はじめに:情報セキュリティ10大脅威 2026の傾向
2026年1月29日、IPA(独立行政法人情報処理推進機構が発表した『情報セキュリティ10大脅威 2026』では、組織向け第3位に『AIの利用をめぐるサイバーリスク』が初めてランクインしました。
また、個人向けでは『インターネットバンキングの不正利用』が4年ぶりに復活。
ITストラテジスト試験では、これらの脅威への戦略的対応が出題される可能性があります。
なおIPAでは特別に「情報セキュリティ」については、非常に詳しい説明があるのでこちらも参考にしてください。→ 情報セキュリティ対策
注目すべき最新の脅威:AIリスクとネットバンキングの不正利用
1. AIの利用をめぐるサイバーリスク(初出・組織3位)
生成AIの急速な普及に伴い、意図しない機密情報の流出や権利侵害が現実的な脅威となりました。ITストラテジストとしては、従業員が「利便性」を優先して顧客データやプログラミングコードを未許可のAIに入力する「シャドーAI」のリスクを重く見る必要があります。また、攻撃側もAIを用いて、より自然な日本語のフィッシングメールや、標的型攻撃に用いるマルウェアコードを高速に生成しています。
2. インターネットバンキングの不正利用(4年ぶり復活・個人)
長らくランク外、あるいは順位を下げていたこの脅威が復活した背景には、フィッシング詐欺の「超高度化」があります。ここでもAIの影がチラついており、以前のような不自然な日本語ではなく、銀行公式と見分けがつかないUIや文面を用いた誘導が増加しました。また、SIMスワッピングなど二要素認証を突破する物理的な手口とデジタルな詐欺が融合している点も、ビジネスプロセス上の脅威として無視できません。
試験対策の観点
ITストラテジスト試験では、単なる技術的対策だけでなく、「AI利用に関するガバナンスの構築」や「サプライチェーンを含めた金融犯罪へのレジリエンス」が問われます。多くの企業でAI活用が前提となりつつある今、リスクを許容範囲内に収めつつ、いかにビジネス価値を最大化するかの戦略立案が重要です。AIが出力した情報の「信憑性(ハルシネーション)」に起因する意思決定ミスも、戦略上のリスクとして意識しておく必要があります。
【演習問題】試験に出る!選択肢チェック
ITストラテジスト試験を想定した、正誤判定トレーニングです。
正しい選択肢の例
AI導入時のリスク管理: 生成AIを業務に導入する際は、入力データの学習利用の可否を契約面で確認し、機密情報の入力を制限するプロンプトフィルタリング等の技術的対策と、利用ガイドラインによる組織的対策の両面を整備することが求められる。
ネットバンキング対策: 法人のインターネットバンキング利用においては、電子証明書の活用や、送金承認を行う端末と依頼を行う端末を分離するなどの物理的なプロセス管理が、不正送金リスクを低減する戦略的手段となる。
AI悪用への備え: 攻撃者がAIを用いて攻撃手法を高速に進化させている現状に対し、防御側もAIを活用したログ分析や異常検知(EDR/XDR等)を導入し、検知と対応の自動化を促進して防御のタイムラグを最小化すべきである。
誤った選択肢の例(解説付き)
AIの責任範囲: 生成AIが生成したプログラムコードに脆弱性が含まれていた場合、その責任はAI提供ベンダーに帰属するため、利用企業は自社でのセキュリティテストを省略し、開発コストの最適化を図るべきである。
解説: 誤り。AI生成物の脆弱性や権利侵害の責任は、利用者に帰属します。自社での検証プロセス(セキュアコーディング等)の省略は、ITストラテジストとして適切なリスク評価とは言えません。
多要素認証の過信: インターネットバンキングにおいてSMSを用いた二要素認証を導入していれば、中間者攻撃やSIMスワッピングによる不正アクセスのリスクは完全に排除されるため、他の認証手段を検討する必要はない。
解説: 誤り。SMS認証はSIMスワッピング等で突破される事例が増えています。完全に排除されるわけではないため、より強固な物理トークンやFIDO認証等の検討も戦略に含めるべきです。
AIリスクの回避策: AIの利用に伴うサイバーリスクを回避するためには、社内からの生成AIへのアクセスを全面的に遮断し、従来通りの手作業によるプロセスを維持することが、長期的には最も経済合理性の高い戦略である。
解説: 誤り。全面遮断は従業員の利便性を損なうだけでなく、業務効率の低下や、隠れて利用する「シャドーAI」を誘発します。リスクを制御しながら活用する「ガバナンス」の構築がITストラテジストの役割です。
その他の組織向け脅威(2026年版)
1位:ランサム攻撃による被害
11年連続で1位となっており、近年の特徴は「データの暗号化」だけでなく「窃取したデータの公開」による多重脅迫の常態化です。バックアップがあっても、機密情報が流出すればビジネス上のダメージは防げません。「侵入されることを前提(アズーム・ブリーチ)」とした、データの暗号化保存やアクセス権限の最小化といったゼロトラスト志向の戦略が合格のカギとなります。
2位:サプライチェーンや委託先を狙った攻撃
自社のセキュリティが堅牢でも、セキュリティの甘い子会社や保守ベンダー、あるいは利用しているソフトウェアライブラリ(OSS等)を経由して侵入されます。ITストラテジストとしては、契約におけるセキュリティ要件の明文化や、SBOM(ソフトウェア部品表)を活用した透明性の確保など、エコシステム全体を俯瞰した管理能力が問われます。
4位:システムの脆弱性を悪用した攻撃
ゼロデイ攻撃だけでなく、既知の脆弱性が放置されているケースが依然として被害の主流です。単にパッチを当てるだけでなく、資産管理ツールを用いて「どこに、どのバージョンのソフトがあるか」をリアルタイムで把握する、IT資産のライフサイクル管理の仕組み作りを戦略として提案できるかが重要です。
5位:機密情報を狙った標的型攻撃
特定の組織に対して、高度な調査をもとに行われる攻撃です。近年は地政学的な意図を持つケースも増えています。技術的な対策に加え、従業員一人ひとりが「自分が狙われている」と認識するための教育、および不審な兆候を即座に報告できる組織文化(サイバーレジリエンス)の醸成が、戦略の根幹となります。
6位:地政学的リスクに起因するサイバー攻撃(情報戦を含む)
国家間の対立がサイバー空間に波及し、重要インフラや特定企業がターゲットになります。2026年版では「情報戦」という言葉が追加され、偽情報の拡散によるブランドイメージの毀損も大きな脅威となっています。BCP(事業継続計画)の策定において、これら外部環境の変化をリスクシナリオに組み込む必要があります。
7位:内部不正による情報漏えい等
退職者による顧客データの持ち出しや、特権IDの悪用が絶えません。これは技術的な問題以上に「人の心」と「組織体制」の問題です。ログの監視を強化するだけでなく、心理的安全性の確保や不平不満を解消する制度設計、さらには「そもそも情報を持ち出しにくい」業務プロセスの構築が、IT戦略に求められます。
8位:リモートワーク等の環境や仕組みを狙った攻撃
テレワークが常態化した今、VPN機器の脆弱性や家庭用Wi-Fiルーター、脆弱な私用端末が侵入経路となります。境界防御に頼るのではなく、端末そのものの健全性をチェックしてから接続を許可するゼロトラスト・アーキテクチャへの転換、およびITリテラシー教育の継続が、現代の標準的な戦略と言えます。
9位:DDoS攻撃(分散型サービス妨害攻撃)
大量の通信を送ることでサイトを停止させる古典的な手法ですが、近年は攻撃規模が巨大化しています。また、地政学的リスクと連動して思想的な主張のために行われるケースも目立ちます。クラウド型WAFやCDNを活用したサービス継続性の確保は、ITストラテジストの重要な検討事項です。
10位:ビジネスメール詐欺(BEC)
取引先や経営層を装った巧妙なメールで不正送金を行わせる手口です。ここでもAIによる「なりすまし」が加速しており、文章の信憑性が極めて高くなっています。システムのフィルタリングだけでなく、「送金依頼は必ず電話で再確認する」といった二重チェックの業務プロセスをルール化し、徹底させるガバナンスが不可欠です。
よくある質問(FAQ)
Q1. ITストラテジスト試験でAIリスクはどのように出題されますか?
A: AIリスクは重要テーマです。たとえば、午後Ⅰでは「AI導入時のリスク評価と対策立案」、午後Ⅱでは「AIガバナンス構築の論述」として出題される可能性がありそうです。2026年度試験では特に注目される分野なのではないでしょうか。
Q2. シャドーAIとシャドーITの違いは?
A: シャドーITは社内で未承認のIT機器・サービス全般を指すのに対し、シャドーAIはAIツール(ChatGPTなど)の無断利用を特に指します。
Q3. ゼロトラスト戦略は試験で頻出ですか?
A: はい。2020年以降、情報セキュリティが重点分野となり、ゼロトラスト・Assume Breachの考え方は午前の選択肢でも出ていますし、午後Ⅰ・Ⅱで頻繁に問われています。
Q4. 演習問題は実際の試験形式に即していますか?
A: 本記事の演習問題は午前試験(多肢選択式)を想定しています。午後試験では記述式・論述式となり、より深い戦略立案能力が問われます。
Q5. 2026年度からCBT方式に変わると聞きましたが、対策は変わりますか?
A: 試験方式は変わりますが、問われる知識・技能の範囲は変わりません。ただし、試験日程の柔軟性が増すため、計画的な学習スケジュール管理が重要になると思われます。
応用情報技術者試験、高度試験及び情報処理安全確保支援士試験におけるCBT方式での実施について
冒頭の概要にて、下記のように書かれています。
なお、これら試験区分で問う知識・技能の範囲そのものに変更はありません。
また、出題形式(多肢選択式・記述式・論述式)、出題数及び試験時間も同様に変更はありません。
参考文献
カテゴリA:公的機関・公式情報
独立行政法人情報処理推進機構. (2026年1月29日). プレス発表「情報セキュリティ10大脅威 2026」を決定. https://www.ipa.go.jp/pressrelease/2025/press20260129.html
独立行政法人情報処理推進機構. (2026年1月29日). 情報セキュリティ10大脅威 2026. https://www.ipa.go.jp/security/10threats/10threats2026.html
独立行政法人情報処理推進機構. (n.d.). ITストラテジスト試験. https://www.ipa.go.jp/shiken/kubun/st.html
独立行政法人情報処理推進機構. (n.d.). 令和8年度(2026年度)試験情報. https://www.ipa.go.jp/shiken/2026/index.html
独立行政法人情報処理推進機構. (n.d.). ゼロトラスト導入指南書. https://www.ipa.go.jp/jinzai/ics/core_human_resource/final_project/2021/ngi93u0000002klo-att/000092243.pdf
独立行政法人情報処理推進機構. (n.d.). ゼロトラスト移行のすゝめ. https://www.ipa.go.jp/jinzai/ics/core_human_resource/final_project/2022/ngi93u0000002ko3-att/000099778.pdf
カテゴリB:セキュリティ専門機関・企業レポート
Aryaka Networks. (n.d.). シャドーAIがもたらす5つのセキュリティ脅威. https://www.aryaka.com/ja/blog/shadow-ai-security-threats-unified-sase/
Barracuda Networks. (n.d.). スワップを阻止せよ:SIMスワップ詐欺から端末を守るには. https://www.barracuda.co.jp/sim-swapping-fraud/
Deloitte Tohmatsu Cyber合同会社. (n.d.). 第1回 AIガバナンスとは何か?リスクと必要性. https://www.deloitte.com/jp/ja/services/audit-assurance/blogs/ai-governance-01.html
KPMG Japan. (2026年2月). 経営戦略としてのAIガバナンス. https://kpmg.com/jp/ja/insights/2026/02/tech-rulemaking-05.html
NRI Secure Technologies. (n.d.). IPA「情報セキュリティ10大脅威 2026」解説|専門家が語るTOP10. https://www.nri-secure.co.jp/blog/ipa-10-major-threats-2026
野村総合研究所. (2025年9月17日). AIリスクから企業を守るには 実践的なAIガバナンスの方法. https://www.nri.com/jp/media/column/scs_blog/20250917.html
Zscaler, Inc. (n.d.). シャドーAIについての解説:意味、例、管理方法. https://www.zscaler.com/jp/zpedia/what-is-shadow-ai
カテゴリC:技術解説・専門記事
ITmedia Enterprise. (2026年1月31日). 「情報セキュリティ10大脅威 2026」公開 新たに登場した”ある脅威”とは?. https://www.itmedia.co.jp/enterprise/articles/2601/31/news010.html
Impress Watch. (2026年1月30日). IPA、「情報セキュリティ10大脅威2026」を発表~ AI利用によるサイバーリスク初選出. https://news.yahoo.co.jp/articles/d705a7b807632db95effc7fb9d8b12cde1dd7b17
マイナビニュース. (2026年1月30日). IPA、「情報セキュリティ10大脅威 2026」発表 – AIが初ランクイン. https://news.mynavi.jp/techplus/article/20260130-4059814/
NTT東日本. (n.d.). 知らぬ間にスマホが乗っ取られる「SIMスワップ」の恐怖. https://business.ntt-east.co.jp/column/bizdrive/sim-swapping-smartphone-theft.html
Google Cloud. (n.d.). AI ハルシネーションとは. https://cloud.google.com/discover/what-are-ai-hallucinations?hl=ja
Microsoft Japan. (2021年3月4日). ゼロトラストの世界で「Security for All」を実現する 4 つの方法. https://news.microsoft.com/ja-jp/2021/03/04/210304-4-ways-microsoft-is-delivering-security-for-all-in-a-zero-trust-world/
カテゴリD:AIガバナンス関連
AI原則実践のためのガバナンス・ガイドライン実装委員会. (n.d.). AIガバナンス行動目標の概要. https://www.ai-governance.jp/ai-governance-action-agenda
富士フイルムビジネスイノベーション. (n.d.). AIガバナンスとは?必要な背景と企業が実施できる方法などを解説. https://www.fujifilm.com/fb/solution/dx_column/ai/about-ai-governance
PwC Japan. (n.d.). AIガバナンス. https://www.pwc.com/jp/ja/services/consulting/analytics/responsible-ai.html
東芝. (n.d.). 信頼できるAIを支える東芝のAIガバナンス. https://www.global.toshiba/jp/technology/corporate/ai/governance.html
カテゴリE:学術・研究機関
Wikipedia. (n.d.). ハルシネーション (人工知能). https://ja.wikipedia.org/wiki/ハルシネーション_(人工知能)
Wikipedia. (n.d.). SIMスワップ詐欺. https://ja.wikipedia.org/wiki/SIMスワップ詐欺
MIT Technology Review. (n.d.). 解説:生成AIのハルシネーションはなぜ起きるのか. https://www.technologyreview.jp/s/339410/why-does-ai-hallucinate/
コメント