示文(プロンプト)の例を始め、Web版のDXpediaで人気を集めた記事を紹介、さらに宇宙に関するコラムなどを掲載しています。
Index
-
冊子限定
プロンプトでAIをあやつる~前提や体裁を正しく指示して完成度UP!
-
冊子限定
AIそれはデキる部下~インソースグループの生成系AI研修
-
冊子限定
AIと作る表紙デザイン~生成系AIを有能なアシスタントにしよう
-
冊子限定
【コラム】白山から宇宙へ~未来を切り拓くSX(
-
冊子限定
DXpediaⓇ人気記事
2023 AUTUMN
Vol.12 今日からはじめるDX
Vol.12は「中堅・成長企業でのDXの進め方」がテーマです。他社リソースを上手に活用するために身につけたい「要求定義と要件定義」を解説しました。 2人の「プロの目」によるDXの取組みへのヒントに加え、身近なアプリではじめるDXを活用事例とともに紹介します。DXお悩みQ&Aでは、中小・成長企業特有の事例を取り上げました。DXをはじめるなら「今」です。
Index
2023 SPRING
Vol.11 DX革命 第二章~着手から実践へ
vol.4の続刊であるVol.11は「DX革命の実践」がテーマです。 本誌の前半ではDXの課題を4段階に整理し、各段階の解決策である研修プランを掲載しています。 後半では弊社が研修を通じてDXを支援した、各企業様の事例と成果を紹介しています。自社のDX実践に際して、何がしかの気づきを得られる内容となっています。
Index
2020 WINTER
Vol.04 DX革命
Vol.04はDX推進のための効果的な手法がテーマです。DXは喫緊の経営課題である一方、IT人材不足や高いシステム導入コストにより実現が難しいと捉えられがちです。そこで本誌では、今いる人材で低コストに推進するDXについてご紹介しております。
Index
お問合せ
まずはお電話かメールにてお気軽にご相談ください
お電話でのお問合せ
03-5577-3203