情報セキュリティ10大脅威 2026 ── ランキングの眺め方と、中小企業が本当に対策すべきもの

· · 情報セキュリティ, セキュリティ対策, 10大脅威, ランサムウェア, サプライチェーン攻撃, AI, 中小企業, IPA, B2B

「ランサムウェア」「サプライチェーン攻撃」「AIのリスク」。ニュースで見かける言葉が自社にどれだけ関係あるのか、判断がつかないまま流している方は多いと思います。

その判断の材料として毎年使えるのが、IPA(独立行政法人情報処理推進機構)が公表する情報セキュリティ10大脅威です。前年に社会的影響が大きかった脅威を、研究者や企業の実務担当者など約250名の選考会が審議・投票で選ぶもので、2026年版は2026年1月29日に公開されました。

この記事では、2026年版の組織編トップ10を眺めたうえで、中小企業がどれを自分事として、何から手を付けるべきかを整理します。

1.まず結論

  • 2026年版の組織編は、1位ランサム攻撃(11年連続)、2位サプライチェーン攻撃(8年連続)と、上位の顔ぶれが固定化している。つまり「流行が変わった」のではなく「同じ攻撃が効き続けている」
  • 初選出の「AIの利用をめぐるサイバーリスク」が3位。攻撃者のAI悪用だけでなく、自社の従業員のAI利用による情報漏えいも含む
  • 中小企業にとって特に関係が深いのは、ランサム攻撃、サプライチェーン攻撃(狙われる側として)、脆弱性悪用、ビジネスメール詐欺
  • 上位の脅威の多くは、OS・ソフトの更新、バックアップ、パスワード強化、手口を知ることといった基本対策が土台。ランキングを見て新しい製品を買う前に、基本の徹底度を確認する
  • ランキングは「自社の対策を年1回見直すきっかけ」として使う。順位そのものより、自社で起きたときの影響で優先度を決める

2.組織編トップ10(2026年版)

順位 脅威 選出状況
1 ランサム攻撃による被害 11年連続11回目
2 サプライチェーンや委託先を狙った攻撃 8年連続8回目
3 AIの利用をめぐるサイバーリスク 初選出
4 システムの脆弱性を悪用した攻撃 6年連続9回目
5 機密情報を狙った標的型攻撃 11年連続11回目
6 地政学的リスクに起因するサイバー攻撃 2年連続2回目
7 内部不正による情報漏えい等 11年連続11回目
8 リモートワーク等の環境や仕組みを狙った攻撃 6年連続6回目
9 DDoS攻撃 2年連続7回目
10 ビジネスメール詐欺 9年連続9回目

なお個人編もありますが、こちらは順位を付けず五十音順で10項目が示される形式です。「順位が低いから安心」という誤読を避けるための工夫で、この考え方は組織編の読み方にもそのまま当てはまります。

一覧を眺めて分かるのは、顔ぶれの固定化です。1位と2位は4年以上順位が変わらず、トップ10の大半が5年以上選出され続けています。攻撃の手口は年々巧妙になっていますが、「何が狙われるか」は変わっていません。つまり対策の方向性も、毎年ゼロから考え直す必要はなく、基本の徹底度を上げ続けることが中心になります。

3.中小企業の目線で見る上位の脅威

1位 ランサム攻撃 ── 「データを人質に事業を止める」

データを暗号化するなどして身代金を要求する攻撃です。大企業だけの話ではなく、セキュリティ対策が手薄な中小企業は、侵入しやすい標的として狙われます。被害は情報漏えいにとどまらず、受注も出荷もできない事業停止に直結します。

対策の柱は、侵入経路をふさぐこと(VPN機器やOS・ソフトの更新、パスワード強化)と、侵入されても事業を再開できる備え(バックアップの取得・隔離保管・復旧確認)です。IPAの「中小企業の情報セキュリティ対策ガイドライン」第4.0版が「情報セキュリティ6か条」に「バックアップを取ろう!」を追加したのは、まさにこの脅威への備えです(詳しくはガイドライン第4.0版の解説記事をご覧ください)。

2位 サプライチェーンや委託先を狙った攻撃 ── 中小企業は「入口」として狙われる

標的の企業を直接攻めるのではなく、セキュリティの弱い取引先や委託先を踏み台にして侵入する攻撃です。中小企業にとってこの脅威は、「自社が被害に遭う」だけでなく「自社が取引先への加害の入口にされる」という二重の意味を持ちます。

取引先からセキュリティチェックシートが届くようになったのは、この流れです。今後、サプライチェーン全体で対策水準を確認する動きは強まることはあっても弱まることはありません。自社の対策を進めて説明できる状態にしておくことが、セキュリティ対策であると同時に取引を続けるための営業要件になりつつあります。

3位 AIの利用をめぐるサイバーリスク ── 初選出

初めて脅威候補になり、いきなり3位に入りました。内容は攻撃と利用の両面にまたがります。IPAのプレス発表では、AIへの不十分な理解に起因する意図しない情報漏えいや他者の権利侵害、AIが加工・生成した結果を十分に検証せず鵜呑みにすることで生じる問題、AIの悪用によるサイバー攻撃の容易化・手口の巧妙化が挙げられています。

中小企業にとって現実的な論点は、攻撃者のAI利用そのものより、自社の従業員の生成AI利用です。顧客情報や設計情報をAIサービスに入力してよいのか、生成された文章やコードを検証せずに使ってよいのか。禁止一辺倒でも放任でも事故につながるため、「何を入力してよいか」「結果をどう確認するか」の簡単な社内ルールを決めることが第一歩になります。

4位 システムの脆弱性を悪用した攻撃 ── 「更新の放置」が入口になる

ソフトウェアの既知の弱点を突く攻撃です。修正プログラムが公開済みなのに適用されていない機器・ソフトが狙われます。VPN機器、サポートの切れたOS、更新が止まったWordPressサイトなどが典型です。

これは技術的に高度な話ではなく、「更新を誰がいつやるか決まっているか」という運用の問題です。自社のWebサイトが該当しそうな方は、IPA「安全なウェブサイトの作り方」の解説記事もあわせてご覧ください。

7位 内部不正・10位 ビジネスメール詐欺 ── 人と手続きの脅威

内部不正による情報漏えいは、退職者による顧客データの持ち出しなど、従業員・元従業員が関わる脅威です。アクセス権限の整理、退職時のアカウント停止、廃棄PCのデータ消去といった、地味な手続きの積み重ねが対策になります。

ビジネスメール詐欺は、取引先や経営者になりすまして偽の振込先へ送金させる詐欺です。技術対策と同時に、「振込先の変更は必ず電話で確認する」のような業務ルールが決定打になります。メール運用の見直しでは、PPAPをやめる話も同じ文脈で検討できます。

4.ランキングの正しい使い方

10大脅威は毎年話題になりますが、使い方を誤ると「今年の1位向けの製品を買って安心する」という本末転倒が起きます。IPAが強調しているのは、脅威の情報を継続的に収集し、自組織に関係する脅威のリスクを洗い出して対策することです。

実務的には、次の年中行事にするのが現実的です。

  • 毎年1月末の公表時に、トップ10を眺めて「自社で起きたら何が止まるか」を一つずつ考える
  • 自社に関係が深い脅威について、基本対策(OS・ソフトの更新、バックアップ、パスワード、共有設定、手口を知る)の徹底度を確認する
  • 不足があれば、中小企業の情報セキュリティ対策ガイドラインの自社診断と付録を使って埋める

IPAは組織編の解説書(64ページ)やプレゼン資料も無償公開しており、朝礼や社内研修の教材としてそのまま使えます。「脅威や攻撃の手口を知ろう」は情報セキュリティ6か条の1項目でもあり、10大脅威を年1回社内で共有するだけでも、その実践になります。

まとめ

情報セキュリティ10大脅威2026のポイントを整理します。

  • 組織編は1位ランサム攻撃、2位サプライチェーン攻撃、3位に初選出のAIリスク。上位は数年来固定化しており、「同じ攻撃が効き続けている」ことを示している
  • 中小企業はランサム・サプライチェーン・脆弱性悪用・ビジネスメール詐欺を特に自分事として見る
  • AIリスクは攻撃面だけでなく、従業員の生成AI利用による情報漏えい・鵜呑みも含む。簡単な社内ルールから始める
  • 上位脅威の対策の土台は基本対策の徹底。ランキングは年1回の見直しのきっかけとして使う
  • 順位は「社会全体での影響」の順であって、自社にとっての優先順位は業務への影響から自分で決める

自社に関係する脅威の洗い出しでお困りの方へ

「どの脅威が自社に関係するか」を判断するには、自社のシステム構成と業務の流れを把握している必要があります。VPNはあるか、古いソフトはどこで動いているか、バックアップは戻せるか──この洗い出しは、一般論ではなく個別の確認作業です。

合同会社小村ソフトでは、Windows業務アプリやWebシステムの開発・保守の経験をもとに、業務システムまわりのリスクの洗い出しと、更新が止まった既存ソフトの改修・保守のご相談をお受けしています。「何から確認すればよいか分からない」という段階からでもご相談いただけます。

同じタグを共有する最新の記事です。さらに近い話題で知識を深められます。

中小企業のセキュリティ対策、何から始めるか ── IPA「中小企業の情報セキュリティ対策ガイドライン」第4.0版の歩き方

中小企業のセキュリティ対策は何から始めるべきでしょうか。2026年3月に約3年ぶりに改訂されたIPA「中小企業の情報セキュリティ対策ガイドライン」第4.0版をもとに、情報セキュリティ6か条、5分でできる自社診断、SECURITY ACTIONまで、お金をかけずに段階的に進め...

ホームページの発注側も知っておきたい ── IPA「安全なウェブサイトの作り方」をチェックリストとして使う

会社のホームページやWebシステムのセキュリティは、何を基準に確認すればよいのでしょうか。IPA「安全なウェブサイトの作り方」が取り上げる11の脆弱性と対策の考え方を、制作を発注する側・サイトを運営する側にも分かる言葉で解説し、発注・検収・運用での使い方を紹介します。

「何秒で動けば満足か」を決め忘れないために ── IPA「非機能要求グレード」で非機能要件を整理する

システム開発で「速度が遅い」「障害対応が想定外」と揉める原因の多くは、非機能要件の決め忘れです。IPAが公開する「非機能要求グレード」の6大項目、グレード表とモデルシステムの使い方、中小企業の業務アプリでの現実的な活用方法を、発注側にも分かりやすく解説します。

受託開発・運用保守の契約はどう結ぶべきか ── IPA「モデル取引・契約書」に学ぶ準委任と請負の使い分け

システム開発を外部に委託するとき、契約はどう結ぶべきでしょうか。IPAが公開する「情報システム・モデル取引・契約書」をもとに、多段階契約の考え方、準委任と請負の違い、運用保守契約で決めておくべきことを、発注側にも分かりやすく解説します。

このテーマと近いトピックページです。記事を起点に、関連するサービスや他の記事へ進めます。

この記事は次のサービスページにつながります。近い入口からご覧ください。

よくある質問

この記事のテーマについて、相談時によくある質問をまとめています。

情報セキュリティ10大脅威とは何ですか?
IPA(独立行政法人情報処理推進機構)が毎年公表している、前年に社会的な影響が大きかった情報セキュリティの脅威のランキングです。IPAが脅威候補を選定し、研究者や企業の実務担当者など約250名で構成される「10大脅威選考会」の審議・投票で決定されます。組織編と個人編があり、2026年版は2026年1月29日に公開されました。組織編では解説書やプレゼン資料も無償公開されており、社内教育にも使えます。
2026年版の組織編で新しく入った脅威はありますか?
「AIの利用をめぐるサイバーリスク」が初めて脅威候補となり、いきなり3位に選出されました。AIへの不十分な理解に起因する意図しない情報漏えいや他者の権利侵害、AIが生成した結果を検証せずに鵜呑みにすることで生じる問題、AIの悪用によるサイバー攻撃の容易化・手口の巧妙化といった、利用面と攻撃面の両方のリスクが含まれています。
中小企業はランキングのどれから対策すべきですか?
順位よりも「自社で起きたときの影響」で選ぶのが基本ですが、多くの中小企業に共通して関係が深いのは、1位のランサム攻撃(バックアップと入口対策)、2位のサプライチェーン攻撃(取引先として狙われる・対策を求められる)、4位のシステムの脆弱性を悪用した攻撃(VPN機器や古いソフトの放置)、10位のビジネスメール詐欺(振込先変更などの騙し)です。いずれも、OSやソフトの更新・バックアップ・パスワード強化といった基本対策が土台になります。
ランキング外の脅威は無視してよいですか?
よくありません。10大脅威はあくまで前年に社会的影響が大きかったものの順位であり、自社にとっての重要度はランキングとは別です。IPAも、脅威の情報を継続的に収集し、自組織に関係する脅威のリスクを洗い出して対策することの重要性を強調しています。ランキングは「世の中の傾向を知り、自社の対策を見直すきっかけ」として使うのが適切です。

著者プロフィール

記事の著者プロフィールページです。

小村 豪

合同会社小村ソフト 代表

Windows ソフト開発、技術相談、不具合調査を中心に、既存資産が残る案件や原因が見えにくい障害調査に強みがあります。

ブログ一覧に戻る