一般社団法人 日本セキュリティ監査協会(JASA)は、情報セキュリティ監査のテーマ選定にあたり注目すべき動向として、「情報セキュリティ監査人が選ぶ 2026年の情報セキュリティ十大トレンド」を公表しました。このトレンドは、現場の情報セキュリティ監査人の視点から、企業が今後直面しやすいサイバー脅威や組織的な課題を整理したものです。単なる技術トレンドにとどまらず、経営やサプライチェーン、ガバナンスの問題にまで踏み込んだ内容となっており、企業のリスクマネジメントを考えるうえで重要な示唆を含んでいます。
本記事では、この「情報セキュリティ十大トレンド(2026年予測)」の内容をもとに、各項目が示す意味と、企業実務への影響について、できるだけわかりやすく整理して解説します。
情報セキュリティ十大トレンド(2026年予測)を読み解く
2026年のランキングを見ると、上位には「ランサムウェア」や「標的型攻撃」といった、ここ数年継続して警戒されてきた脅威が引き続き並んでいます。一方で今年は、AIに関するテーマが複数項目に登場し、良くも悪くもサイバーリスクの様相を大きく変え始めていることが読み取れます。
さらに、「サプライチェーン」を軸とした論点が複数の順位に現れている点も特徴的です。
政府の制度整備や経済安全保障の流れを背景に、セキュリティ対策は個社の問題にとどまらず、取引条件や評価・格付けといった形で企業間関係にも影響を及ぼし始めています。
こうした動向から、サイバーセキュリティはもはや「技術部門だけの課題」ではなく、経営・ガバナンス・事業継続の観点も含めて考えるべきテーマへと、フェーズが移りつつあることが分かります。
情報セキュリティ監査人が選ぶ 情報セキュリティ十大トレンド(2026年予測)
※( )内は前年順位
出典:情報セキュリティ監査人が選ぶ「情報セキュリティ十大トレンド(2026年予測)」より
それでは、ランキング上位から順に、2026年に企業が直面するリスクの中身を見ていきましょう。
1位:ランサムウェア被害の広がりと深刻化
昨年に引き続き、ランサムウェア被害の拡大が1位となりました。ニュースを賑わす大企業の被害が注目されがちですが、警察庁の公表資料などを見ると、実際には中小企業の被害が過去最多水準に達する状況が続いています。その背景には、RaaS(Ransomware as a Service)の普及や、攻撃者の役割分担による分業化があります。
高度な技術を持たなくても攻撃に参加できる環境が整ったことで、攻撃の裾野が広がり、結果としてセキュリティ対策が十分でない企業層にまで被害が拡大していると考えられます。
さらに近年のランサムウェア被害は、「感染した企業だけの問題」では終わりません。
取引先や委託先、グループ会社などを含むサプライチェーン全体に影響が及びやすく、被害が事業継続や信用問題に直結するケースも増えています。
本調査が示すとおり、技術対策の強化だけでなく、インシデント発生を前提にした意思決定や社内外の調整、復旧プロセスまで含めて、組織としてのレジリエンス(回復力)が機能する体制になっているかという視点で備えを見直すことが重要になっています。
【関連記事】「組織化、ビジネス化するランサムウェア攻撃」とは?サイバー犯罪の新たな脅威を解説
2位:誤用から悪用へと広がるAIリスク
生成AIの利用が広がる中で、リスクは「誤用」と「悪用」の両面から拡大しています。仕組みの理解が不十分なまま機密情報を入力してしまうことによる情報漏えい、出力内容の検証不足による誤情報の拡散や権利侵害といった誤用のリスクに加え、フィッシングメールの文面作成、マルウェア開発の支援、脆弱性探索の効率化・自動化、さらには偽情報やディープフェイクの生成など、攻撃側による悪用も現実的な脅威になっています。
本調査が示しているのは、生成AIが単なる業務効率化ツールではなく、使い方や管理の仕方次第で、企業のリスクを増幅させる存在にもなりうるという点です。もはや「使う・使わない」という議論ではなく、どの業務で、どのように使い、どのリスクを許容し、どう統制するのかを整理した上での運用が前提になりつつあります。
企業にとって重要なのは、利用ルールを定めること自体ではなく、
・入力情報と出力内容に関するリスクを適切に評価できているか
・想定外の使われ方やインシデントが起きた場合に、被害を抑え、業務を立て直せる体制になっているか
・ルールや対策が「決めっぱなし」にならず、脅威の変化に応じて見直される運用になっているか
といった点まで含めて、組織としてのレジリエンス(回復力)が機能する形で管理・統制できているかという視点です。
生成AIの活用が進むほど、平時の利便性だけでなく、有事に耐えられる体制を前提とした運用が求められるようになっています。
【関連記事】
ディープフェイクの危険性とは?AIによる偽情報のリスクの実例と企業が取るべき対策
標的型攻撃とは?企業の情報資産を狙う驚きの手口と事例・対策も紹介
3位:標的型攻撃の激化と被害拡大
標的型攻撃は、特定の組織を狙って環境に合わせた手口を組み合わせ、気づかれないまま侵入・潜伏する攻撃として、いまも拡大と高度化が続いています。侵入口としては、メールやVPN機器、エンドポイントなどが引き続き狙われていますが、侵入後はすぐに破壊的な行為に出るのではなく、内部ネットワークに長期間潜伏し、環境を調査しながら権限昇格や横展開を進めるケースが増えています。さらに、正規のツールや通常コマンドを悪用して活動することで、ログやアラートに紛れ込み、異常として検知されにくい形で情報窃取や準備行為が進められる点も特徴です。
本調査が示すのは、標的型攻撃がもはや「侵入経路を塞ぐだけ」の対策では不十分であり、侵入後の挙動をどう捉え、どう被害拡大を防ぐかという視点が重要になっているという点です。外部からの侵入対策に加え、内部システムの監視、ログの取得・分析、設定や運用記録の整合性といった日常的な運用の可視性が、被害の発見や抑止を左右する要素になっています。
また、本調査では標的型攻撃の高度化が指摘されていますが、近年の実際の被害動向を見ると、脆弱性の悪用に加えて、盗まれた認証情報を使った「正規ユーザーになりすました侵入」が主要な侵入パターンになりつつあります。
企業にとっては、
・外部からの侵入に対する対策が適切に機能しているか
・内部の挙動を継続的に把握できる監視や記録の仕組みがあるか
・インシデント発生時に、影響範囲の特定や封じ込めができる体制になっているか
といった点が、実効性のある対策になっているかどうかを見極める重要なポイントになります。
【関連記事】標的型攻撃とは?企業の情報資産を狙う驚きの手口と事例・対策も紹介
4位:サイバーセキュリティ対策へのAI活用の本格化
2位・6位に続き、ここでもAIがテーマとして登場します。ただし今回は、リスクの源としてのAIではなく、防御力を高めるための前向きな活用が焦点になっています。サイバー攻撃の高度化・巧妙化が進む中、従来の人手中心・ルール中心の運用だけでは、検知や対応が追いつかない場面が増えているのが現実です。
本調査が示しているのは、「AIを導入しているかどうか」ではなく、AIが実際に検知・対応・復旧のプロセスの中で機能し、防御力の底上げに貢献しているかという点が問われている、ということです。
企業の経営・統制の視点では、AIの活用によって、従来は見逃されがちだった兆候を捉えられるようになっているか、インシデント発生時の判断や封じ込め、復旧までの対応がより速く、確実になっているか、そしてその効果が運用の中で継続的に検証・改善されているかといった点を含めて、実際に防御力の底上げにつながっているかが重要になります。
単に新しい技術を取り入れることが目的になるのではなく、人手不足や運用負荷といった現実を踏まえつつ、防御の仕組みとして機能し続けているかという観点で見直していくことが求められます。
5位:市場から締め出しの恐れ~サプライチェーンセキュリティ対策の格付け開始
2025年12月26日に経済産業省が公表した制度構築方針では、サプライチェーン全体のセキュリティ水準を可視化・比較可能にするための「サプライチェーン企業のセキュリティ対策評価制度」が、具体的な形として示されました。この制度は、企業のセキュリティ対策の状況を段階的な基準で評価し、取引先が判断材料として使える形にすることを目的としています(2026年度末頃の運用開始が見込まれています)。
制度設計では、評価を「★」の段階で表示する仕組みが検討されています。
例えば、対策が基礎的に整っているレベルは ★3、より標準的な統制や体制が整っているレベルは ★4 という形で段階分けし、得られた★評価が取引判断の材料として活用される方向です。
言い換えると、これまで社内の努力目標にとどまっていたセキュリティ対策が、調達・取引の可否や条件に影響する可能性の高い「評価指標」として社会実装されようとしている、ということです。
一定水準に達していない企業は、「価格」や「品質」以前に、取引の土俵に上がれなくなるリスクが現実味を帯びてきています。
監査・統制の観点で重要なのは、
・自社の対策がどの★評価段階に位置づけられるのか、説明可能な形になっているか
・その評価の根拠が、ルール・記録・運用実態という証拠で裏付けられているか
・評価基準に基づく運用が、継続的に維持・見直しされる仕組みになっているか
といった点です。
制度への対応は、単にチェックリストを埋める話ではなく、「自社はサプライチェーンの一員として、取引に耐えうる統制状態にある」と説明できるかどうかを問うものになっています。
これができなければ、結果として「選ばれない」という形で、市場から静かに締め出されるリスクが高まります。
この動きが最初に現実の問題として表面化しやすいのは、システム開発会社や運用ベンダー、クラウド事業者などのIT関連事業者です。
発注側にとって、セキュリティ水準が十分でない取引先を使い続けること自体が経営リスクになりつつあり、★評価を満たせない企業は、実績や価格以前に「選択肢から外れる」可能性が高まります。
ただし、この動きはIT業界に限らず、今後は情報やシステムに関与するすべての取引先へと広がっていくと考えるのが自然でしょう。
6位:組織が本腰を入れて取り組むべきAIガバナンスの確立と対外公表
AIは、経営判断や業務プロセスの中核に入り込みつつあり、もはや一部の実験的なツールではなく、組織の意思決定や業務品質に直接影響を与える存在になっています。 一方で、AIの利用が広がるほど、誤りや偏り、権利侵害などのリスクが企業の信用や法的責任に直結しやすくなります。本ランキングではAIが2位・4位に続き、ここで3つ目のランクインとなりました。
これは、AIが「便利なツール」か「新たな脅威」かという二項対立を超え、企業としての管理・統制と説明責任が問われる段階に入ったことを示しています。
各国では、AIの利用に関する法規制やガイドラインの整備が進んでおり、EUのAI ActやNISTのAIリスクマネジメントフレームワーク、ISO/IEC 42001などは、「AIをどう安全に、どう統制して使うか」を企業に求める動きを象徴しています。
この流れを踏まえると、AIガバナンスは技術部門だけの課題ではなく、経営と統制のテーマとして扱う必要があります。
監査・統制の観点では、
・自社の事業領域で遵守すべきAI関連の法規制・ガイドライン・契約要件を整理できているか
・それに沿って、管理ルールや運用プロセスが整備・実装されているか
・AI利用の方針や統制の考え方が、社内外に説明可能な形になっているか
・対外公表を含め、経営として説明責任を果たす準備ができているか
といった点が重要になります。
AIガバナンスは、事故や炎上が起きてから整えるものではありません。何を許容し、どこからをリスクとみなすのかを言語化し、統制の仕組みに落とし込み、継続的に見直していくことが求められます。
7位:国家レベルの攻撃者が事業者にサイバー攻撃を仕掛ける時代の到来
国際情勢の緊張や地政学リスクの高まりを背景に、サイバー空間はすでに国家安全保障と直結する領域になっています。日本でも経済安全保障関連の制度整備が進み、重要な事業者やそのサプライチェーン全体に対して、より高い水準のセキュリティ対応が求められる時代に入りました。これは、サイバー攻撃が単なる犯罪対策ではなく、国家レベルの攻撃者を前提にしたリスク管理へと位置づけが変わったことを意味します。エネルギー、通信、金融、ITなどの重要分野では、自社だけでなく、委託先や取引先も含めた管理体制の整備が、事業継続や経営リスクの観点から避けて通れなくなっています。
監査・統制の観点では、
・自社がサプライチェーンの中でどのような役割と責任を担っているかを整理できているか
・国の制度や要請を踏まえたセキュリティ管理体制が整備・運用されているか
・取引先や委託先も含めたリスク管理の枠組みになっているか
といった点が、今後ますます重要なチェックポイントになります。
8位:クラウドサービスの大規模障害は社会的混乱につながるおそれ
クラウドサービスは、いまや多くの企業にとって業務システムやデータ基盤の中核となる存在です。その一方で、近年は特定クラウド事業者や特定リージョン(同一地域のデータセンターに集中した構成)に依存した構成も増えており、大規模障害が発生した場合の影響は、自社だけでなく取引先や社会全体にまで及ぶ可能性が高まっています。本調査が示しているのは、「クラウドは止まらないものとして使える」という考え方そのものを、企業として見直す段階に来ているという点です。重要なのは、クラウド事業者がどれだけ対策しているかではなく、クラウドが止まることも前提に、自社の事業継続やリスク管理が設計されているかという視点です。
監査・統制の観点では、例えば次のような点が問われます。
・単一のクラウドやリージョンへの過度な依存になっていないか
・障害発生時の影響範囲(業務・顧客・取引先)を把握・説明できるか
・復旧までの代替手段や業務継続の方針が、BCPや運用ルールに組み込まれているか
・クラウドの利用実態やリスク前提が、定期的に見直されているか
クラウドは強力な基盤です。経営として問われているのは、便利なインフラとして使っているかではなく、障害も含めたリスクを織り込んだ前提で統制できているか、という点です。
9位:サイバーセキュリティ人材の不足がもたらす事故の多発
2025年の崖を契機に、DX推進やクラウド移行が加速する一方で、それを安全に運用できるセキュリティ人材が追いついていません。システムは高度化・分散化しているにもかかわらず、セキュリティを理解した人材の確保・育成が十分でない企業では、事故や設定不備が構造的に発生しやすい状況が続いています。
本調査が示しているのは、「人が足りない」という現場の問題ではなく、人材戦略が経営課題として扱われているかどうかが問われる段階に入ったという点です。
監査・統制の観点では、例えば次のような点が重要になります。
・セキュリティ人材の確保・育成が、経営計画や中期戦略に位置付けられているか
・DX・クラウド・AI活用に伴う新たなリスクに対応できるスキル要件が定義されているか
・外部委託に依存する場合でも、最低限社内に確保すべき統制機能が明確か
・教育・資格取得・スキル更新が単発ではなく、継続的に設計されているか
人材不足は、突発的なリスクではなく、外部委託の増加も含めて統制の空洞化につながる慢性的なリスクです。
現実には、運用や監視、開発の一部を外部ベンダーに委託する企業も増えていますが、「外部に任せているから安心」ではなく、委託先を含めた統制や管理が機能しているかが問われます。
経営としては、「採用できているか」ではなく、「内製・外注を問わず、統制を維持できる体制になっているか」が重要になります。 【関連記事】
SOC(ソック)とは?役割・CSIRTとの違いと導入形態をわかりやすく解説【中小企業向け】
セキュリティBPOとは?メリット・デメリットと失敗しない選び方を解説
10位:利用者の知識不足が生み出すクラウドサービス利用インシデント
クラウドサービスや生成AIは、その利便性の高さから急速に業務に浸透しています。一方で、設定ミスや利用ルールの不備、権限管理の甘さに加え、組織の承認を経ずにサービスが利用される「シャドーIT」の拡大が、新たなインシデントの温床となっています。本調査が示しているのは、これらは個人のミスというよりも、組織としての統制設計の問題だという点です。
外部サービスを業務に組み込む以上、「何を、誰が、どの条件で使ってよいのか」「どの範囲まで情報を扱ってよいのか」を明確にし、統制の枠組みの中で運用できている必要があります。
監査・統制の観点では、例えば次のような点が問われます。
・外部クラウドサービスやAIツールの利用ルール・承認プロセスが整備されているか
・シャドーITを把握・抑止する仕組み(棚卸し、ログ監視、定期確認など)があるか
・利用時の設定(公開範囲・権限・ログ取得など)がチェックされる運用になっているか
・インシデント発生時の対応手順が整備され、実際に機能する形になっているか
クラウドやAIの事故は、「便利さ」と引き換えに生じる統制の隙間から起こります。 経営としては、「ツールを導入しているか」ではなく、「使い方まで含めて統制できているか」、そして統制の外側で動く仕組みを放置していないかが問われる段階に来ていると言えるでしょう。
経営者・管理部門向けまとめ
2026年のセキュリティトレンドは、もはや「IT部門の技術課題」ではなく、経営と統制の問題として扱う段階に入っています。ランサムウェア、AI活用、サプライチェーン、クラウド障害など、いずれも共通して問われているのは、
・事故や停止が起きる前提で、経営として意思決定と説明ができるか
・リスクを「把握している」だけでなく、「統制している状態」として示せるか
・対策が現場任せ・属人化せず、組織として再現性のある形になっているか
という点です。
セキュリティは「導入しているか」ではなく、統制され、説明可能な経営の仕組みに組み込まれているかが問われるテーマになっています。
選ばれる企業であり続けるためにも、リスク管理・ガバナンス・レジリエンス(※回復力)の観点から、自社の状態を見直すことが不可欠です。
※レジリエンス:システムが攻撃や障害を受けた際に、被害を最小限に抑え、速やかにサービスを復旧させる「回復力」のこと。
情報システム部門・IT部門向けまとめ
今回のランキングが示しているのは、「守るべき対象」と「守り方」が同時に変わっているという現実です。ランサムウェア、AI、クラウド、サプライチェーンのいずれも、従来の「個別対策の積み上げ」だけでは限界が見え始めています。
実際のインシデントの多くは、高度な攻撃以前に、利用者の操作ミスや設定ミス、安易なリンクのクリックといった「運用の隙」から始まっています。
2026年の情シスに求められているのは、
・単一製品・単一構成に依存しない設計になっているか
・障害や侵害を前提に、検知・封じ込め・復旧までの流れが描けているか
・AIやクラウドの利用が、ルール・ログ・運用プロセスとして管理できているか
・シャドーITや属人運用が、リスクとして把握・是正されているか
といった、「技術 × 運用 × 統制」をセットで成立させる視点です。
これからの情シスは、「強い仕組みを作る」だけでなく、経営に対して「説明できる状態」を作る役割もますます重要になっていきます。
サイバーセキュリティ事故がおきる前提のまとめ
サイバーセキュリティ事故やシステムや業務の停止が「起こりうる前提」で経営と統制を考えるのであれば、技術対策や運用体制の整備だけでなく、インシデント発生時の財務的・事業継続リスクにどう備えるかという視点も欠かせません。サイバー保険は、その前提に立ったリスクマネジメントの一部として位置づけて検討される段階に来ていると言えるでしょう。
特に1位のランサムウェアによる取引先や顧客への賠償責任や、8位のクラウド障害による賠償責任は、自社の努力だけではコントロールしきれない財務的損失を招きます。
経営としては、技術対策だけでなく、「残るリスクをどう扱うか」という視点まで含めた意思決定が求められています。
今、サイバー保険への加入を悩んでいるのであれば、ぜひこの機会に検討してみてはいかがでしょうか。
▼サイバー保険について詳しく知りたい方はこちら
中小企業経営者必見|サイバー保険の選び方・補償範囲・費用相場まで完全ガイド
▼サイバー保険のホワイトペーパーはこちら
5分でわかるサイバー保険 超入門
▶ サイバー保険 一括見積はこちら(無料)
当サイトを運営する「ファーストプレイス」では、
大手5社のサイバー保険の保険料を、無料で一括比較・見積りいただけます。
- 東京海上日動火災保険株式会社
- 三井住友海上火災保険株式会社
- 損害保険ジャパン株式会社
- あいおいニッセイ同和損害保険株式会社
- AIG損害保険株式会社
ECサイトやWebサービスを提供している企業様は、IT業務を提供する企業様向けの「IT業務用サイバー保険一括見積サイト」もご検討ください。
JASA:監査人の警鐘- 2026年 情報セキュリティ十大トレンド(2026/1/6)
