AIめぐるリスク 組織向け3位に
独立行政法人情報処理推進機構(IPA)では、情報セキュリティ対策の普及を目的として2006年から、前年に発生した情報セキュリティ事故や攻撃の状況などを「情報セキュリティ10大脅威」として公表している。1月29日に公表した「情報セキュリティ10大脅威2026」は、25年に発生したセキュリティ事故や攻撃の状況などからIPAが脅威候補を選定し、情報セキュリティ分野の研究者、企業の実務担当者など約250人のメンバーで構成する「10大脅威選考会」の投票を経て決定したものである。
「組織」向け脅威では、1位の「ランサム攻撃による被害」と2位の「サプライチェーンや委託先を狙った攻撃」は23年以降、4年連続で順位に変わりがなかった。25年もランサムウエアに感染した企業・組織が多く確認され、取引先を含むサプライチェーン全体に深刻な影響を及ぼした事例もあり、こうした情勢がランキングにも反映されていることがうかがえる。また、今回、初めて脅威候補となった「AIの利用をめぐるサイバーリスク」が3位にランクインした。AI(人工知能)の利用をめぐるサイバーリスクで想定されるものは多岐にわたる。AIに対する不十分な理解に起因する意図しない情報漏えいや他者の権利侵害といった問題、AIが加工・生成した結果を十分に検証せずうのみにすることにより生じる問題、AIの悪用によるサイバー攻撃の容易化や手口の巧妙化、などが挙げられる。上位にランクインした背景にはこのような多岐にわたるリスクの存在が考えられる。
「組織」向け脅威への対策は、セキュリティ対策情報を継続的に収集し、使用している機器やサービスに適切なセキュリティ対策を講じつつ、各脅威が自組織の事業や体制に、どのようなリスクがあるのかを洗い出すことが重要である。さらに委託先を含むサプライチェーン上のリスクの洗い出しや対策状況の確認についても可能な限り同等に行うことが望まれる。
対策の具体的な検討に当たっては、IPAが公表する「中小企業の情報セキュリティ対策ガイドライン」や各種技術資料を参考にしていただきたい。
手口は巧妙に変化 常に情報取集を
一方、「個人」向け脅威では、「インターネットバンキングの不正利用」が23年以降、圏外となっていたが、4年ぶりに復活した。昨今の被害の状況を踏まえた結果と考えられる。
「個人」向け脅威のラインアップに大きな変化はなかったが、脅威の呼称が同じであっても、常に手口は巧妙に変化し続けている。IPAのウェブサイトで、最新の手口に関する情報を確認し、手口の変化に応じた対策を把握することが重要である。情報収集に当たっては、IPAのウェブサイトや公式SNS(ソーシャル・ネットワーキング・サービス)を活用していただきたい。
「情報セキュリティ10大脅威2026」の詳しい解説は、2月下旬以降にIPAのウェブサイトで順次公開する予定である。IT・セキュリティ担当者が情報セキュリティの最新動向を把握するためだけでなく、対策の検討や組織内教育などにも活用してほしい。
(独立行政法人情報処理推進機構・江島将和)
「情報セキュリティ10大脅威2026」についてはこちらを参照
