2026年に入り、日本のサイバーセキュリティを取り巻く環境はかつてないほど厳しさを増しています。IPA(情報処理推進機構)が発表した「情報セキュリティ10大脅威 2026」では、ランサムウェアによる被害が11年連続で1位となり、もはやあらゆる組織にとって「いつ被害に遭うか」という問題になりつつあります。本記事では、最新の脅威ランキング、2025〜2026年に発生した主要インシデント、そして日本が抱える構造的課題と今後の対策の方向性について包括的に解説します。
IPA 情報セキュリティ10大脅威 2026 ─ 注目すべき3つのポイント
IPAが毎年発表する「情報セキュリティ10大脅威」は、セキュリティ専門家約200名の投票に基づくランキングです。2026年版では、以下の点が特に注目されています。
1. ランサムウェア:11年連続の首位
「ランサムウェアによる被害」が組織向け脅威の1位を維持しました。近年のランサムウェア攻撃は単なるファイル暗号化にとどまらず、窃取したデータの公開を脅迫材料とする二重脅迫(ダブルエクストーション)が主流です。2025年からは、攻撃の初期侵入から暗号化までの時間が大幅に短縮され、検知・対応の猶予が少なくなっていることが報告されています。
2. サプライチェーン攻撃が2位に
「サプライチェーンや委託先を狙った攻撃」が2位にランクインしました。直接的なターゲットではなく、セキュリティ対策が手薄な取引先や委託先を踏み台にして、最終的に大企業や重要インフラに侵入する手法です。2025年には、委託先のシステムを経由した複数の大規模情報漏洩事案が確認されており、自社だけでなくサプライチェーン全体のセキュリティガバナンスが問われています。
3. 「AIの利用をめぐるサイバーリスク」が初選出
2026年版で最も注目すべきは、「AIの利用をめぐるサイバーリスク」が3位に初選出されたことです。生成AIの急速な普及に伴い、以下のようなリスクが顕在化しています。
- 攻撃者によるAIを活用したフィッシングメールの高度化(自然な日本語での大量生成)
- ディープフェイクを使ったビジネスメール詐欺(BEC)
- 社内データをAIサービスに入力することによる機密情報の意図しない漏洩
- AIが生成するコードに含まれる脆弱性の見落とし
従来のセキュリティ対策に加え、AI利用ポリシーの策定とAIリテラシー教育が急務となっています。
2025〜2026年 主要インシデントの振り返り
この1年で発生した主要なサイバーセキュリティインシデントを振り返ります。被害規模の大きさと、攻撃対象の多様化が際立っています。
アサヒグループホールディングス ─ 191万件超の情報漏洩
飲料大手のアサヒグループHDは、ランサムウェア攻撃により大規模な情報漏洩被害を受けました。当初は約11.5万件と発表されましたが、調査の進展に伴い最終的に約191.4万件にまで拡大しました。氏名、住所、電話番号、メールアドレスなどの個人情報が漏洩した可能性があり、グループ企業を横断する影響の大きさが改めてサプライチェーンリスクの深刻さを物語っています。
アドバンテスト ─ 半導体産業への脅威
2026年2月、半導体試験装置の世界的大手であるアドバンテストがランサムウェア攻撃を受けたことが判明しました。半導体産業は経済安全保障上の重要分野であり、製造業・ハイテク産業を標的とした攻撃の増加傾向を示す事例です。サプライチェーンへの波及が懸念されました。
日本医科大学武蔵小杉病院 ─ 医療機関への攻撃
医療機関を標的としたランサムウェア攻撃も相次いでいます。日本医科大学武蔵小杉病院では、患者情報の漏洩の可能性が指摘されました。医療機関は人命に直結するシステムを運用しているため、攻撃による業務停止の影響は計り知れません。医療分野のセキュリティ強化は喫緊の課題です。
日本航空 ─ 手荷物配送サービスの侵害
日本航空(JAL)では、手荷物配送サービスのシステムが外部から侵入を受け、約2.8万件の顧客情報が漏洩しました。航空業界は多くの外部委託サービスと連携しており、サプライチェーン上の弱点を突かれた形です。
日産 ─ ディーラー経由の顧客データ漏洩
日産自動車では、福岡のディーラーが管理する顧客データ約2.1万件が漏洩しました。自動車業界においても、販売店ネットワーク全体のセキュリティ水準をいかに均一に保つかが問われる事案となりました。
日本の構造的課題 ─ なぜ被害が止まらないのか
インシデントの増加は、日本のサイバーセキュリティ体制に根深い構造的課題があることを浮き彫りにしています。
深刻な人材不足:約11万人のギャップ
日本のサイバーセキュリティ人材は約11万人が不足しているとされています(ISC2推計、需給ギャップ97.6%)。これは先進国の中でも際立って高い不足率です。特に、インシデント対応やフォレンジック分析、クラウドセキュリティなどの高度な専門人材の確保が困難な状況が続いています。
セキュリティ人材の育成には時間がかかるため、短期的にはマネージドセキュリティサービス(MSSP)の活用や、既存IT人材のリスキリングが現実的な対策となります。
セキュリティ推進組織の未設置
KPMG Japanの調査によると、日本企業の39.4%がセキュリティ推進組織(CSIRT/SOC)を設置していないことが明らかになりました。セキュリティ専門の部門やチームが存在しない場合、脅威の検知・分析・対応が遅れ、被害が拡大する傾向があります。
特に中堅・中小企業では「セキュリティは情報システム部門の片手間」という状況が多く、経営層の関与とセキュリティ投資の意思決定が不十分であることが課題です。
VPN機器が最多の侵入経路
警察庁の調査によると、ランサムウェア被害の侵入経路として最も多いのがVPN機器の脆弱性を突いた攻撃です。コロナ禍以降、リモートワークの急速な普及に伴いVPN装置の導入が進みましたが、ファームウェアの更新やパッチ適用が追いついていないケースが多発しています。
特に、既知の脆弱性(CVE)が公開されてから数か月〜数年間パッチが適用されないまま放置されている機器が、攻撃者の格好の標的となっています。VPN機器の脆弱性管理と、ゼロトラストアーキテクチャへの移行が急務です。
「まだ遅れている」─ 日本のサイバーセキュリティ責任者の認識
政府のサイバーセキュリティ担当者からも「日本のサイバーセキュリティ対策はまだ遅れている」という率直な発言が出ています。欧米諸国と比較して、法制度の整備、官民の情報共有体制、攻撃への対抗措置のいずれにおいても改善の余地があるのが現状です。
対策と今後の展望
厳しい状況の中で、政府・民間ともに対策の強化が進んでいます。
基本対策の徹底
高度な攻撃であっても、侵入の起点は基本的な対策の不備であることが多いです。以下の対策を確実に実施することが、被害を防ぐ最も効果的な方法です。
- パッチ適用の迅速化:特にVPN、ファイアウォール、リモートアクセス機器は公開後72時間以内の適用を目標に
- 多要素認証(MFA)の導入:パスワードのみの認証は全面的に見直し
- 最小権限の原則:管理者権限の棚卸しと不要な特権の削除
- バックアップの3-2-1ルール:3つのコピー、2種類のメディア、1つはオフサイト保管
- ネットワーク分離:重要システムのセグメンテーションによる被害範囲の限定
新サイバーセキュリティ戦略の始動
2025年12月に閣議決定された新サイバーセキュリティ戦略では、以下の方針が示されています。
- 重要インフラ防護の強化と対象分野の拡大
- サイバーセキュリティ人材の育成・確保の加速
- 国際連携の深化(特にインド太平洋地域)
- サイバー空間における法の支配の推進
能動的サイバー防御への転換
従来の「受動的防御」から「能動的サイバー防御」(Active Cyber Defense / ACD)への転換が図られています。これは、攻撃の予兆を検知し、攻撃元のインフラに対して無害化措置を講じる能力を国として持つことを意味します。法的な整備も進められており、日本のサイバーセキュリティ政策の大きな転換点となる見通しです。
2026年秋:官民連携の新協議会
2026年秋には、官民連携の新たなサイバーセキュリティ協議会の立ち上げが予定されています。この協議会は、脅威情報の共有、インシデント対応の連携、ベストプラクティスの普及を目的とし、業種を横断した情報共有の仕組みを構築する計画です。
まとめ:すべての組織が「当事者」
2026年のサイバーセキュリティ動向を俯瞰すると、以下の3点が明確です。
- ランサムウェアは最大の脅威であり続ける:業種・規模を問わず、すべての組織が標的になり得る
- AIが攻撃と防御の両面を変える:AIを活用した攻撃の高度化に対し、防御側もAIの活用が不可欠に
- 基本対策の徹底が最大の防御:高度な対策の前に、パッチ適用・MFA・権限管理という基本の徹底が最も効果的
サイバーセキュリティは、もはやIT部門だけの課題ではなく、経営課題そのものです。経営層がリスクを正しく認識し、適切な投資と体制構築を行うことが、組織を守る第一歩となります。