日本セキュリティ監査協会(JASA)はこのほど、「情報セキュリティ監査人が選ぶ2026年の情報セキュリティ十大トレンド」を公表しました。
本ランキングは、JASAが2026年に注目を浴びると予想されるトピックを、JASA認定の情報セキュリティ監査人約2,000人を対象としたアンケート調査に基づき選定したものです。調査は2025年11月10日~11月21日に実施され、有効回答数は282件となっています。
ランキングは上位から順に以下の通りです。
- ランサムウェア被害の広がりと深刻化
- 誤用から悪用へと広がるAIリスク
- 標的型攻撃の激化と被害拡大
- サイバーセキュリティ対策へのAI活用の本格化
- 市場から締め出しの恐れ~サプライチェーンセキュリティ対策の格付け開始
- 組織が本腰を入れて取り組むべきAIガバナンスの確立と対外公表
- 国家レベルの攻撃者が事業者にサイバー攻撃を仕掛ける時代の到来
- クラウドサービスの大規模障害は社会的混乱につながるおそれ
- サイバーセキュリティ人材の不足がもたらす事故の多発
- 利用者の知識不足が生み出すクラウドサービス利用インシデント
第1位は昨年に引き続き、「ランサムウェア被害の広がりと深刻化」でした。2025年はビール・飲料会社やビジネス用品通販業者などの大手企業が被害に遭い、商品流通に大きな影響をもたらしました。警察庁の発表によると、2025年上半期のランサムウェアによる被害報告件数は116件に上り、半期の件数としては2022年下半期と並ぶ最多となったことが報告されています。その中でも特に、中小企業の被害が77件と約3分の2を占め、件数・割合ともに過去最多となっていることに注目しています。JASAは、RaaSの利用や攻撃実行者の裾野が広がることにより、比較的対策が手薄な中小企業の被害増加につながっているという見解を示しました。
情報セキュリティ監査のポイントについては、攻撃者のサイバーキルチェーンを想定した視点から、多様化するアタックサーフェスを想定した上で、攻撃のチェーンをどこで断ち切るかが鍵となると示しました。EDRやゼロトラストといったソリューションの導入などの対策で満足するのではなく、脆弱性対策や業務上のデータフロー、管理者権限の運用など、多角的な視点に基づき、ランサムウェア被害の兆候を検知・確認する必要性を訴えました。
第2位の「誤用から悪用へと広がるAIリスク」は、昨年の4位から2ランクアップしました。JASAは、AI技術に関する理解不足や不適切な運用によって意図せず引き起こされるリスクを「誤用によるリスク」としています。
具体例としては、入力情報が再学習されることを理解していない状態で、生成AIに機密情報を入力することによる機密情報の漏えいリスクや、出力したデータの検証不足により、誤情報の使用や著作権などの知的財産権を侵害するリスクが想定されるとしています。また、AIの悪用により、フィッシングメールの作成やマルウェア開発などのサイバー攻撃プロセスが省力化されるおそれがあるほか、偽情報の生成・拡散、ディープフェイクによるなりすましによる被害拡大のリスクについても言及しています。
生成AIを利用する組織への情報セキュリティ監査では、「生成AIの利用に関して、方針の策定とリスク評価の実施を行っているか」がポイントとなると指摘しています。特に、生成AIを悪用したサイバー攻撃の標的となり得る組織に対しては、攻撃の激化・高度化を想定したリスク評価の見直しと、その見直しに見合うサイバー攻撃対策を策定し、必要な人的・物的投資をしているか、が重要であるとしています。
このほか、昨年15位から第3位にランクインした「標的型攻撃の激化と被害拡大」など、各順位の内容と監査のポイントが公式サイトに掲載されています。
