1.はじめに

　いつも弊社セキュリティレポートをご愛読いただきまして誠にありがとうございます。

毎年4月号はIPA独立行政法人情報処理推進機構セキュリティセンターより発表された「情報セキュリティ10大脅威 組織向け」（以下IPAレポート）を素材にして、一年を振り返り弊社の取り組みや考え方をご紹介しています。また、今年も昨年同様に、IPAレポートと同時に発表された「共通対策　複数の脅威に有効な対策」にも着目し、セキュリティレポート4月号をお届けしたいと思います。

　まずは、2026年の10大脅威と特質すべき事項をまとめてみました。

情報セキュリティ10大脅威 2026 「組織」向けの脅威の順位

＊IPA独立行政法人情報処理推進機構セキュリティセンター情報セキュリティ10大脅威　2026より引用

2.情報公開が注目された2つのランサムェア被害 

　上記が3月に発表された2026年10大脅威ですが、初登場の「第3位AIの利用をめぐるサイバーリスク」以外は、10大脅威の常連で、脅威としての取り扱いが「連続XX回目」と表記されています。第1位のランサムウェアによる被害は、通算11年連続の11回目の掲載ですし、第2位のサプライチェーンや委託先を狙った攻撃は昨年も第2位でした。

　順位だけ見ると際立った変化の無い10大脅威レポート2026に見えます。がしかし、同IPAレポートの中で紹介されている昨年秋に発生した2つの事例は、どちらもグループ会社を巻き込み影響範囲も大きく、ほぼ同時期に起こったために、比較されて考察されるケースが多かったように思います。

　特に、復旧の見通しを含む情報公開の在り方に注目された読者の皆様も多いのではと思います。事業内容や業種や業態、発生した事象の規模や影響範囲等に応じて、対応や情報公開の在り方は異なるかと思いますが、万が一の事態に備えて、自分事として平時から検討をされることをお勧めします。弊社にもインシデント対応計画策定支援のご依頼が多く来ております。 

 3.初登場「AIの利用を巡るサイバーリスク」が第3位！

　さてIPAレポートに戻りますと、本年の最大の特長は、初選出の「第3位AIの利用をめぐるサイバーリスク」です。生成AIの活用が急速に進み、弊社でも個々の活用例が日常の会話の中でもやり取りされています。個人的にも活用の結果、整理された報告書の質や利便性の高さを実感しています。と同時に、セキュリティ部門から活用を阻害しない範囲の注意事項がガイドラインとして数多く出されています。

IPAレポートでは、AI活用によるリスクとして次の3つをあげています。特に1）2）については、ガバナンスや教育が主な取組みとなりますが、それぞれ対策に言及していますので是非お読みください。

　1）許可のないAIサービスを業務に利用し情報漏洩につながる可能性（シャドーAI）

　2）実在しない情報を対話型AIが生成する可能性（ハルシネーション）

　3）AIを助力に得たサイバー脅威の増長

　3）は、生成AIをサイバー攻撃のアシスタントとして利用することで、攻撃の頻度や数量が増加し高度化することを指摘していますが、基本的には従来と変わらない攻撃が半自動化され高速化するに留まります。よって従来の対策が有効です。一方、AIの世界は急速に技術変化が起こる可能性がありますので、動向を抑え情報を収集しつつ、従前の対策をきっちり実行し続けることが必要とIPAレポートにも言及されています。

　さて次に「複数の脅威に有効な対策」における2026年度の変化について、考察を進めたいと思います。下記に2026年と2025年の「複数の脅威に有効な対策」を掲載しました。順番の違いはありますが、ポイントは赤枠のバックアップについてです。

複数の脅威に有効な対策　2026年

＊IPA独立行政法人情報処理推進機構セキュリティセンター　情報セキュリティの基本と共通対策2026より引用

 　（本記事はサイト上でのIPAアンケート回答後にダウンロード可能です）

複数の脅威に有効な対策 　2025年

1. ＊IPA独立行政法人情報処理推進機構セキュリティセンター　情報セキュリティの基本と共通対策2025より引用

　一目瞭然ですが、バックアップに関する記述がより詳細化され「適切なバックアップの取得日時と頻度を検討する」という記述に修正されています。お気づきと思いますが、これは「第1位のランサム攻撃による被害」についての対策で、冒頭に記述した昨年秋に発生した2つのランサムウェア被害の話とも関連します。2つの被害の比較のポイントであった「復旧の見通しを含む情報公開」に、大きく影響するのがバックアップの状態であり、その堅牢化のために、取得とその保管と保護について、詳細な記述が追加されたと推察します。

本編の中でも更に下記のポイントを昨年よりも追加して詳細に説明がされていますので是非、お読みいただき確認と対策の実施を推奨します。

　1）リストアまでを含めたバックアップ設計を行う

　2）「サーバーの要件に合わせた手法の選定」オフラインバック/オンラインバックアップ

　3）バックアップ取得頻度の検討

　4）保管場所についての3‐2‐1に加え「1-0」1つの不変環境とエラーを0

　5）破損したデータで上書きを防ぐため、バックアップの取得や削除を止める必要性

　6）導入時と大規模更改時はリストアテストを推奨

　弊社ではグループ会社に株式会社BackStoreというバックアップ専門会社があり「ランサムウェア対策のためのバックアップリスク評価サービス」を有償で提供しています。バックアップの取得と保管/保護、復旧計画や環境面でご心配あれば是非弊社営業にご相談ください。昨今ではIaaS上のエアギャップやクラウド・ネイティブのバックアップのコスト削減等の相談も承ります。以下レポートをご確認ください。

#36 IaaS＆SaaSのエアギャップバックアップの有用性 ─クラウド時代に求められる“最後の砦”とは─

　さて、セキュリティレポート4月号では、2026年のIPAレポートの事例となった昨年秋のランサムウェア被害の事例から「復旧の見通しを含む情報公開の在り方」について考察し、初登場「第3位AIの利用をめぐるサイバーリスク」そして「複数の脅威に有効な対策」からバックアップに関連する多くの留意点にについて記述しました。皆様の対策の一助として何かの気づきになればと思います。

　また「複数の脅威に有効な対策」に着目した「対策し続けるために弊社が支援できること」については、昨年の4月のセキュリティレポートの末尾に整理しています。下記記事を参照ください。
#25 IPA 10大脅威 2025「複数の脅威に有効な7つの対策」 ～対策し続けるために弊社ができること～

本年も毎月お送りするセキュリティレポートでお客様事例や製品サービスのトピックスをお伝えします。お愉しみにお待ちください。

執筆者

本間　将一

営業技術本部　執行役員

2022年2月IIM入社 セキュリティー部門責任者 
外資系大手SIerにて15年あまりセキュリティーサービスの事業責任者として、製品のインテグレーョン、セキュリティーコンサルティング、運用サービスやSOCの事業の企画や販売に従事し、2022年2月より現職に着任。