はじめに
独立行政法人情報処理推進機構(IPA)は、2025 年に発生した社会的に影響の大きい事案に基づき「情報セキュリティ 10 大脅威 2026」を発表しました。
本発表では、組織向けの脅威として「ランサム攻撃による被害」が 11 年連続で 1 位となったほか、「AI の利用をめぐるサイバーリスク」が初めて選出されるなど、現在のテクノロジートレンドを色濃く反映した結果となっています。
参考: 情報セキュリティ 10 大脅威 2026
複数の脅威にまたがる事案もあるため、各自の環境に照らし選出された脅威については、極力もれなく対策を行うことが求められます。
https://www.ipa.go.jp/security/10threats/10threats2026.html
本記事では、この IPA の発表に基づき、単なる脅威の紹介にとどまらず、IT インフラストラクチャやクラウド環境(AWS や Azure など)の設計・運用に携わるエンジニアが実践すべき具体的な対策アプローチを客観的な視点で解説します。
- 11 年連続 1 位のランサムウェアに対するイミュータブルバックアップの重要性
- 初選出の AI 関連リスクを防ぐネットワークおよびクラウドガバナンス
- サプライチェーン攻撃や内部不正を抑止するアイデンティティ管理
- リモートワーク環境や脆弱性を狙う攻撃に対するゼロトラスト(ZTNA)の実装
11 年連続 1 位「ランサム攻撃」に対するバックアップ戦略と防御
組織向け脅威の 1 位は、2016 年から継続して「ランサム攻撃による被害」が占めています。侵入経路の巧妙化に伴い、境界防御だけで完全に侵入を防ぐことは困難であるという前提のもと、インフラ設計においては「侵入された後、いかに被害を局所化し、確実な復旧手順を担保するか」が重要になります。
参考: 情報セキュリティ 10 大脅威 2026 [組織]
ランサム攻撃による被害 2016年 11年連続11回目https://www.ipa.go.jp/security/10threats/10threats2026.html
Azure / AWS におけるイミュータブル(不変)バックアップの設計
近年は本番データだけでなく、バックアップデータ自体を暗号化・削除の標的とするランサムウェアが増加しています。これに対抗するため、パブリッククラウド環境では、一度書き込んだデータを一定期間管理者であっても削除・変更できない「イミュータブル(Immutable)ストレージ」の導入が必須要件となりつつあります。
AWS 環境では Amazon S3 オブジェクトロック、Azure 環境では Azure Blob Storage の不変ポリシー(WORM ポリシー)を有効化することで、ランサムウェアによる論理的なデータ破壊からバックアップを保護し、身代金要求に応じずにシステムを復旧できる基盤を構築できます。
ネットワークセグメンテーションと横展開(ラテラルムーブメント)の阻止
攻撃者は初期侵入後、Active Directory(AD)や重要なデータベースへアクセスするために、ネットワーク内を横展開(ラテラルムーブメント)します。
これを物理的、あるいは論理的に制限するために、VPC(仮想プライベートクラウド)や VNet 内での厳格なマイクロセグメンテーション設計が求められます。サブネット間の通信をセキュリティグループ(SG)やネットワークセキュリティグループ(NSG)で最小限のポートのみに絞り、不要なプロトコル(RDP や SMB など)の内部通信を遮断することが、被害の拡大を防ぐ防波堤として機能します。
初選出「AI の利用をめぐるサイバーリスク」へのインフラ的アプローチ
組織向け脅威の 3 位には、近年急速にビジネスへの統合が進む生成 AI に関連し、「AI の利用をめぐるサイバーリスク」が初めてランクインしました。
参考: 情報セキュリティ 10 大脅威 2026 [組織]
AI の利用をめぐるサイバーリスク 2026年 初選出
https://www.ipa.go.jp/security/10threats/10threats2026.html
シャドー AI の可視化と制御(プロキシや次世代ファイアウォールの活用)
IT 部門が許可していないパブリックな生成 AI サービスを従業員が業務利用する「シャドー AI(Shadow AI)」は、機密情報やソースコードの漏えいに直結します。
インフラ運用においては、CASB(Cloud Access Security Broker)や NGFW(次世代ファイアウォール)、SWG(セキュア Web ゲートウェイ)を活用し、組織内から未許可の AI アプリケーションへのアクセスを可視化・ブロックするインライン制御が不可欠です。
意図しないデータ学習や情報漏えいを防ぐクラウドガバナンス
業務効率化のために AI を導入する際は、入力したプロンプトや社内データが AI モデルの再学習に利用されないアーキテクチャを選択することが大前提となります。
Azure OpenAI Service や Amazon Bedrock といったエンタープライズ向けのマネージド AI サービスを利用し、VNet や VPC などの閉域網内でエンドポイントを構成する(PrivateLink の活用など)ことで、インターネットを介さないセキュアな AI 活用基盤を構築できます。
サプライチェーン攻撃と内部不正を防ぐアイデンティティ管理
大企業の強固なセキュリティ網を直接狙うのではなく、セキュリティ対策が手薄な関連会社や委託先を踏み台にする「サプライチェーンや委託先を狙った攻撃」が 2 位に、そして従業員等による「内部不正による情報漏えい等」が 7 位にランクインしています。
参考: 情報セキュリティ 10 大脅威 2026 [組織]
サプライチェーンや委託先を狙った攻撃 2019年 8年連続8回目
https://www.ipa.go.jp/security/10threats/10threats2026.html
サードパーティ連携における最小権限の原則(Entra ID や IAM の活用)
外部の委託業者やシステム間連携において、社内ネットワークと同等の過剰な権限を付与することは致命的なリスクとなります。
クラウド環境のアイデンティティ基盤(Microsoft Entra ID や AWS IAM など)を利用し、アクセス元の IP アドレスやデバイスのコンプライアンス状況、多要素認証(MFA)の有無に応じた「条件付きアクセス」を厳格に定義します。また、リソースに対する権限は「最小権限の原則」に基づき、必要な時に必要な機能だけを許可するロールベースアクセス制御(RBAC)を徹底することが重要です。
特権アクセスマネジメント(PAM)による証跡管理と権限の分離
内部不正を防ぐためには、システム管理者などの強い権限(特権)に対する監視と統制が不可欠です。
特権アクセスマネジメント(PAM)ソリューションを導入し、特権アカウントのパスワードを定期的にローテーションするだけでなく、「いつ・誰が・どのような操作を行ったのか」という監査ログ(証跡)を改ざん不可能な別領域に保存するアーキテクチャ設計が求められます。
脆弱性悪用とリモートワークを狙う攻撃への対策
組織向け脅威の 4 位には「システムの脆弱性を悪用した攻撃」、8 位には「リモートワーク等の環境や仕組みを狙った攻撃」がランクインしています。
参考: 情報セキュリティ 10 大脅威 2026 [組織]
システムの脆弱性を悪用した攻撃 2016年 6年連続9回目” “リモートワーク等の環境や仕組みを狙った攻撃 2021年 6年連続6回目”
https://www.ipa.go.jp/security/10threats/10threats2026.html
ゼロトラストネットワークアクセス(ZTNA)への移行と VPN の課題
リモートワークの普及に伴い、外部から社内ネットワークへ接続するための VPN 機器が広く導入されました。しかし、VPN 機器自体のパッチ未適用による脆弱性が、ランサムウェア等の初期侵入経路として頻繁に悪用されています。
これに対するインフラ設計の最適解が、ゼロトラストネットワークアクセス(ZTNA)への移行です。ZTNA はネットワーク境界に対する信頼を排除し、アプリケーション単位でアクセスを制御します。ユーザーのデバイス状態やロケーションを動的に評価し、VPN のようにネットワーク全体へのアクセスを許可しないため、侵入後の横展開リスクを大幅に軽減できます。
クラウドネイティブな脆弱性管理(CSPM / CWPP)による継続的な監視
オンプレミスとクラウドが混在するハイブリッド環境において、手動での脆弱性パッチ管理は限界を迎えています。
IaaS や PaaS 環境においては、CSPM(Cloud Security Posture Management)を利用してクラウド設定のミスやコンプライアンス違反を継続的に監視・自動修復する仕組みが必要です。また、仮想マシンやコンテナなどのワークロード層に対しては、CWPP(Cloud Workload Protection Platform)を導入し、OS やアプリケーションの脆弱性をリアルタイムで可視化・防御する包括的なアプローチが求められます。
まとめ
本記事では、IPA の「情報セキュリティ 10 大脅威 2026」に基づき、インフラエンジニアがクラウド環境で実践すべきセキュリティ対策について解説しました。
- ランサム攻撃対策として、S3 や Blob Storage によるイミュータブル(不変)バックアップを実装する。
- 生成 AI 利用による情報漏えいを防ぐため、CASB 等のインライン制御や閉域網アクセスを構成する。
- サプライチェーンや内部不正の脅威に対し、Entra ID 等を用いた最小権限の原則と PAM を徹底する。
- VPN 機器の脆弱性を排除するため、ZTNA への移行と CSPM や CWPP による継続的監視を導入する。
以上、最後までお読みいただきありがとうございました。
