サプライチェーン、AI、内部不正……多様化する脅威にGartnerが示す10の警告：5年後を見据えたリスク管理

Gartnerは、日本国内のセキュリティインシデントの傾向と10分類を発表。企業に対し多様化するリスクへの包括的な対策の必要性を示した。

[TechTargetジャパン]

　ガートナージャパン（以下、Gartner）は、日本国内のセキュリティインシデントの傾向を発表した。直近のセキュリティインシデントの傾向を次の10パターンに分類している。

国内セキュリティインシデント10分類

併せて読みたいお薦め記事

AIエージェントとセキュリティ

• AIエージェントが「最強の内部犯」に？　情シスが抑えるべき新たなセキュリティリスク
• AIエージェントをランサムウェアに豹変させるプロンプトとは？

1．サプライチェーンリスクの劇的な拡大

　サプライチェーンのサイバーリスクが急速に拡大している。Gartnerは、2030年までにセキュリティインシデントの60％以上がサードパーティーやサプライチェーンに起因するものになると予測する。企業には、外部起因のインシデントがあらゆる攻撃パターンの発行点になることを前提に、セキュリティ対策をデザインすることが求められる。

2．AIエージェントにまつわる新たな脅威

　生成AIの活用が進むにつれ、AIエージェントに伴うリスクや脅威への懸念が強まっている。AIエージェント起因の内部脅威として、データの消失や漏えい、誤った取引のほか、実際にビジネス損失につながるプロセス停止を引き起こした事例も報告されている。エージェントハイジャックといった外部脅威も、ラボでの検証やベンダーによる報告を通じて現実的なリスクとして浮上している。AIブラウザやPCインストール型のAIエージェントの普及に伴い、今後さらなる警戒が必要となる。

3．執拗に続くランサムウェア攻撃と委託先経由の漏えい

　2026年に入ってからも、ランサムウェア被害は頻発している。業務委託先が攻撃を受けたことで、委託元である自社の個人情報が漏えいするケースも目立つ。攻撃手法は、既存機器の脆弱（ぜいじゃく）性の悪用、正規ツールを悪用するLoTL（Living off the Land）攻撃、マルウェアの併用など、目的達成のために複数の手法を組み合わせる傾向がある。拠点やVPNの脆弱性、認証情報の管理不足を抱える企業はいまだにあるため、被害の発生は当面継続する可能性が高い。

4．生活インフラを狙うDDoS攻撃の兆候

　クラウドサービスやWebメール、レンタルサーバなどを狙ったDDoS攻撃が散見される。直近で甚大な被害は出ていないものの、過去には生活インフラ企業が短期集中的な攻撃を受けた事例もある。こうした兆候には常に留意する必要がある。

5．ECサイトの長期停止と「保有リスク」の再考

　ランサムウェア以外でも、Eコマース（EC）サイトが数カ月にわたって停止する事案が発生している。攻撃によって過去のクレジットカード情報が不正利用された可能性を公表した企業がある一方で、サーバにクレジットカード情報を保管しない設計にしていたことで難を逃れた事例も存在する。組織は「情報を保有すること自体がリスクである」という観点から、システムとセキュリティの設計を再検討すべきだ。

6．進化するBECとフィッシング詐欺

　オンラインの証券口座を悪用したフィッシング詐欺も課題だ。ボイスフィッシングやビジネスメール詐欺（BEC）も絶えない。特にBECは、生成AIを用いて自然な文面を作成したり、不正アクセスで業務内容を事前に把握して巧みに偽装したりするなど、手法が高度化している。これらを技術のみで完全に防ぐのは困難なため、多額の送金を1人で実行できないようワークフローを強化し、それを順守させる対策が必要だ。

7．内部不正と組織ガバナンスの欠如

　退職者が転職先での営業利用を目的に顧客情報を持ち出す内部不正も後を絶たない。さらに、業務委託先が無断で再委託先と契約して不正を招いたケースや、セキュリティ監査で虚偽報告を行っていたケースなど、組織ガバナンスが機能不全に陥っている状況も見られる。

　ガートナージャパンのシニアディレクターアナリストである木村俊一氏はこれについて次のように指摘する。「情報漏えいの経路は、物理的な立ち入りやUSBメモリ、クラウドの共有機能による個人メールへのリンク送信など、何年も前から変わらないものが多い。サードパーティーやAIの活用で情報の移動範囲が広がる中、リスクポイントを明確にし、適時に検知できるか再点検が必要だ」

8．設定ミスや不注意による「うっかり」漏えい

　臨時作業時のミスに気付かず、個人情報がインターネット上で長期間閲覧可能になっていた事例や、メールの誤送信による漏えいもある。さらに、ミスを恐れた委託先社員がアクセスログを削除したといった例もある。重大なインシデントにつながりかねない業務では、複数名が関与するフローを構築し、ミス発覚時に迅速かつ正直に報告できる仕組み作りと文化の醸成が必要だ。

9．デジタル倫理とプライバシーの課題

　AIによる画像・映像分析のプライバシー対応の不備や、意図しないデータ利用、第三者提供を巡る議論が活発化している。木村氏は、「AI活用によるビジネス推進やリスク対策で、事前の説明や法規制の確認は当然だ。たとえ法的に問題がなくても、その手法が社会的に倫理として許容されるかを慎重に検討しなければならない」と述べる。

10．拡散するフェイクインシデントへの対応

　実際には発生していないインシデント情報や、事実と異なる公表内容が拡散されることがある。公表の範囲やタイミングに唯一の正解はない。企業はあらかじめ方針や判断フローを定めておき、レピュテーションリスクに過敏になりすぎず、冷静な事実確認に基づいて対応することが求められる。

　木村氏は、サイバーセキュリティリーダーが取るべき姿勢について次のように述べる。「国内で発生している最新のインシデントや新たに出現した脅威を俯瞰（ふかん）的に把握し、多様なリスクに備える必要がある。社会的インパクトが大きな事案だけに目を奪われるのではなく、日々発生するインシデントを深く理解し、備えるべきリスクを正確に捉えることが重要だ」