IPA「情報セキュリティ10大脅威2026」、AIツールがトップ3に新顔――経営層への直視迫る

IPA（情報処理推進機構）が発表した「情報セキュリティ10大脅威2026」で、これまでにない「新顔」がトップ3に食い込んだ。生成AI技術を悪用した攻撃や、複数のAIツールを日常的に使い分ける業務スタイルが新たな脆弱性を生み出している。企業は今、サイバーリスクを経営の最優先課題として直視せざるを得ない局面に立たされている。

今回のランキングでは、AIの悪用やサプライチェーンを標的とした攻撃、地政学的リスクに起因するサイバー攻撃などが上位に並び、従来の単純なマルウェア被害から質的に変化した脅威が浮き彫りになった。経営層はIT部門任せにせず、自らリスク評価に取り組む必要がある。

特に注目すべきは、ChatGPT、Gemini、GitHub Copilotといった生成AIサービスが業務に広く浸透し、1人の従業員が複数のAIツールを併用するのが当たり前になった点だ。これにより、機密情報が意図せず外部に流出したり、AIが生成したコードにセキュリティホールが混入するリスクが無視できなくなっている。

セキュリティ専門家は「個々のツールは安全でも、組み合わせた際の挙動やデータの流れを監視するのは困難」と指摘する。従来の境界型防御では対応しきれず、AIの利用ポリシーやデータガバナンスの整備が急務だ。企業は従業員のAIリテラシー向上にも投資すべきとされる。

経営層が今取るべき対策として、IPAは「リスクアセスメントの定期的実施」「AI利用ルールの策定」「サプライチェーン全体のセキュリティ監査」を挙げている。サイバーセキュリティはもはやコストではなく、事業継続のための必須条件であると認識を改める時が来ている。