現実の紛争が大型戦車からドローンへと主役を変えたように、兵器の進化は視認できる。しかし、サイバー攻撃は不可視であるため、その高度化に気づくことは困難である。IPAの10大脅威を道標とし、自社の対策が現代の「ドローン」に対抗しうるものか、今一度見直す契機としてほしい。
経営層が今年取るべき4つのアクション
「情報セキュリティ10大脅威 2026」から経営層が読み取るべき点は、サイバーリスクが経営課題に変容しているという事実である。
ランサムウェア、サプライチェーン攻撃、AIの利用をめぐるリスク、地政学的リスクはいずれも、現場任せ・単年度対策で対処できる性質のものではない。
こうした状況を踏まえ、経営層が今年指示すべきアクションは次の4点に集約される。
1. 自社にとっての「脅威」と「リスク」を定義する
情報セキュリティ10大脅威は、あくまで社会全体の脅威であり、自社にとっての優先順位をそのまま示すものではない。
自社の事業特性、取引先構造、保有データの性質を踏まえ「自社にとっての脅威とリスクは何か」を経営レベルで定義する必要がある。
2. AI利用を前提としたガバナンス体制への移行を進める
生成AIはもはや「使うか使わないか」を議論する段階を過ぎている。ガイドライン策定だけでなく、実際の利用状況を可視化し、技術的に制御できる仕組みを整備することが経営判断として求められる。
3. サプライチェーン全体を含めたリスク管理へ拡張する
自社のセキュリティ対策が一定水準に達していても、委託先やグループ会社が攻撃を受ければ事業継続に重大な影響を及ぼす。
今後検討が本格化する「サプライチェーン強化に向けたセキュリティ対策評価制度」も見据え、取引先を含めた全体最適の視点でリスク管理を行う必要がある。
4. レジリエンスの高い組織構築
「自社が狙われるはずがない」という根拠なき楽観論を排除し、インシデント発生を前提とした「レジリエンス(回復力)」の高い組織を構築すべきである。
これを実現するための第一歩は、まず自社のセキュリティ対策についてアセスメントを行い、現代の脅威に対処可能であるかを点検すべきである。
