今年も残りわずかとなりました。
情報セキュリティ関連の2026年の動向をまとめてみました。
1.経産省主導の「サプライチェーン強化セキュリティ評価制度」運用開始
< 制度の概要>
経済産業省が2026年度中(特に10月以降を目標に)に開始を予定しているのが、
「サプライチェーン強化に向けたセキュリティ対策評価制度」です。
これは企業のサイバーセキュリティ対策を段階的に評価・可視化する制度で、
取引先企業のセキュリティ水準を「★3〜★5」などの評価レベルで示す仕組みになる予定です。
< なぜ必要なのか?(背景と狙い)>
近年、サプライチェーン経由でのサイバー攻撃や情報漏洩が深刻化しており、
ただ自社だけでなく取引先全体のセキュリティが問われています。
例えば取引企業から「セキュリティ対策の証明」を求められるケースが増え、
中小企業では対応負担が大きいという課題もありました。
こうした課題を解消し、統一的・客観的なセキュリティ評価基準を提供することが本制度の目的です。
< 企業側の対応ポイント>
★3〜★5までの評価レベルが想定され、取引先や業種に応じて
どのレベルを目指すべきか戦略的に選定・対策実行が求められます。
上位レベル(★4以上)では、取引先管理やログ管理、インシデント対応体制など
より高い水準のセキュリティ対応が必要になると見られています。
早めにギャップ分析を行い、制度開始までに対応計画・予算確保を進めておくことが重要です。
2.日本国内のセキュリティ市場・政策連携
2026年に向けて、経産省やデジタル庁、NISC(内閣サイバーセキュリティセンター)などがセキュリティ戦略の強化を加速しています。
これにより国内のサイバーセキュリティ市場自体も拡大が見込まれています。
これは政府の支援や企業の投資意欲が高まっているためで、技術ベンダー・コンサルティング・人材育成の需要増加につながっています。
3.IoT/製品セキュリティの認証・ラベリング制度
すでに IoT製品に対するセキュリティラベリング制度(JC-STAR)の運用が開始されています。
これは機器セキュリティに関する評価・ラベル付与制度で、海外でも認識される可能性を見据えた動きです。
この動きは、製品安全とサプライチェーン防御の両面からのセキュリティ強化を促進する重要な政策です。
4.技術面のトレンドと攻撃動向
・AI活用・AI攻撃の高度化
2026年以降、生成AIや自動化ツールが攻撃者側・防御側ともに本格的に取り入れられます。
AIを悪用したフィッシング自動生成・侵入試行の自動化、AIモデルそのものの脆弱性悪用などが懸念されています(前回話題にも触れた通り)。
・ゼロトラストモデルの普及
特権アクセスの制御やID管理、ネットワーク分離など「信頼しない」前提でのセキュリティ構築が標準化しつつあります。
これらはすべて2026年に向けて具体化する重要なテーマになるでしょう。
✍️ まとめ2026年のポイント
・経産省評価制度の導入でセキュリティの“見える化”が加速
・海外・国内におけるサプライチェーンリスク対応が企業の必須要件へ
・技術・政策・市場の三位一体でセキュリティ投資が拡大
2026年は 政策と実務が大きく動く分岐点になります。
特に中堅・中小企業にとっては、取引機会や信頼構築に直結する制度対応が不可欠となる年です。