チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。
ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
@boss_sec_labo
「自社のセキュリティ対策、どこから手をつけるのが正解か分からない」
「AIのリスクって最近よく聞くけど、ランサムよりこわい話なのか測りかねる」
チップスボス、上司に「優先度を整理して」って頼まれたんでしゅが、何を基準にすればいいか分からないでしゅ……。
ボスふふふ。そんなときの羅針盤がIPAの10大脅威だ。2026年版が公表され、AI利用リスクが初めて3位に入った。一緒に読み解こう。
同じ悩みは多くの情シス担当者が抱えています。
本記事では、IPAが2026年に公表した「情報セキュリティ10大脅威」の組織編ランキングを軸に、注目すべき新顔と現場での向き合い方を整理します。
読み終わるころには、自社の対策ロードマップで何を優先順位の上位に置くべきかが見えてきます。
オススメ案件
【公共SIEM環境の統合・再構築】豊洲/Splunkを用いた設計・構築・移行
【生命保険システムにおける内部監査・セキュリティ運用】多摩センター(リモート併用)/AWS・IAM
【Simbian製品全般の商用導入・カスタマーサポート(TAM)】都内(要確認)/セキュリティ製品導入支援・プロジェクト管理
【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス
【OCI・DNS・PostgreSQL環境におけるセキュリティ管理・保全対応】錦糸町(常駐)/セキュリティインシデント対応・ログ分析
【次世代型アンチウイルス製品の選定・実装設計リード】与野(リモート併用・週3出社)/NGAV・EDR・製品選定
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
【大手コンサル発/主要GRCプラットフォーム比較検証〜全体設計】豊洲(リモートメイン)/GRC・サイバーリスク定量化
【独立系コンサルファームで推進するPalo Alto製品群の導入支援】豊洲(基本リモート)/Prisma Access・SASE
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート相談可)/Entra ID・セキュリティ改善
まずはランキング全体を眺めて、変動した部分を押さえましょう。
IPAが公表した2026年版の組織編は、以下の構成です。
1位と2位は4年連続で順位が変わらず、固定された脅威として定着しています。
| 順位 | 脅威 |
|---|---|
| 1位 | ランサム攻撃による被害 |
| 2位 | サプライチェーンや委託先を狙った攻撃 |
| 3位 | AIの利用をめぐるサイバーリスク(新規) |
| 4位 | システムの脆弱性を悪用した攻撃 |
| 5位 | 機密情報を狙った標的型攻撃 |
| 6位 | 地政学的リスクに起因するサイバー攻撃 |
| 7位 | 内部不正による情報漏えい |
| 8位 | テレワーク等の働き方を狙った攻撃 |
| 9位 | DDoS攻撃 |
| 10位 | ビジネスメール詐欺 |
チップス1位2位がずっと変わらないって、対策が追いついてないってことでしゅか?
ボス正確には、攻撃手法と対策がいたちごっこを続けている、ということだな。だからこそ「基本の徹底」が今年のテーマでもある。
個人編は順位ではなく五十音順で並べる形式が継続されています。
注目は「インターネットバンキングの不正利用」が4年ぶりに復活した点です。
不正ログインやフィッシング由来の情報詐取と組み合わさり、個人の金融被害が再び増加傾向にあることを示しています。
新規ランクインしたAIリスクは、内容が幅広いため整理が欠かせません。
IPAの解説書では、AIに関するリスクを大きく次の方向で整理しています。
いずれも「AIを使う側」と「AIに使われる側」の双方の視点が含まれる点が重要です。
10位まで全部追いかける必要はありません。
限られたリソースで効果を出すには、上位3つに対する基礎対策を確実に積み上げるのが近道です。
チップス全部やろうとして燃え尽きるより、上位3つを着実にこなすほうが現実的でしゅね。
10大脅威は流行りを追いかけるリストではなく、現場が腰を据えて取り組むべき領域を可視化する指標です。
ランサムとサプライチェーンは継続課題、AIは新しい必修科目。
この三本柱を軸に、年度内のセキュリティ計画を見直すきっかけにしましょう。
原典はIPA公式ページから、解説書PDFも合わせて入手できます。
ボス毎年読み返してこそ、このリストは効いてくる。年次行事として手帳に書いておけ。
チップスはい、ボス。来年の同じ時期にもう一度確認するでしゅ!
オススメ案件
【公共SIEM環境の統合・再構築】豊洲/Splunkを用いた設計・構築・移行
【生命保険システムにおける内部監査・セキュリティ運用】多摩センター(リモート併用)/AWS・IAM
【Simbian製品全般の商用導入・カスタマーサポート(TAM)】都内(要確認)/セキュリティ製品導入支援・プロジェクト管理
【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス
【OCI・DNS・PostgreSQL環境におけるセキュリティ管理・保全対応】錦糸町(常駐)/セキュリティインシデント対応・ログ分析
【次世代型アンチウイルス製品の選定・実装設計リード】与野(リモート併用・週3出社)/NGAV・EDR・製品選定
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
【大手コンサル発/主要GRCプラットフォーム比較検証〜全体設計】豊洲(リモートメイン)/GRC・サイバーリスク定量化
【独立系コンサルファームで推進するPalo Alto製品群の導入支援】豊洲(基本リモート)/Prisma Access・SASE
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート相談可)/Entra ID・セキュリティ改善
