企業を取り巻くサイバー脅威は年々複雑さを増している。情報処理推進機構(IPA)が発表した最新の「情報セキュリティ 10 大脅威」では、ランサムウェア攻撃やサプライ チェーン攻撃に加え、「AI の利用をめぐるサイバーリスク」が新たな脅威として 3 位に初登場した。これらの多様な攻撃の多くに共通するのは、その多くが Web サイトやメールを経由して侵入してくるという点だ。クラウド サービスの普及により業務の大半が Web ブラウザ上で行われる今、「ブラウザ起点のセキュリティ対策」こそが、複雑化する脅威への効率的な防御策として注目を集めている。
「情報セキュリティ 10 大脅威 2026」からみる
セキュリティリスクの高度化
情報処理推進機構(IPA)が発表する「情報セキュリティ 10 大脅威」は、企業がセキュリティ対策を検討し、実行するうえで 1 つの指針になる資料だ。各脅威が自分自身や自組織にどう影響するか確認しながら読み進めることで、さまざまな脅威と対策を網羅的に把握できる。最新版である「情報セキュリティ10大脅威 2026」組織編では、2025 年に発生したセキュリティ事故や攻撃の状況から脅威を選出し、投票により順位付けして解説している。
最新版で 1 位、2 位となった「ランサム攻撃による被害」と「サプライ チェーンや委託先を狙った攻撃」は 2023 年以降 4 年連続で 1 位と 2 位に選ばれており、依然として企業が対策として着目するべき重要なテーマだ。また今回、初めて脅威候補となった「AI の利用をめぐるサイバーリスク」が 3 位にランクインした。ランクされた脅威は下図の通りだ。
表1.1](/storage/2026/05/21/2d21175340a21bd7002d0e21fc4561cb/google_35239049_img01_202605.jpg)
出典:情報処理推進機構「情報セキュリティ10大脅威 2026」解説書 [組織編](2026年3月)表1.1
「AIの利用をめぐるサイバーリスク」が急浮上
2026年度に注目すべきは、やはり「AI の利用をめぐるサイバーリスク」だ。この対策の難しさの 1 つは脅威の幅である。従来からあるサイバー攻撃者による外部からの脅威に加え、「会社で管理していない AI ツールを従業員が使用(シャドー AI)して機密情報を入力(コピペ)してしまう」という内部からの漏えいリスクが高まっている。
これは情シス担当者にとって最大の管理を難しくしている懸念点だと言えるだろう。生成 AI の業務利用では、利用者の 77% が業務データをプロンプトとして入力しているとされ、さらに、そのうちの 82% が組織に管理されていないアカウントを使用しているというシャドーAIの実態もある(※1) 。組織が把握できない情報漏えい(シャドー AI)が発生するリスクが高まっており、これは企業にとって深刻な事態である。
AIをめぐるサイバーリスクは、「1. 情報漏えいリスク」「2. AI出力起因のリスク」「3. 攻撃高度化リスク(外部脅威の強化)」の3層構造で理解する必要がある。
特に重要なのが、「情報漏えいリスク」である。
生成AIはクラウドサービスとして提供されるケースが多く、入力した情報が外部環境で処理される。そのため、社員が業務データ(顧客情報、契約内容、設計資料など)を入力すると、意図せず外部に送信されるリスクがある。
この中で特に問題となるのがシャドーAIであり、これは企業の許可や管理を通さずに従業員が個人判断でAIツールを利用する状態を指す。この場合、「どのツールが使われているか把握できない」「どのデータが入力されたか追跡できない」という「管理不可能なデータ流出経路」が発生し、結果として、従来のセキュリティ対策(ネットワーク監視やアクセス制御)では検知・統制できないリスクとなる。
(※1) 参照 「情報セキュリティ 10 大脅威 2026」解説書[組織編]
Chrome Enterprise Premium による
ブラウザ起点の高度なセキュリティ対策
ブラウザを起点としたセキュリティ対策を強化することで、シャドーAIを含む現代の複雑な脅威に対する多層防御のうちの有効な一手となりえる。このブラウザを起点としたセキュリティ対策を実現するソリューションとして Google が提供しているのが「Chrome Enterprise」である。
Chrome Enterprise は組織内で利用される Chrome ブラウザを一元管理するツールであり、追加コストをかけずに導入して基本的なセキュリティ対策を強化する Chrome Enterprise Core と、より高度な脅威から組織を保護するセキュリティ機能を搭載した Chrome Enterprise Premium の 2 つのラインナップがある。
具体的に後者の Chrome Enterprise Premium では、未知のウイルスやリスクの高いファイルを動的にスキャンする「マルウェアのディープスキャン」、きめ細かいポリシーで偶発的または意図的なデータ漏洩を防ぐ「データ損失防止(DLP)」、ユーザー、アクセス元の地域、デバイスのセキュリティ状況などに基づいてアクセスを制限する「コンテキスト アウェア アクセス」、カテゴリに基づいて URL へのアクセスを制限する「URL のフィルタリング」、セキュリティインシデントが発生した際の監査証跡を行うため、ファイル等のデータを自動で保管する「エビデンス ロッカー」などがある。
これらの機能は、シャドー AI の脅威にも有効だ。例えば、URL フィルタリング機能では、組織が承認していない生成 AI サイトなどをカテゴリレベルでブロックし、シャドー AI を防止する。昨今目まぐるしい AI の進化とともに、さまざまな生成 AI ウェブサイトが増えている中で、企業で契約している生成 AI のみ利用させることと、生成 AI 自体をカテゴリとして一括管理することで、企業の機密データの漏洩対策を講じることができる。
また、DLP 機能については、シャドー AI を含む特定の Web サイトや Web アプリケーションでのファイル ダウンロード、アップロードを防止するほか、ほかの DLP 製品では難しい Web ブラウザ上でのコピー&ペースト、またブラウザ外(ローカルのアプリケーション)へのペーストなどの制御も可能だ。特に生成 AI サービスは、情報をコピー&ペーストして送信するケースが多いため、同サービス利用におけるリスクを抑止するのにも有効となる。
IPA が挙げる情報セキュリティ対策の基本と、現代に求められる対策
昨今では、セキュリティ対策において多層的な対策が重要になる。セキュリティ対策の基本として 10 大脅威 解説書では以下を挙げている。
表1.2](/storage/2026/05/21/3a99995aad58a9417173908b183e0f74/google_35239049_img02_202605.jpg)
出典:情報処理推進機構「情報セキュリティ10大脅威 2026」解説書 [組織編](2026年3月)表1.2
ソフトウェアの更新をはじめ、セキュリティ ソフトの利用、パスワードの管理・認証の強化、設定の見直し、バックアップの取得、脅威の手口を知ることなどがまず重要であり、そのうえで個別に必要なプラスアルファの対策を施すことで、被害の低減や最小化を目指していくことが基本となる。サイバー攻撃は複雑化しており、1つの対策ですべてを防ぐことは現実的に不可能なので、昨今では複数のソリューションを組み合わせることが前提となっているが、そこでは複数製品を導入することによる運用負荷増大が課題として生じやすい。
実は、前述の 10 大脅威に関して、多くの脅威には共通する手口がある。Web サイト / Web サービスやメールなどを経由した攻撃が多いということだ。同様に、5 位「機密情報等を狙った標的型攻撃」、8 位「リモートワーク等の環境や仕組みを狙った攻撃」、10 位「ビジネスメール詐欺」などもメールや Web サイト / Web サービスを経由することが多い。
現代の業務ではクラウドサービスが広範に利用されている。例えばメールソフトではなく Web ブラウザを利用するユーザーもかつての時代に比べて格段に増えており、ブラウザは Web サイトの閲覧ツールではなくさまざまな業務を行うための重要な基盤となりつつある。
ブラウザのみで完結できる業務環境はユーザーの利便性をもたらすメリットはあるが、逆にさまざまなセキュリティの脅威の温床にもなり得るという点に注意しなければならない。普段何気なく行っている Web サイトへのアクセス、Web サイトでの情報入力、情報送信、ファイル アップロードやブラウザ経由のメール添付ファイルのダウンロードといった行動が、重大な事故発生の引き金となるケースも多い。現代の業務はクラウド サービスがあらゆる場面で使用されており、それが前述の共通項である「Web サイト / Web サービスやメールなどを経由した攻撃」につながっているのだ。
ブラウザ起点のセキュリティ対策で
セキュリティ管理の簡素化と生産性向上を両立
そこで有効なのが Chrome Enterprise Premium をはじめとするブラウザ起点のセキュリティ対策だ。組織内で利用される Chrome ブラウザを一元管理する Chrome Enterprise Premium を利用すると、さまざまな業務の入口となるブラウザ上にてユーザーのリスクのある行動を管理・制御しセキュリティを強化できる。
では、具体的にどのような脅威に対してブラウザ起点の防御が機能するのか。 10 大脅威に挙げられた組織の課題を例に、対応する機能を見ていく。
10 位の「ビジネスメール詐欺」は、悪意ある第三者が標的組織やその取引先の従業員等になりすまして虚偽のメールを送り、偽の銀行口座に 金銭を振り込ませるサイバー攻撃などが例に挙げられる。
未知のウイルスやリスクの高いファイルを動的にスキャンする「マルウェアのディープスキャン」は、これに対処できる。ブラウザ経由でダウンロードされるすべてのファイルを、 Google のクラウドベースのサンドボックス(仮想環境)で即座に動的解析するため、生成 AI によって巧妙に偽装された未知の不正プログラムであっても、ユーザーの端末に侵入する前に水際で自動検知・ブロックできる。
8 位の「リモートワーク等の環境や仕組みを狙った攻撃」は、働き方が多様化しリモートワークに必要な環境や仕組みを導入した組織が増え、攻撃者にとって外部からの攻撃対象領域(アタックサーフェス)が増えた結果、それらを 狙ったサイバー攻撃が多発している。
ユーザー、アクセス元の地域、デバイスのセキュリティ状況などに基づいてアクセスを制限する「コンテキスト アウェア アクセス」は、社外のリモートワーク環境や個人所有のデバイス(BYOD)からの接続であっても、会社が認めた安全な状態の端末と認証されたユーザーにのみ限定して企業システムへのアクセスを許可するため、不正侵入やなりすましを確実に防ぐことが可能だ。
また、ブラウザ起点の対策のメリットは、ユーザーが使用する PC などにエージェント ソフトをインストールする必要がないことだ。ユーザーが Chrome ブラウザをすでに使っている場合は、ユーザーのデバイスへの追加のインストールやアップデートの手間もなく、また普段使い慣れているブラウザを使うことによって、ユーザーの操作性・利便性が損なわれることはない。管理の利便性向上とユーザーの生産性を両立できるというメリットを享受することができる。
冒頭の 10 大脅威でも言及したように、昨今では多種多様な脅威への対応策を検討しなければならない時代である。従来型の攻撃から AI 時代の新リスクまで、その多くはブラウザを経由する。導入負荷の少ない対策として、ブラウザ起点のセキュリティ強化は有効な選択肢の 1 つとなるだろう。
