【速報解説】IPA「情報セキュリティ10大脅威 2026」公開｜
2026年版を読み解く

　▶ 参考資料：IPA「情報セキュリティ10大脅威 2026年版」
　https://www.ipa.go.jp/security/10threats/10threats2026.html

1.    2026年版 情報セキュリティ10大脅威（組織）の内容とは

IPAの発表によると、2026年版の組織向け脅威の順位は以下のとおりです。

表：IPA 情報セキュリティ10大脅威 2026（組織）

出典：「IPA 情報セキュリティ10大脅威 2026（組織）」を基にNVCで作成 https://www.ipa.go.jp/security/10threats/10threats2026.html   (参照 2026年1月29日)

1位には、引き続きランサム攻撃による被害が選出され、11年連続で1位となっています。また、2位には サプライチェーンや委託先を狙った攻撃、5位には機密情報を狙った標的型攻撃、7位には内部不正による情報漏えい等がランクインしており、これらは過去から継続してこれらは過去から継続して上位に位置している脅威です。

この順位を見ると、既存の脅威であるランサム攻撃やサプライチェーン攻撃、標的型攻撃といった項目が引き続き上位に並んでいる一方で、3位に「AIの利用をめぐるサイバーリスク」が初めてランクインしている点が2026年版の大きなトピックとなっています。

2.    2026年版 情報セキュリティ10大脅威（組織）の概要

2026年のIPA「情報セキュリティ10大脅威（組織）」は、サイバー攻撃が引き続き金銭目的で常態化し、組織側も侵入を前提としたリスク管理を求められている現実を改めて示しています。

ランキングを俯瞰すると、1位を維持した「ランサム攻撃による被害」を筆頭に、サプライチェーン攻撃や標的型攻撃といった脅威が引き続き上位に並んでおり、サイバー攻撃が単発的な事件ではなく、継続的な経営リスクとして定着している状況が読み取れます。

また、特に注目されるのは、3位に初めてランクインした「AIの利用をめぐるサイバーリスク」です。AIの活用が急速に広がる中で、新たな技術が利便性だけでなくリスクの側面も持ち得ることが、組織として意識すべき重要な論点となっていることを示しています。

一方で、2位の「サプライチェーンや委託先を狙った攻撃」や、6位の「地政学的リスクに起因するサイバー攻撃（情報戦を含む）」からは、攻撃者が単一の組織だけでなく、取引関係や国際情勢といった外部要因を前提に侵入経路を設計している実態が浮き彫りになっています。

さらに、7位の「内部不正による情報漏えい等」など、内部起因の脅威も継続してランクインしており、技術対策の進展だけではリスクが解消されないこと、人・運用・ガバナンスを含めた取り組みが不可欠であることも示されています。

2026年版の特徴を総括すると、

• 金銭目的型攻撃の継続的な常態化

• 外部環境（サプライチェーン・地政学）を前提とした侵入経路の多様化

• AI活用の拡大に伴う新たなリスク論点の浮上

という3点に集約できます。

過去の10大脅威の推移がそうであるよう、これらの傾向は当面は大きく変わらない可能性が高く、「侵入されることを前提とした検知・対応」と「組織全体でのリスク管理」が、引き続き重要になることを示唆しています。

次章では、2026年版で挙げられた10大脅威について、「前年からの主な変化」「受け止め」という観点からもう少しだけ整理していきましょう。

なお、各脅威に対する詳細な解説はIPAから後日別途提供されるため、本記事では扱わず、発表時点の公開情報の範囲で整理します。

(2026/3/19追記) 「情報セキュリティ10大脅威 2026 解説書」が公開されました。IPAのサイトよりご確認ください。
https://www.ipa.go.jp/security/10threats/10threats2026.html

3.    2026年版 情報セキュリティ10大脅威をどう読むか（２つの観点）

先ほど紹介した2026年版「情報セキュリティ10大脅威（組織）」の概要に加えて、個別の脅威解説に踏み込むのではなく、全体を読み解くための観点として「前年からの主な変化」「セキュリティに対する認識として重要なポイント」の２つについて、整理して見ていきましょう。

1.    前年からの主な変化

前年（2025年版）と比較した際の最大の変化は、「AIの利用をめぐるサイバーリスク」が新たに上位に初選出された点です。AIの活用が急速に広がる中で、新技術がもたらす利便性と同時に、悪用や誤用といったリスクも組織として意識すべき論点になってきていることが反映されています。

一方で、ランキング全体としては大きな入れ替わりが起きたわけではありません。昨年は10位に選出された「不注意による情報漏えい等」が選出外となり、従来から警戒されてきた脅威が引き続き上位を占めています。これは、組織が取り組むべき課題が継続していることを示す結果とも言えるでしょう。

2.    セキュリティに対する認識として重要なポイント

今回のランキングから読み取れるのは、新しい脅威が登場しても、従来のリスクが消えるわけではなく、組織が同時並行で複数の課題に向き合う必要があるという現実です。技術の進展や働き方の変化により、守るべき対象や攻撃の入口が広がる中で、単一の対策で完結する状況ではなくなっています。

そのため、脅威を個別に捉えるだけでなく、自社の業務環境やIT基盤の変化を踏まえながら、継続的にリスクを見直していく姿勢がより重要になってきていると言えるでしょう。

4.    まとめ

2026年版の「情報セキュリティ10大脅威（組織）」では、ランサム攻撃やサプライチェーン攻撃、標的型攻撃といった従来から警戒されてきた脅威が引き続き上位に並び、組織が直面するリスクが継続的かつ構造的な課題として定着していることが改めて示されました。

一方で、「AIの利用をめぐるサイバーリスク」が新たに上位へ初選出された点は、技術の進展が利便性だけでなく新しいリスクの論点も生み出していることを象徴しています。組織に求められるセキュリティの視点は、従来の脅威への対応に加え、環境や技術の変化に応じて広がり続けていると言えるでしょう。

こうした状況の中で重要なのは、ランキングに挙がった脅威を個別に捉えるだけでなく、自社の業務環境やIT基盤の変化を踏まえながら、継続的にリスクを見直していくことです。単発の対策ではなく、組織としての優先順位や体制を整理し、変化に耐えられる形で取り組みを積み重ねていく姿勢が求められます。

NVCでは、こうした課題に対して以下のような領域で情報提供や支援も行っています。ご関心のあるテーマがあれば、参考としてご覧ください。

• Cato Networks（SASE）：リモートワークや拠点分散を前提としたアクセス基盤の見直し

• SecurityScorecard（SCRM/セキュリティ レーティング）：サプライチェーン全体の公開資産に対するリスク対策強化

• Orca Security（CNAPP/CSPM/AppSec）：クラウド環境における脆弱性やリスクの可視化と継続的管理

• Cloudbase（CNAPP/CSPM）：国産のクラウドセキュリティ製品で脆弱性やリスク対応による安全なクラウド運用を支援

• Aeye Scan（Web脆弱性診断）：誰でも簡単に、プロさながらの高度な脆弱性診断を実現するプラットフォーム

• Silverfort（ITDR/ISPM/認証対策）：IDや認証に対するリスクの可視化と制御の強化でサイバー攻撃防御力を認証から強化

今後もNVCでは、脅威動向と実務的な対応の両面から継続的に情報発信していきます。引き続きブログなどもご覧いただければ幸いです。