監査人の警鐘- 2026年 情報セキュリティ十大トレンド(2026/1/6)
2026年01月06日発表
‐ ランサム攻撃等の被害極小化とAIの誤用悪用のリスク対策に注力 ‐
特定非営利活動法人日本セキュリティ監査協会(本部:東京都中央区、会長:大木 榮二郎、工学院大学名誉教授)は、今年の情報セキュリティ監査のテーマを選定するうえで注目すべき情報セキュリティのトレンドを「情報セキュリティ監査人が選ぶ2026年の情報セキュリティ十大トレンド」としてとりまとめ公表しました。
昨年は、ランサムウェア攻撃による食品会社や流通企業でのシステム障害が取引先やその先の市民生活などに大きな影響を及ぼしましたが、2026年の情報セキュリティトレンドでも、引き続きランサムウェア被害の広がりと深刻化が第1位となりました。標的型攻撃の激化や国家レベルの攻撃者によるサイバー攻撃なども、上位に挙がってきています。
注視すべきは、サイバー攻撃の被害は直接攻撃を受けた企業にとどまらずサプライチェーンを通じて多くの企業に影響が拡大する点であり、サプライチェーン全体で被害拡大の防止を含めたリスク低減に努めなければなりません。特に、経済安全保障関連の法令による指定事業者とサプライチェーンでつながる事業者は深刻に受け止めなければなりません。
中小企業も決して例外ではありません。2026年度から導入予定のサプライチェーンセキュリティの格付け制度にも注目が集まっています。
AI関連も大きなトレンドを形成してきました。生成AIの業務での活用が進められる中で誤用や悪用に対する取り組み、組織としてのAIガバナンスの確立、AIをセキュリティ対策に的確に利用するための取り組みなどがトレンドの上位に挙がっています。
また、すでに社会基盤としての地位を手に入れたクラウドサービスが障害を起こした場合の社会的な混乱の懸念や、サービス利用の適切な活用の確認、あるいはサイバーセキュリティ人材の不足がもたらす事故の懸念などが引き続きランクインしています。
これらの各トピックの解説と監査のポイントを別紙の解説文にとりまとめていますので、自社の事業環境に応じて重視するトレンドに焦点を絞り、今年の情報セキュリティ監査計画立案に役立てていただきたいと思います。
情報セキュリティ監査人が選ぶ
情報セキュリティ十大トレンド(2026年予測)
| ランク | 項目 | ポイント |
|---|---|---|
| 1 (1) | ランサムウェア被害の広がりと深刻化 | 384 |
| 2 (4) | 誤用から悪用へと広がるAIリスク | 233 |
| 3 (15) | 標的型攻撃の激化と被害拡大 | 155 |
| 4 (-) | サイバーセキュリティ対策へのAI活用の本格化 | 124 |
| 5 (5) | 市場から締め出しの恐れ ~サプライチェーンセキュリティ対策の格付け開始 | 117 |
| 6 (3) | 組織が本腰を入れて取り組むべきAIガバナンスの確立と対外公表 | 98 |
| 7 (9) | 国家レベルの攻撃者が事業者にサイバー攻撃を仕掛ける時代の到来 | 83 |
| 8 (6) | クラウドサービスの大規模障害は社会的混乱につながるおそれ | 82 |
| 9 (7) | サイバーセキュリティ人材の不足がもたらす事故の多発 | 70 |
| 10 (14) | 利用者の知識不足が生み出すクラウドサービス利用インシデント | 54 |
()内は前年のランク
なお、十大トレンドの各トピックの解説とそれぞれに対応した監査のポイントについては、下記、内容解説をご参照ください。
第1位「ランサムウェア被害の広がりと深刻化」
ランサムウェアの被害は年々深刻化し、大企業だけでなく中小企業にも被害が拡大しています。攻撃者の手法は多様化、巧妙化し、従来の対策だけでは十分でない状況が続いています。サプライチェーン全体に波及するリスクも高まっており、企業規模を問わず警戒が必要です。
第2位「誤用から悪用へと広がるAIリスク」
技術理解不足や不適切な運用による機密情報漏えいや誤情報利用などの可能性が懸念されるが、加えてフィッシングメールやマルウェア開発、偽情報拡散、ディープフェイクによるなりすましなどへの悪用でサイバー攻撃の効率化や被害拡大につながる懸念を挙げています。
第3位「標的型攻撃の激化と被害拡大」
特定組織を狙った巧妙な攻撃が継続的に発生している現状が示されています。メールやVPN装置を入口とした侵入後の長期潜伏や、異常動作を隠す手法により、被害の発見が難しくなっていること、外部と接続面での適切な運用、内部システムの監視など監査の重要性も述べられています。
第4位「サイバーセキュリティ対策へのAI活用の本格化」
防御側でのAI技術の活用に注目したトピックです。AIによる脆弱性検知や不正アクセスの監視、インシデントレスポンスの自動化など、従来はセキュリティ担当者が人手をかけて行っていた業務が自動化、高度化されつつあること、さらに監査業務にもAIの導入は近いなどの現状が述べられています。
第5位「市場から締め出しの恐れ~サプライチェーンセキュリティ対策の格付け開始」
サプライチェーン全体のセキュリティ対策が企業の取引条件に直結する時代が到来しているとしています。経済産業省のセキュリティ対策評価制度開始により、サプライヤは納品先の企業が求める格付けを取得しなければ取引ができなくなる恐れがあると警鐘を鳴らしています。
第6位「組織が本腰を入れて取り組むべきAIガバナンスの確立と対外公表」
AIの業務利用拡大に伴い、国内外の法規制やガイドラインへの準拠、倫理的な配慮が不可欠となり、事業者は自組織のAIガバナンスの確立と説明責任をはたす対外公表も求められるようになるとしています。
第7位「国家レベルの攻撃者が事業者にサイバー攻撃を仕掛ける時代の到来」
国際経済とそれを支えるサイバー空間において国家レベルの攻撃者によるリスクが現実化していることを背景に、政府では経済安全保障関連の重要3法令が成立し、サプライチェーン全体の防御力向上に向けて指定された特定社会基盤事業者は、国の要求に応じたセキュリティ管理、クリアランス、情報提供体制の整備等の取組みをしなければならないとしています。
第8位「クラウドサービスの大規模障害は社会的混乱につながるおそれ」
クラウドサービスの障害が社会全体に与える影響の大きさが指摘されました。可用性確保や障害時の影響範囲の明確化、事業継続計画(BCP)の整備など、組織の運用体制強化が求められています。
第9位「サイバーセキュリティ人材の不足がもたらす事故の多発」
このトピックではDXの推進やクラウド化の進展によりビジネス部門にもセキュリティ人材が必要とされる現状が述べられ、計画的なセキュリティ人材の育成が遅れるとセキュリティ事故が多発する懸念が示されています。
第10位「利用者の知識不足が生み出すクラウドサービス利用インシデント」
クラウドや生成AIは急速に普及する一方、安易な禁止をするとシャドーITの利用に伴う、情報漏洩インシデントも続発しています。組織には利用許容範囲や情報取扱い、セキュリティ設定を含む構成管理と継続的な態勢管理を明示したガイドライン整備が求められることが述べられています。
2026年は以上のようなトピックが注目を浴びることが想定されるので、これらを念頭に自社の事業環境に応じて今年の監査の重点を検討するとよいと思われます。
このトレンド調査は、協会の公認情報セキュリティ監査人資格認定制度により認定を受けた情報セキュリティ監査人約2,000人を対象としたアンケートにより選ばれたものです。
アンケート概要
実施時期:2025年11月10日(月)~11月21日(金)
有効回答数:282件
第1位を3ポイント、第2位を2ポイント、第3位を1ポイントとしてそれぞれ換算
総ポイントが同数の場合は、1位の獲得票数が多いものを上位としています。
本件に関するお問い合わせ
特定非営利活動法人 日本セキュリティ監査協会(JASA) 事務局 担当:芹川
〒104-0033 東京都中央区新川1-4-8 フォーラム島田Ⅱ
E-mail:office@jasa.jp