IPA、情報セキュリティ10大脅威2026「AIの利用をめぐるサイバーリスク」が初ランクイン 求められる外部攻撃からの防御と内部のリテラシー強化

IPA（情報処理推進機構）は、情報セキュリティの脅威において、2025年に社会的影響が大きかったトピックスを「情報セキュリティ10大脅威 2026」としてまとめた。近年、利用が急速に広がっているAIの利用に関するリスクが初めてランクインした。

「情報セキュリティ10大脅威」とは、IPAが2006年から公表しているもので、前年に発生した情報セキュリティの事故や攻撃の状況などから、IPAが脅威候補を選定し、約250人の情報セキュリティ専門家で構成する「10大脅威選考会」の投票を経て決定したもの。組織と個人のそれぞれの切り口で発表している。
組織向けの脅威では、1位が「ランサム攻撃による被害」、2位が「サプライチェーンや委託先を狙った攻撃」となり、2023年以降ずっと上位を占めており、2025年もランサムウェアに感染した企業・組織が頻発し、取引先を含むサプライチェーン全体に深刻な影響を及ぼした事例も多く報告されている。
3位に初選出されたのが「AIの利用をめぐるサイバーリスク」。AIに対する不十分な理解に起因する意図しない情報漏えいや他者の権利侵害、AIが加工・生成した結果を十分に検証せず鵜呑みにすることにより生じる問題、AIの悪用によるサイバー攻撃の容易化、手口の巧妙化など、AIが関連したような脅威はジャンルを問わず幅広く発生しており、それがランキング上位に押し上げた。
組織向けの脅威では、これまでは外部からの攻撃に起因したものが多かったが、AIによるサイバーリスクは利用者の無理解や無意識で引き起こされるものも多く、これからのサイバーセキュリティは、外部からの攻撃への対処とともに、内部の組織や人間のリテラシー、理解を高めてリスクを減らすことが重要になってくる。
IPAも「組織向け脅威への対策は、セキュリティ対策情報を継続的に収集し、使用している機器やサービスに適切なセキュリティ対策を講じつつ、各脅威が自組織の事業や体制に、どのようなリスクがあるのかを洗い出すことが重要」とし、さらに「委託先を含むサプライチェーン上のリスクの洗い出しや対策状況の確認についても可能な限り同等に行うことが望まれる」としている。

https://www.ipa.go.jp/pressrelease/2025/press20260129.html