日本語
日本語
641
サイバー攻撃は、企業にとって避けられない経営リスクです。
2025年は大手を含め被害が相次ぎ、
ランサムウェアや情報漏れが事業継続を揺らすケースが目立ちました。
技術が進むほど、手口も巧妙になります。
2026年は、AIの普及でフィッシングが見抜きにくくなり、
AIエージェントも新たな攻撃対象になっていくと見られます。
では、企業セキュリティ対策は何を優先すべきか。
本記事では、2025年のトレンドを4つに整理したうえで、
2026年の見通しと、すぐ始められる対策をまとめます。
最後に、Yopazのサイバーセキュリティへの取り組みも紹介します。
「セキュリティは土台、成長は未来」を掲げ、
守りを運用に落とし込むことを大切にしています。
2025年の主な脅威は、ランサムウェア、生成AIを悪用したフィッシング、サプライチェーン侵害、認証情報の悪用の4つでした。
ランサムウェアは、PCを暗号化して業務を止めるだけの攻撃ではなくなりました。まず社内データや顧客情報を持ち出し、「公開されたくなければ支払え」と迫る“データ恐喝”が増えています。解除できても、漏えい調査や取引先対応、再発防止でコストと時間がかかります。
「The Ransomware Insights Report 2025」は、Barracudaが2025年4〜5月に実施した世界2,000人のIT・セキュリティ意思決定者調査を基に、ランサムウェア被害の実態を整理したものです。調査では、直近12カ月で57%がランサム被害を経験しています。身代金を支払った企業は32%でしたが、そのうち41%はデータを完全に取り戻せませんでした。
生成AIの進化で文章は自然になりました。便利な一方で、なりすましも巧妙になり、真偽の見分けが難しくなっています。生成AIの悪用として、偽のメール作成、声のなりすまし、上司や同僚を装ったディープフェイク動画などが広がっています。こうした手口は詐欺の入口になりやすく、結果としてサイバー攻撃につながるケースも増えています。
「Microsoft Digital Defense Report 2025」によると、AIで自動化されたフィッシングメールのクリック率は54%で、従来型(12%)を大きく上回りました。さらにAIの自動化によって、標的を絞った攻撃を低コストのまま数千件規模まで展開でき、フィッシングの収益性は最大50倍に伸び得ると示されています。
サイバー攻撃の影響は、自社の業務停止だけにとどまりません。取引先や委託先を巻き込めば、サプライチェーンが途切れ、被害は一気に広がります。影響範囲の特定に時間がかかり、調査と復旧が長引くほど、対応コストも跳ね上がります。
例:2025年9月29日に発生したランサムウェアによるサイバー攻撃を受け、被害拡大を防ぐための遮断措置が取られました。その影響で、アサヒ国内グループ各社では、受注・出荷(商品発送)を含む業務に支障が生じました。
攻撃者は自社を直接狙わなくても、サプライチェーンを叩くだけで企業に損失を与えられます。
現在、サイバー攻撃の侵入口として多いのが、VPNやインターネットに公開された境界機器の脆弱性です。加えて、アカウント名やパスワードなどの認証情報が漏えいすると、攻撃者は正規ユーザーになりすましてシステムに不正ログインできます。このタイプは操作が「通常の利用」と区別しにくく、発見が遅れやすい点が特に危険です。
例:IIJは2025年4月15日、「IIJ Secure MX Service」で不正アクセスがあり、最大6,493契約・4,072,650件のメールアカウントで情報漏えいの可能性があると公表しました。
2025年に顕在化した4つの手口は、
被害の深刻さだけでなく、2026年の攻撃の方向性を示唆しています。
2025年の手口は終わりではなく、2026年は自動化で「速く・広く」回り、AI運用や現場にも波及していくと見られます。具体的には、技術・心理のソーシャルエンジニアリング、AIエージェントの権限悪用、攻撃の自動化による高速・大量化、ICS/OT(工場・設備)を狙う操業リスクの4点です。
サイバー攻撃は、決して技術だけの勝負ではありません。
以前からある手口に加え、生成AIの普及でフィッシングの文章が自然になり、音声のなりすましやディープフェイク動画、取引先を装った請求書メールなども作りやすくなりました。
結果として、最初に突破されやすいのはシステムの穴というより、確認が抜ける瞬間です。
AIエージェントの「自動実行」は業務を効率化する一方、実行権限を広げるほどリスクも増えます。
例えば、プロンプトを誘導して意図しない操作をさせる、連携先のAPIキーや認証情報を奪って勝手に実行させる、といった攻撃が想定されます。
そのため、2026年のサイバー対策では、AIエージェントのガバナンスが重要テーマになります。
「関連記事」:AIエージェントとは?ビジネス活用の基礎と最新動向
「関連記事」:生成AIプロンプトのコツ7つ|業務効率を最大化する実践ガイド
生成AIや自動化ツールの普及で、2026年は攻撃の自動化がさらにやりやすくなります。
例えば、フィッシング文面を大量に作る、漏えいしたID・パスワードでログインを機械的に試す、侵入後の探索や横展開をスクリプトで加速するといった手口です。
結果として、スピードと影響範囲が広がり、初動が遅れるほど被害は一気に膨らみます。
2026年のサイバー攻撃は、ITだけでなく、生産ラインそのものに直接影響します。
Googleは、ICS/OTの最大リスクは引き続きサイバー犯罪であり、ERPなどの基幹システムを狙うランサムウェアがOT運用に必要なデータの流れを断って、現場を止めかねないと警告しています。
生産は計画どおりに回す前提で、復旧にも時間がかかるため、一度止まると納期・売上への打撃が大きく、「情報を守る」だけでなく「操業を守る」経営課題になります。
2025年の手口だけでも十分に厄介でしたが、2026年は状況がさらに厳しくなります。
サイバー攻撃は「人」「AIエージェントの自動実行」「スピードと規模」「現場(ICS/OT)」へ広がり、被害が深刻化しやすいからです。
要点は、「人と運用」を起点に回すことです。
流れは、侵入を減らす、早く気づく、早く戻すの3つです。
情報セキュリティの運用手順を作るうえで欠かせない要素は、次の4つです。
各担当者の役割と責任範囲(誰が何を判断し、誰が動くか)
情報を漏えいさせないための作業ルール(共有・送付・持ち出しの扱い)
不審な兆候の見分け方と初動手順(報告、切り分け、一次対応)
緊急時の連絡体制(連絡先、連絡順、判断者の明確化)
人の注意だけに頼らず、動ける型を用意するのがポイントです。
権限設計は、情報セキュリティの要となります。
対象は人だけでなく、システムのアカウントやAPI、そしてAIエージェントにも同じ考え方を適用します。
基本ルールは最小権限で、特権IDは棚卸しと削減を行い、MFAで不正ログインのリスクを大きく下げます。
VPNやインターネット公開機器は、侵入口になりやすい領域です。
脆弱性の修正(パッチ)、不要な公開・ポートの閉鎖、ファイアウォールによる遮断、設定の見直し(ハードニング)は、欠かせない基本対策です。
取引先・委託先の事故が自社に波及する前提で、接続範囲や権限、運用ルールも見直します。
被害が広がるのは、多くの場合「気づくのが遅い」からです。
だから、重要なログは最初から残しておき、誰が・いつ・どこに入ったかをあとで追える状態にします。
あわせて、検知基準とアラートを整え、「異常に気づける仕組み」を先に作ります。
バックアップの目的は、データを残すことだけでなく、止まった業務を早く復旧させることです。
ランサムウェアも想定し、オフライン保管や改ざんされにくいバックアップを組み合わせます。
さらに、定期的に復元テストを行い、「本当に戻せる」状態を確認します。
これらの対策は、
サイバー攻撃を防ぐうえでの「人・システム・プロセス」の役割を示しています。
では、サイバーセキュリティと情報セキュリティの重要性を踏まえ、
Yopazはどのような取り組みを進めているのでしょうか。
当社は「情報セキュリティ基本方針」を公開し、
関連法令および社内規程に沿って情報資産を守る運用を続けています。
「関連記事」:情報セキュリティ基本方針
2025年10月10日には、ISMSの国際規格であるISO/IEC 27001の認証を取得しました。
規程の見直しや内部監査を通じて、運用の抜け漏れが出ないように整えています。
部門別研修に加え、四半期ごとの自己点検と再周知を継続し、
セキュリティを日常業務に組み込んでいきます。
「関連記事」:ISO/IEC 27001 認証授与式:Yopazの情報セキュリティ遵守へのコミット
「セキュリティは土台、成長はその先に」
サイバー攻撃が複雑化し、何が起きても不思議ではない時代です。
だからこそ、守りの設計ができている会社ほど、現場は安心して前に進めます。
Yopazは、社内の運用整備だけでなく、
お客様のプロジェクト一つひとつでも「安全に回る前提」を崩さない進め方にこだわります。
ITシステム・DX・AIのアイデアがあれば、まずは情報交換からでも構いません。
気軽に声をかけてください。
本物の企業やサービスを装ったメール・SMS・偽サイトで、ID・パスワードやカード情報を盗み取る手口です。リンク先でログインさせたり、添付ファイルを開かせて感染させるケースもあります。
業務に必要な範囲だけに権限を付与し、それ以外は与えない考え方です。退職・異動・業務変更のタイミングで権限を見直し、不要な権限は速やかに削除します。
普段と違う場所・時間帯・端末からのログイン、短時間での大量アクセス、権限変更や不審な設定変更をログで監視します。MFA(多要素認証)とアラートを組み合わせ、異常時は即時にセッション遮断・パスワード無効化などの対応を取れる体制にします。
サクッと打ち合わせ予約
