【2026年最新】IPA発表「情報セキュリティ10大脅威 2026」 初選出「AIの利用をめぐるサイバーリスク」と情報システムが押さえるべき対策
独立行政法人情報処理推進機構(IPA)は、2026年1月に「情報セキュリティ10大脅威 2026」を公表しました。
本記事では、初めて選出された「AIの利用をめぐるサイバーリスク」について、情報システム部門の観点から、押さえておきたいポイントと対策を解説します。
- 「AIの利用をめぐるサイバーリスク」が10大脅威に初選出された背景
- 生成AI利用で起こりやすいリスク(情報漏えい/誤情報・権利侵害/攻撃高度化)の整理
- 情報システムが“止めずに安全に使う”ために検討すべき対策の考え方
情報セキュリティ10大脅威 2026(組織向け)とは
「情報セキュリティ10大脅威」とは、前年に実際に発生したサイバー攻撃や情報セキュリティ事故の中から、社会的影響が大きかったものをIPA(情報処理推進機構)が整理・選定した指標です。
専門家や実務担当者による審議・投票を経て決定されており、企業が優先的に向き合うべきリスクを俯瞰的に把握するための資料として活用されています。
情報セキュリティ10大脅威(組織編)
| 順位 | 「組織」向け脅威 | 初選出年 | 10大脅威での取り扱い(2016年以降) |
|---|---|---|---|
| 1 | ランサム攻撃による被害 | 2016年 | 11年連続11回目 |
| 2 | サプライチェーンや委託先を狙った攻撃 | 2019年 | 8年連続8回目 |
| 3 | AIの利用をめぐるサイバーリスク | 2026年 | 初選出 |
| 4 | システムの脆弱性を悪用した攻撃 | 2016年 | 6年連続9回目 |
| 5 | 機密情報を狙った標的型攻撃 | 2016年 | 11年連続11回目 |
| 6 | 地政学的リスクに起因するサイバー攻撃(情報戦を含む) | 2025年 | 2年連続2回目 |
| 7 | 内部不正による情報漏えい等 | 2016年 | 11年連続11回目 |
| 8 | リモートワーク等の環境や仕組みを狙った攻撃 | 2021年 | 6年連続6回目 |
| 9 | DDoS攻撃(分散型サービス妨害攻撃) | 2016年 | 2年連続7回目 |
| 10 | ビジネスメール詐欺 | 2018年 | 9年連続9回目 |
2026年版では、ランサムウェアやサプライチェーン攻撃といった従来からの脅威が引き続き上位を占める一方で、「AIの利用をめぐるサイバーリスク」が初めてランクインしました。これは、新たな脅威が増えたというよりも、既存の攻撃がAIによって質的に変化していることを示す象徴的な変化といえます。
なぜ今、「AIの利用をめぐるサイバーリスク」が問題になるのか
生成AIの業務利用はここ数年で急速に広がり、資料作成や調査、プログラミングなど、さまざまな場面で活用されるようになりました。
その一方で、AIの利用に伴うリスクは、これまで「注意すべき点」や「将来的な懸念」として扱われることが多く、他のサイバー脅威と同列に語られることは少なかったのが実情です。
しかし2026年版では、AIに関するリスクが明確に“脅威”として位置付けられました。
これは、AIの利便性そのものよりも、誤った使い方や悪用によって、実際の被害が現実化し始めていることが評価された結果といえます。
生成AI利用で起こりやすい情報漏えい・権利侵害のリスク
生成AIの利用において特に注意が必要なのが、意図しない情報漏えいや権利侵害です。業務効率を優先するあまり、設計資料や顧客情報の一部をそのまま生成AIに入力してしまうケースも想定されます。
問題は、こうした利用が必ずしも情報システム部門の管理下で行われているとは限らない点です。ブラウザ経由で利用される生成AIは、従来のIT資産管理や情報漏えい対策では可視化しづらく、気付いたときには外部に情報が入力されている、という事態が起こり得ます。
生成AIの出力を鵜呑みにすることで生じるリスク
生成AIは自然で説得力のある文章を出力するため、その内容を十分に確認しないまま業務に利用してしまうリスクがあります。いわゆる「ハルシネーション(もっともらしい誤情報)」を検証せずに利用してしまうことで、誤った判断や情報発信につながる恐れがあります。
誤った情報を含む資料や説明文が社内外で使われた場合、業務判断の誤りや企業の信頼低下につながる可能性があります。また、AIの生成物が著作権や第三者の権利を侵害していることに気付かず利用してしまうケースも考えられます。
AIを「正解を出す存在」として扱うのではなく、人が確認・判断する前提の補助ツールとして位置付けることが重要です。
AI悪用によって高度化するサイバー攻撃
AIは防御側だけでなく、攻撃者側にも利用されています。生成AIを使って自然な日本語のフィッシングメールを大量に作成したり、ビジネスメール詐欺(BEC:Business E-mail Compromise)の文面を自動生成したりすることで、従来よりも見抜きにくい攻撃が増えています。
AIの悪用は、もはや「将来的な可能性」ではなく、実際に攻撃の高度化を加速させる要因となっています。この変化により、従来のルールベースや人手中心の対策だけでは、対応が追いつかなくなりつつあります。
生成AIの普及で、情報システム部門が直面する現実的な課題
多くの企業では、生成AIの利用が現場主導で進み、情報システム部門が全体像を把握しきれないまま広がっているケースも少なくありません。どのAIツールが使われているのか、どのような情報が入力されているのかを把握できない状態では、適切な統制や対策を講じることが難しくなります。
さらに、セキュリティ製品やログが分散している環境では、インシデントの兆候を横断的に把握することも困難です。AIリスクへの対応は、個別対策の追加ではなく、運用全体を見直す視点が求められています。
AI時代に、情報システム部門が考えるべきセキュリティ対策
AIを活用した攻撃が高度化する中で、人手による監視やルールベースの対策だけでは限界が見え始めています。そのため、AIを活用した検知・分析・対応を組み合わせ、リアルタイムかつ自動化された防御体制を構築する考え方が重要になります。
「AIによる攻撃は、AIでしか守れない」という視点は、今後のセキュリティ運用を考える上での大きな指針です。AI活用を止めるのではなく、安全に使える環境を整備することが、情報システム部門に求められています。
JBCCが支援できること
生成AIの活用が進む中で、AIに伴うセキュリティリスクへの対応は、特定の製品を導入するだけで解決できるものではありません。
利用状況の把握、ルール整備、技術的対策、そして継続的な運用までを含めて、段階的に取り組む必要があります。
生成AIの活用が進む中で、AIに伴うセキュリティリスクへの対応は、特定の製品を導入するだけで解決できるものではありません。利用状況の把握、ルール整備、技術的対策、そして継続的な運用までを含めて、段階的に取り組む必要があります。
JBCCでは、生成AIの利用に伴うリスクを整理するところから、セキュリティ対策の検討、運用支援までを一貫してご支援しています。「どのAIツールが使われているのか分からない」「現場の利用を止めずに、どう安全性を確保すればよいか悩んでいる」といったお悩みに対し、企業ごとの状況に応じた対策をご提案します。
AI活用を止めるのではなく、業務で安心して使い続けられる環境づくりを、JBCCは支援しています。
まとめ
「情報セキュリティ10大脅威 2026」で、「AIの利用をめぐるサイバーリスク」が初めて上位に選出されたことは、企業、特に情報システム部門にとって重要な変化といえます。AIは業務効率化に欠かせない存在となる一方で、使い方や管理のあり方によっては、新たなリスクを生み出す要因にもなります。
AIを悪用した攻撃が現実の脅威となる中で、従来のセキュリティ対策だけでは限界が見え始めています。 攻撃にAIが使われるのであれば、防御の側でもAIを取り入れながら向き合っていく、という発想が今後は欠かせません。
AI活用が今後さらに広がっていくことを前提に、自社の状況に照らし合わせながら、どのような対策が必要かを考えるきっかけとして、本記事が参考になれば幸いです。
関連記事
製品・サービス
JBCCのセキュリティサービス
サプライチェーンを狙うランサムウェア攻撃や、生成AIの業務利用で高まるセキュリティリスク。複雑化する脅威に対し、監視・検知・インシデント対応までを一元的に支援するマネージドセキュリティサービスをご提供します。
詳細を見る
マネージドサービス for CASB/SWG Plus
各種生成AIサービスのリスク詳細や社員の利用状況を可視化し、DLP機能で機密情報のキーワードを検出してアップロード遮断を行うことで、安全な利用を促進します。
詳細を見る資料ダウンロード
企業のIT活用をトータルサービスで全国各地よりサポートします。
JBCC株式会社は、クラウド・セキュリティ・超高速開発を中心に、システムの設計から構築・運用までを一貫して手掛けるITサービス企業です。DXを最速で実現させ、変革を支援するために、技術と熱い想いで、お客様と共に挑みます。