2026年版のIPA(独立行政法人 情報処理推進機構)「情報セキュリティ10大脅威 2026」組織編が公開され、ランキングに一つの転換点が現れました。
4年連続で1位・2位を占めるランサム攻撃とサプライチェーン攻撃という「定番」の上位に割り込む形で、初選出の「AIの利用をめぐるサイバーリスク」がいきなり3位に食い込んだのです。
この記事では、組織編10項目を順位順に整理し、各脅威を「攻撃者ならどこを突いてくるか」という視点で読み解きます。
そのうえで、情シス1人・専任なしの中小企業でも優先順位を付けて手を打てるよう、上位脅威から先に潰す現実的な対策の組み立て方までを解説します。一次情報はIPA公式の組織編解説資料に拠っています。
組織編10大脅威ランキング2026の全体像
まず、IPAが公表した組織編の正式な順位を確認します。組織編は個人編と違い、社会的影響の大きさを基準に約250名規模の選考会が審議・投票して順位を決める方式です(出典: IPA公式 / NRIセキュア / マネーフォワード Admina)。
| 順位 | 脅威名 | 攻撃者から見た狙い |
|---|---|---|
| 1 | ランサム攻撃による被害 | 事業停止という最大の圧力で身代金を引き出す |
| 2 | サプライチェーンや委託先を狙った攻撃 | 守りの薄い取引先を踏み台に本命へ侵入する |
| 3 | AIの利用をめぐるサイバーリスク(初選出) | 生成AIで攻撃を量産し、AI導入企業の穴を突く |
| 4 | システムの脆弱性を悪用した攻撃 | 未パッチの既知脆弱性を機械的に探して入る |
| 5 | 機密情報を狙った標的型攻撃 | 特定組織を長期間かけて静かに侵食する |
| 6 | 地政学的リスクに起因するサイバー攻撃(情報戦を含む) | 国家背景の攻撃者が混乱や情報操作を狙う |
| 7 | 内部不正による情報漏えい等 | 正規の権限を持つ内部の人間が持ち出す |
| 8 | リモートワーク等の環境や仕組みを狙った攻撃 | VPN・在宅端末という境界の弱点を突く |
| 9 | DDoS攻撃(分散型サービス妨害攻撃) | 大量通信でサービスを止め、業務を妨害する |
| 10 | ビジネスメール詐欺 | 取引のなりすましで送金を直接だまし取る |
このランキングで最も注目すべきは、1位と2位が4年連続で固定されている一方、3位に初選出の脅威が入ってきた点です。
上位2つが動かないのは「ランサムとサプライチェーンへの備えは、もはや当たり前にやるべき守りの土台」だという裏返しです。そのうえで、攻撃の手口を一段押し上げる新しい変数として「AIの悪用」が組織編の上位に組み込まれた、という構図で読むと全体像がつかみやすくなります。
なお、ランキングは「順位が低い=安全」を意味しません。10位のビジネスメール詐欺は1件あたりの金銭被害が非常に大きく、業種によっては最優先で備えるべき脅威です。順位はあくまで社会全体での影響の大きさの目安であり、自社の業種・取引構造に当てはめて読み替える必要があります。
上位3脅威を攻撃者視点で読み解く
限られた人手と予算で守る以上、まず効くのは上位脅威への集中投資です。ここでは1位から3位を、攻撃側がどこを突いてくるかという視点で掘り下げます。
1. ランサム攻撃による被害(4年連続1位)
ランサム攻撃は、社内のデータを暗号化して使えなくし、復旧と引き換えに身代金を要求する攻撃です。
4年連続で1位を維持している理由は単純で、攻撃者にとって「最も確実に金になる」からです。事業が止まれば、企業は一刻も早い復旧のために支払いを検討せざるを得なくなります。この「事業停止という圧力」こそが攻撃者の武器です。
近年の手口は、データを暗号化するだけでなく、盗み出したデータを「公開するぞ」と脅す二重恐喝が主流になっています。
攻撃者の侵入経路は、ほとんどがVPN機器の脆弱性、漏えいした認証情報による不正ログイン、フィッシングメールの3つに集約されます。つまり、入口さえ固めれば被害確率は大きく下げられるということです。
守る側の最優先は、バックアップの設計です。攻撃者は復旧手段を奪うため、バックアップそのものを暗号化・削除しにきます。本番環境から切り離した(オフラインまたは書き換え不可の)バックアップを必ず1系統持つことが、身代金を払わずに復旧できる分かれ目になります。バックアップ設計の具体的な組み方は、後段の中小企業向けロードマップで触れます。
2. サプライチェーンや委託先を狙った攻撃(4年連続2位)
サプライチェーン攻撃は、本命の企業を直接狙うのではなく、その取引先・委託先・利用ソフトウェアといった「つながりの中の弱い環」を踏み台にして侵入する攻撃です。
2位に居座り続ける理由は、大企業ほど自社の防御が固い一方、そこに部品・サービスを納める中小の取引先は守りが手薄になりがちで、攻撃者にとって「正面突破より楽な裏口」だからです。
攻撃者の視点で見ると、狙いは2方向あります。一つは、中小企業を踏み台にして本命の大企業ネットワークへ横展開する経路侵入。もう一つは、広く使われるソフトウェアやライブラリに不正コードを仕込み、それを取り込んだ多数の企業を一気に汚染するソフトウェア汚染です。
後者は、正規のアップデートに見せかけて配信されるため、利用側が気づくのは極めて困難です。
この脅威で見落とされやすいのが「自社が踏み台にされる側」の視点です。
中小企業にとっては、自社が侵害されること自体の損害に加え、取引先への加害者になってしまうリスクがあります。取引先から「セキュリティ要件を満たしているか」を問われる場面は今後さらに増えるため、自社の守りは取引継続の条件そのものになりつつあります。委託先管理とソフトウェア部品の把握(どのライブラリを使っているかのリスト化)が、地味ですが効く対策です。
3. AIの利用をめぐるサイバーリスク(初選出・3位)
2026年版で初めてランクインし、いきなり3位に入ったのがこの脅威です。生成AIが業務に急速に浸透したことを、攻撃と防御の両面が映し出した結果と言えます。
ここでの「AIの利用をめぐるリスク」は、大きく2つの側面に分けて理解すると整理しやすくなります。
一つ目は、攻撃者がAIを使って攻撃を高度化・量産する側面です。
生成AIは、自然で見抜きにくいフィッシングメールの文面を大量に作り、ディープフェイクで音声や映像を偽装し、マルウェアのコードを補助的に生成することにも使えます。攻撃の「質と量」を同時に押し上げる道具として悪用される点が脅威の本質です。
二つ目は、自社がAIを導入したことで新たに生まれる穴です。
代表例がプロンプトインジェクションと呼ばれる攻撃で、AIへの指示文に悪意ある命令を紛れ込ませ、本来出してはいけない社内情報を吐き出させたり、想定外の操作をさせたりする手口です。さらに、社員が業務データを安易に外部のAIサービスへ入力してしまう情報漏えい、いわゆるシャドーAI(会社が把握していないAI利用)の問題も、この脅威に含まれます。
守る側の要点は、AIを「禁止」するのではなく「統制下で使わせる」ことです。
どのAIサービスを業務で使ってよいか、何を入力してはいけないかを明文化したルールを先に整え、その範囲で活用を進める。AI時代の防御は、技術対策よりまずガバナンス(利用ルールと運用体制)の整備が先に来ます。AIエージェントを業務に組み込む際の見えにくい攻撃面については、当サイトのAIエージェントの見えない攻撃とセキュリティ負債でも攻撃者視点で詳しく扱っています。
PR
情報セキュリティ白書2025(独立行政法人情報処理推進機構 著)
10大脅威の背景にある脅威動向を、地政学リスク・AI悪用・セキュア・バイ・デザインまで横断的に俯瞰できるIPA公式の年次資料です。組織編ランキングを「なぜこの順位なのか」まで理解したい担当者の副読本に向いています。
4位以下の脅威も外せない理由
上位3つに集中投資するのが基本ですが、4位以下を軽視すると足元をすくわれます。攻撃者は「順位」ではなく「狙いやすさ」で標的を選ぶため、自社にとっての優先度は順位とずれることがあります。
4位・5位|脆弱性悪用と標的型攻撃
4位の「システムの脆弱性を悪用した攻撃」は、未パッチの既知脆弱性を狙うものです。
攻撃者は、新しい脆弱性が公表されると、それを悪用するツールを使ってインターネット全体を機械的にスキャンし、対策が遅れた組織を見つけ次第攻め込みます。公表から悪用開始までの時間は年々短くなっており、「パッチ適用の速さ」がそのまま防御力になります。
5位の「機密情報を狙った標的型攻撃」は、特定の組織を狙い撃ちにし、時間をかけて静かに侵入・潜伏する攻撃です。
入口は巧妙に作り込まれたメールであることが多く、一度侵入されると数か月単位で気づかれないまま情報を抜かれ続けることもあります。検知が難しい以上、「侵入される前提」でログ監視や異常な通信の検知を備えておく姿勢が重要になります。
6位・7位|地政学リスクと内部不正
6位の「地政学的リスクに起因するサイバー攻撃(情報戦を含む)」は、2026年版で「情報戦を含む」という表現が加わり、順位を一つ上げて6位になりました。
国家を背景とする攻撃者によるインフラ妨害や、偽情報の拡散による社会混乱までが射程に入っています。中小企業が直接の標的になることは多くないものの、取引先やインフラ経由で間接的な影響を受ける可能性は念頭に置くべきです。
7位の「内部不正による情報漏えい等」は、正規の権限を持つ社員や元社員、委託先の人間が情報を持ち出す脅威です。
外部からの攻撃と違い、もともとアクセス権を持つ人物が起こすため、技術的な防御をすり抜けやすいのが厄介な点です。退職時のアカウント即時失効、アクセス権限の最小化(必要な人に必要な範囲だけ)、操作ログの記録という基本の徹底が効きます。内部不正の手口と対策は、当サイトのインサイダー脅威(内部不正)とはでも詳しく解説しています。
8位・9位・10位|リモートワーク・DDoS・BEC
8位の「リモートワーク等の環境や仕組みを狙った攻撃」は、在宅勤務で使うVPN機器や自宅端末という、社内ネットワークの「境界の穴」を突く攻撃です。VPN機器の脆弱性は、1位のランサム攻撃の主要な侵入口とも重なっており、ここを固めることは複数の脅威への同時対策になります。
9位の「DDoS攻撃」は、大量の通信を浴びせてサービスを停止させる攻撃です。直接的な情報窃取はないものの、ECサイトや予約システムなど「止まると即売上が消える」事業では深刻な打撃になります。
10位の「ビジネスメール詐欺」は、取引先や経営者になりすました偽メールで送金や情報提供をだまし取る手口です。順位は最下位ですが、1件あたりの被害額は数百万円から時に億単位に達し、技術ではなく「人の確認プロセス」で防ぐ脅威です。送金前の電話確認など、運用ルールでの歯止めが最も効きます。
中小企業・情シス1人が優先すべき対策ロードマップ
10項目すべてに一度に手を付けるのは現実的ではありません。上位脅威に共通する「攻撃者の入口」を塞ぐことから始めると、少ない労力で複数の脅威に効きます。優先度順に3つのフェーズで整理します。
フェーズ1|入口を塞ぐ(最優先・コスト低)
まず手を付けるべきは、ランサム・脆弱性悪用・リモートワーク狙いに共通する「侵入口」の3点です。
・多要素認証の全面導入: 漏えいしたパスワードによる不正ログインを止める最も費用対効果の高い一手。VPN・クラウドサービス・メールの3つは最優先
・VPN機器・公開サーバのパッチ即時適用: 攻撃者が真っ先に狙う入口。脆弱性公表から適用までの時間を最短化する運用を決める
・オフラインバックアップの確保: 本番から切り離した書き換え不可のバックアップを1系統持ち、復元できるか実際にテストする
フェーズ2|被害を広げない仕組み(中コスト)
入口を固めたら、侵入されても被害を局所化する備えに移ります。
・権限の最小化: 社員・委託先に「必要な範囲だけ」のアクセス権を与え、内部不正と横展開の両方を抑える
・ログの記録と監視: 標的型攻撃や内部不正は「気づけるか」が勝負。最低限、認証ログとファイルアクセスログを残す
・AI利用ルールの明文化: 業務で使ってよいAIサービスと、入力禁止のデータを定め、シャドーAIを統制下に置く
フェーズ3|運用と取引先まで広げる(継続)
最後に、人と取引構造に関わる脅威への備えを継続課題として組み込みます。
・送金・情報提供の確認プロセス: ビジネスメール詐欺対策として、メール以外の手段での二重確認を運用ルール化する
・委託先のセキュリティ点検: 取引先に最低限のセキュリティ要件を求め、自社が踏み台にされないかを定期確認する
・定期的な教育と訓練: フィッシング訓練や、脅威リストを使った継続的な啓発で「人の隙」を埋める
この3フェーズは、上から順に「攻撃者が最初に狙う場所」から塞ぐ設計になっています。
ランサム攻撃の主要侵入口(VPN脆弱性・認証情報・フィッシング)を起点に、それらに共通して効く対策から固めていくことで、限られたリソースでも組織編10大脅威の大半をカバーできます。バックアップを軸にしたランサム対策の具体的な組み立ては、当サイトの中小企業のバックアップ戦略|3-2-1ルールもあわせて参考にしてください。
PR
中堅・中小企業のための サイバーセキュリティ対策の新常識(那須慎二 著)
専任のセキュリティ担当がいない中小企業を前提に、経営者・情シスが何から手を付ければよいかを平易にまとめた一冊。本記事のロードマップと並べて読むと、優先順位の判断軸が固まります。
個人編との読み合わせで防御の死角を消す
組織編のランキングは「会社として何を守るか」の地図ですが、その守りの起点は結局のところ社員一人ひとりの行動です。
組織編で上位に並ぶランサム・サプライチェーン・標的型攻撃は、入口をたどると「社員が踏んだフィッシング」「使い回したパスワード」「私物端末の不正アプリ」といった個人領域の隙に行き着くことが少なくありません。
IPAは組織編と並行して個人編も公開しており、こちらは社員教育・家族のリテラシー啓発にそのまま使える教材として作られています。
組織編で全体方針を立て、個人編で現場の一人ひとりに落とし込む。この両輪で初めて、ランキング上位の脅威に対する守りが現場まで届きます。個人編を社内研修やチーム教育の教材に組み立てる具体的な方法は、当サイトのIPA「情報セキュリティ10大脅威 2026」個人編|実務者がチーム教育に使う組立方で詳しく解説しています。組織編の対策設計とあわせて読むことで、方針と現場行動の両面から死角を消せます。
よくある質問(FAQ)
Q1. 組織編と個人編は何が違うのですか?
A. 組織編は企業・団体が守るべき脅威を社会的影響の大きさで順位付けしたもので、本記事が扱う10項目です。個人編は個人が遭いやすい脅威を五十音順(順位なし)で並べたもので、社員教育や家族向け啓発の教材に向いています。情シス・経営層は組織編から、一般社員には個人編から渡すのが定番です。
Q2. なぜ1位と2位が4年連続で同じなのですか?
A. ランサム攻撃とサプライチェーン攻撃は、攻撃者にとって金銭化しやすく成功率も高いため、被害が継続的に発生しているからです。順位が動かないのは「もはや当たり前に備えるべき土台」であることの裏返しと捉えるべきです。
Q3. 3位の「AIの利用をめぐるサイバーリスク」とは具体的に何ですか?
A. 大きく2つあります。攻撃者がAIでフィッシング文面やディープフェイクを量産する「攻撃の高度化」と、自社のAI導入で生まれるプロンプトインジェクションやシャドーAIによる情報漏えいです。2026年版で初めてランクインし、いきなり3位に入りました。
Q4. 順位が低い脅威は対策しなくてよいですか?
A. いいえ。順位は社会全体での影響の大きさの目安であり、自社のリスクとは別物です。たとえば10位のビジネスメール詐欺は1件の被害額が大きく、送金業務の多い企業では最優先で備えるべき脅威です。自社の業種・取引構造に当てはめて読み替えてください。
Q5. 専任のセキュリティ担当がいません。まず何から始めるべきですか?
A. 本記事のフェーズ1、すなわち「多要素認証の全面導入」「VPN機器・公開サーバのパッチ即時適用」「オフラインバックアップの確保」の3点から始めてください。これらは上位脅威の侵入口に共通して効くため、少ない労力で複数の脅威を同時にカバーできます。
Q6. ランサム対策でいちばん大事なことは何ですか?
A. 本番環境から切り離した、書き換え不可(またはオフライン)のバックアップを1系統持ち、実際に復元できるかをテストしておくことです。攻撃者はバックアップごと暗号化・削除しにくるため、切り離されたバックアップの有無が「身代金を払わずに復旧できるか」の分かれ目になります。
Q7. 10大脅威は毎年どのように決まるのですか?
A. 前年に社会的影響が大きかった事案をもとに、約250名規模の選考会が候補を審議・投票して順位を決定します。組織編は企業視点での影響度を基準に順位付けされる点が、順位を付けない個人編との大きな違いです。
本記事のまとめ
IPA「情報セキュリティ10大脅威 2026」組織編は、4年連続1位のランサム攻撃と2位のサプライチェーン攻撃という土台の上に、初選出のAI利用リスクが3位として加わった構図が最大の特徴です。
攻撃者はAIによって攻撃の質と量を同時に押し上げており、守る側も技術対策に加えて「AIをどう統制下で使わせるか」というガバナンスが問われる段階に入りました。
限られた人手で守るなら、まず上位脅威に共通する侵入口を塞ぐことです。多要素認証・パッチ即時適用・オフラインバックアップの3点をフェーズ1として固め、続いて権限最小化とログ監視で被害を局所化し、最後に取引先点検と継続教育へ広げる。この順番が、組織編10項目の大半を効率よくカバーする現実的な道筋になります。
そして、組織編で立てた方針は、個人編で社員一人ひとりの行動に落とし込んで初めて現場まで届きます。ランキングを「眺めて終わり」にせず、自社の優先順位に翻訳し、今期の対策計画へ組み込んでいきましょう。
