今年は「AIの利用をめぐるサイバーリスク」が初選出でいきなり3位にランクインするという変化がありました。

ランキングの全体像をお伝えしつつ、このAIリスクにフォーカスして解説します。

2026年版の全体像

ランサム攻撃が4年連続1位、サプライチェーン攻撃が4年連続2位と、上位の"常連"は変わりません。
2025年もアサヒグループやアスクルなど大手企業がランサム被害を公表しており、脅威は健在です。

一方、3位にAIリスクが初登場。これは生成AIの業務利用が急速に広がった2025年の状況を強く反映しています。

AIリスクが急浮上した3つの理由

1. シャドーAIによる情報漏えい

会社が公認していないAIサービスを従業員が個人アカウントで業務に使ってしまうケースです。
ある調査では、業務でAIにデータを入力している人の82%が管理されていないアカウントで利用していたとのこと。
社外秘資料が知らぬ間にAIの学習データに取り込まれるリスクがあります。

【ハマりどころ】
AI利用ポリシーを策定しても、学習データへの取り込みを除外する「オプトアウト設定」が漏れていると効果がありません。
契約時の利用規約確認とCASBでの可視化が重要です。

2. ハルシネーション

2025年、米国で弁護士が生成AIで作成した意見書に実在しない判例が引用されていた事例が話題になりました。
AIの出力は説得力があるだけに、業務では必ず人間がファクトチェックする体制が必要です。

3. AI悪用による攻撃の高度化

攻撃者もAIを活用しています。
翻訳機能で違和感のない日本語フィッシングメールが簡単に作れるようになったほか、AIシステム自体への攻撃として「間接プロンプトインジェクション」という手法も登場。
メール内の見えない指示でAIが機密情報を外部送信してしまう脆弱性も報告されており、完璧な対策がまだない状況です。

 

VPN経由の侵入が8割超、基本対策の徹底を

AIに注目が集まりますが、従来の脅威も深刻です。
警察庁統計では、ランサムウェア感染経路のうちVPN機器とリモートデスクトップ経由が8割超を占めており、この比率は年々上昇しています。
ソフトウェア更新、多要素認証、バックアップ運用の徹底が引き続き最重要です。

情シス担当が今やるべき3つのこと

10大脅威2026を踏まえた優先アクションは、AI利用ポリシーの策定と周知、ネットワーク機器の脆弱性管理の徹底、インシデント対応体制の定期見直しの3つです。
基本的なことばかりですが、これを継続的に実施できる体制を作れるかが勝負の分かれ目です。

とはいえ、すべてを自社だけで対応し続けるのは負担が大きいですよね。
特にSOC運用は24時間365日の監視が求められ、担当者の疲弊が課題になりがちです。
セキュリティ運用に不安がある場合は、専門企業にSOC運用を任せるという選択肢もぜひ検討してみてください。
専門家に頼ることが、実は最短ルートになることも多いです。

Colorkrew Securityでは、お客様の環境に合わせたSOCサービスを提供しています。お気軽にご相談ください。

▶ お問い合わせはこちら: https://colorkrew-security.com

※本記事はIPA「情報セキュリティ10大脅威2026 解説書(組織編)」を参考に作成しています。
出典:IPA「情報セキュリティ10大脅威2026」 https://www.ipa.go.jp/security/10threats/10threats2026.html