IPA「情報セキュリティ10大脅威 2026」個人編｜実務者がチーム教育に使う組立方

2026年5月21日、IPA（独立行政法人 情報処理推進機構）は「情報セキュリティ10大脅威 2026」個人編ハンドブックと対策マッピングシートを公開しました。
2026年1月に発表されていた10大脅威の本編に対し、5月の公開物は「学習・対策に直接使える形」に再構成された実務寄りの資料であり、実務者がチーム教育や家族のリテラシー啓発に転用できる材料が一通り揃いました。

この記事では、IPAが公開した個人編ハンドブック10項目を実務者目線で読み解き、社内のセキュリティ研修・新人教育・家族のリテラシー向上に「すぐ使える組立方」として整理します。
教材としての価値だけでなく、「公開資料を使って明日からチームに何を伝えるか」を意識した実装ガイドとして読んでください。

公開された資料の全体像（何が揃ったか）

2026年5月21日のIPA公開物は、教育や対策の現場でそのまま使える3点セットです（出典: IPA 公式 / INTERNET Watch / Security NEXT）。

・個人編ハンドブック: 32ページPDFと、編集可能なPowerPoint版を提供。社内研修・家族向け説明会でそのまま使える
・対策マッピングシート: Excel形式。「被害を防ぐ」「早期に気づく」の2軸で整理されており、自組織の対策状況をチェックできる
・組織編解説書: 64ページ。3月版で先行公開済。組織側の対策論点をまとめている

注目したいのは、ハンドブックがPDFだけでなくPowerPointでも配布されている点です。
社内勉強会の資料として、各社の社名・運用ルールを加筆して再構成できるため、「ゼロから教材を作る労力」を大幅に削減できます。チーム教育に時間を取れない情シス担当者にとっては、特に価値の高い形式です。

個人編10項目の構成と特徴（順位なし・五十音順）

個人編は組織編と異なり、順位を付けずに五十音順で10項目を列挙する構成です（出典: IPA 公式）。
これは「読者が自分の使い方に近い脅威から優先的に読める」配慮であり、教育プログラムを組む際の自由度が高い設計です。

2026年版の10項目（五十音順）は以下のとおりです。

No	脅威名	主な攻撃面
1	インターネット上のサービスからの個人情報の窃取	SaaS／ECサイト側の侵害による漏洩
2	インターネット上のサービスへの不正ログイン	パスワード使い回し／リスト型攻撃
3	インターネットバンキングの不正利用	フィッシング／マルウェア／なりすまし
4	クレジットカード情報の不正利用	偽サイト／カード情報抜き取り
5	サポート詐欺（偽警告）による金銭被害	ブラウザ全画面警告／遠隔操作詐欺
6	スマホ決済の不正利用	QR詐欺／アカウント乗っ取り
7	ネット上の誹謗・中傷・デマ	SNS上の二次被害／情報拡散
8	フィッシングによる個人情報等の詐取	偽メール／偽SMS／偽サイト誘導
9	不正アプリによるスマートフォン利用者への被害	偽アプリ／野良ストア
10	メールやSNS等を使った脅迫・詐欺の手口による金銭要求	セクストーション／ロマンス詐欺

10項目を眺めると、攻撃面は「個人のアカウント」「決済手段」「スマホ」「SNS」の4領域に集約されます。
チーム教育を設計するときも、この4領域に再編して話を進めると受け手の理解が深まりやすいです。

実務者がチーム教育に転用する5ステップ

1. 対象者の生活シーンに合わせて10項目を再配列する

五十音順そのままではなく、対象者の業務・生活パターンに合わせて並び替えるのが第一の工夫です。
たとえば営業部門向けなら「フィッシング → 不正ログイン → クレジットカード不正利用 → スマホ決済不正」の順、開発部門向けなら「フィッシング → 不正ログイン → 不正アプリ → サポート詐欺」の順、というように、業務上接触頻度の高い脅威から並べると刺さりやすいです。

2. 1スライド1脅威・3要素テンプレートに落とし込む

IPAのハンドブックはそのままでも十分使えますが、社内研修では「1脅威=1スライド」に圧縮するとリズムが良くなります。
1スライドに以下の3要素だけを載せるテンプレートが効果的です。

・具体的な被害シーン（実話を抽象化したエピソード）: 共感を呼び、自分事化する
・引っかかる人がやりがちな行動（1～2個）: 行動ベースで描写する
・今すぐできる対策（具体的な操作・設定）: 抽象論ではなく、画面遷移レベルで書く

抽象的なアドバイス（「気を付けましょう」「不審なリンクは踏まないように」）は、研修直後は理解されても1週間後には行動変容に結びつきません。「今すぐスマホを取り出して、設定アプリのこの項目を開いてみよう」というレベルの具体性が、行動変容の境目になります。

3. 対策マッピングシートを「自社版」に作り替える

IPAが公開している対策マッピングシート（Excel）は、「被害を防ぐ」「早期に気づく」の2軸で整理されています。
これを自社用にカスタマイズし、「自社で利用中のクラウドサービス」「自社支給端末で使えるセキュリティ機能」を脅威ごとに紐づけたシートに変えると、研修後のフォローアップが格段にやりやすくなります。

たとえば「クレジットカード情報の不正利用」の行に、自社の経費精算で使っている法人カードのセキュリティ通知設定の案内を加える、「フィッシング」の行にMicrosoft 365 / Google Workspace の警告機能の有効化手順を加える、といった具合です。
自社の運用と地続きの教材になれば、「研修を受けた直後に、業務で同じシーンに出くわす」が起きやすくなり、学習効果が定着します。

4. 家族・社員家族向けハンドブックの社内配布

2026年版で特徴的なのは、ハンドブックが家族・一般向けにも転用しやすい構成になっている点です。
社内研修と並行して、社員の家族向けに同じハンドブックを配布する「家族向けセキュリティリテラシー支援」を制度化すると、社員自身の家庭環境からの侵入リスクも低減できます。

SaaS時代の業務環境では、社員の自宅PC・家族のスマホが業務端末と同じネットワークに接続されることが日常茶飯事です。家族のスマホがフィッシングで侵害されれば、それが社員の業務端末への二次侵入経路になる可能性があります。
家族向け教材として配布できるIPAのハンドブックは、この間接リスクへの対処として極めて有効です。

5. 四半期ごとの「ひとネタ研修」化

10項目すべてを一気に1回の研修で扱うのは、現場の集中力的にも記憶定着的にも非効率です。
四半期に1回、月1回など、決まった頻度で「ひとネタ研修」として1脅威を5～10分で扱う運用が、長期的には最も効きます。

朝礼の最後5分、定例ミーティングの冒頭、月次の全社チャットでの1スレッド共有など、組織のコミュニケーション動線に組み込んでください。継続性が最大の防御です。

個人編10項目を3グループに再編した実務教育のたたき台

10項目を「アカウント保護」「決済保護」「情報リテラシー」の3グループに再編すると、研修コマ割りが組みやすくなります。

グループA：アカウント保護（30～45分）

個人情報窃取、不正ログイン、フィッシング、不正アプリの4項目を扱います。
中心メッセージは「パスワードマネージャの導入と多要素認証の徹底」。具体的にどのパスワードマネージャを選ぶか、多要素認証はSMSではなくTOTPアプリかパスキーを使うべき理由、まで踏み込みます。

グループB：決済保護（30～45分）

インターネットバンキング不正利用、クレジットカード不正利用、スマホ決済不正利用の3項目を扱います。
中心メッセージは「利用通知の即時化と、定期明細チェックの習慣化」。カード会社のアプリプッシュ通知、銀行のリアルタイム通知、決済アプリの即時通知の3つを必ず全部オンにする運用を共有します。

グループC：情報リテラシー（30～45分）

サポート詐欺、ネット上の誹謗中傷、メール・SNS脅迫詐欺の3項目を扱います。
中心メッセージは「焦らせる相手は必ず疑う」「相談先を平時に確認しておく」。警察相談ダイヤル(#9110)、消費者ホットライン(188)、各社のサポート公式窓口を平時に控えておくことの重要性を伝えます。

SOC・情シス側の対策マッピング活用法

個人編は読者向けの脅威リストですが、SOC・情シス側がこれを「組織防御の鏡」として読むこともできます。
社員の個人領域で起きる脅威は、組織のサプライチェーン上のリスクに直結するため、以下のような対応ポイントが浮かび上がります。

・パスワードリスト型攻撃の連動アラート: 社員のプライベートアカウントがリスト型攻撃で漏洩→同パスワードを社内SaaSで使っていれば不正ログインに連鎖する。SSO+条件付きアクセスで切り離す
・サポート詐欺対応の社内窓口の明示: 「社員が自宅PCで偽警告に遭遇したらまず情シスに電話」のルートを社内に告知
・業務メールへのフィッシング訓練: 模擬フィッシング訓練の頻度を高め、レポートボタンの利用習慣を定着
・スマホMDMでの不正アプリ排除: 業務スマホは野良ストア禁止、業務利用前提の私物BYODでも一定の制限を導入

個人編の10項目は、組織編と並べ読みすることで真価を発揮します。組織側の制度設計を見直す材料として、両方を1度はSOCチームで通読することをお勧めします。

家族・初心者向けに翻訳する際のコツ

個人編は実務者よりむしろ家族や一般初心者向けに使うほうが効果が高い場合があります。
ただし、そのまま渡しても「IPAの公式資料」というだけで身構えてしまう方も多いため、以下の翻訳作業を加えると伝わり方が変わります。

・専門用語を生活語彙に置き換える: 「フィッシング」を「SMSや迷惑メールでニセのサイトに飛ばす詐欺」と書き換える
・家族の使っているサービス名を入れる: 銀行、決済、SNSの具体名を入れて自分事化させる
・「不安にさせる」より「対策の手応え」を強調: 「これをやっておけば9割防げる」という安心ベースのトーンに統一
・1ページ1テーマ・大きめのフォント: 印刷して冷蔵庫に貼れる粒度にすると、繰り返し見てもらえる

家族向けには、「3分で読める版」「全編版」の2本立てを用意するのが理想です。日常的に目に触れる3分版で平時の意識を保ち、何か起きたときに全編版に飛び込む構造にすると、リテラシーが定着しやすくなります。

関連する組織編・解説書との読み合わせ

2026年版の組織編解説書（3月公開、64ページ）と並列読みすると、組織と個人の脅威構造の連続性が見えてきます。
特に、組織編で上位に挙がっている「ランサムウェア」「サプライチェーン攻撃」「内部不正」は、個人編の「不正ログイン」「フィッシング」「不正アプリ」と地続きであり、社員1人ひとりの個人リテラシーが組織防御の起点であることが浮き彫りになります。

Linuxサーバの堅牢化や、認証・認可の基礎については姉妹サイトLinuxMaster.JPで詳しく扱っています。
クラウド側のIAM設計とSSO/MFAの基礎は姉妹サイトCloudMaster.JPで継続的に取り上げています。

よくある質問（FAQ）

Q1. IPAハンドブックは無料ですか？商用利用も可能ですか？
A. IPA公開資料は基本無料で利用できます。社内研修・教育目的での利用は問題ありませんが、二次配布や改変利用についてはIPAの利用規約を必ず確認してください。

Q2. PowerPoint版はそのまま社内研修に使えますか？
A. はい、編集可能な形式で配布されています。自社の社名・運用ルールを加筆して再構成すれば、ゼロから資料を作る労力を大幅に削減できます。

Q3. 個人編に順位がないのはなぜですか？
A. 個人ごとに利用するサービス・スマホ・SNSの組み合わせが大きく異なるため、画一的な順位を付けるより各自の環境で関係する脅威に取り組むほうが現実的、というIPAの設計思想によるものです。

Q4. 10大脅威は毎年変わりますか？
A. 毎年見直されています。2026年版は2025年の社会的影響の大きい事案を基に、約250名の選考会が審議・投票して決定したものです。

Q5. 中小企業で情シス専任がいません。どこから手を付ければよいですか？
A. 個人編10項目のうち「フィッシング」「不正ログイン」「クレジットカード情報の不正利用」の3つを、社員全員に共有することから始めてください。これだけで多くの侵入起点を塞げます。

Q6. 対策マッピングシートはExcelですが、自社向けに改変してよいですか？
A. IPAの利用規約の範囲内で社内利用目的の改変は一般に許容されています。商用二次配布や社外公開は別途確認してください。

Q7. 個人編と組織編、どちらを先に読むべきですか？
A. 情シスや経営層は組織編から、一般社員・家族には個人編から渡すのが定番の順序です。両方読むと相互の連続性が見えて理解が深まります。

本記事のまとめ

IPA「情報セキュリティ10大脅威 2026」個人編ハンドブックは、実務者がチーム教育・家族リテラシー啓発に転用できる、現場で「すぐ使える」資料セットです。
PowerPointとExcelで配布されているため、ゼロから教材を作る必要がなく、自社の運用と地続きの教材へカスタマイズしやすいのが最大の価値です。

実務者が活用するには、(1) 対象者の生活シーンに合わせた再配列、(2) 1スライド3要素テンプレートへの圧縮、(3) 自社運用とのマッピング、(4) 家族向け配布、(5) 四半期ごとの「ひとネタ研修」化、の5ステップが効きます。
個人編は読者向け脅威リストでありながら、SOC・情シス側にとっては組織防御の鏡として読むこともでき、両面活用が望ましい資料です。

セキュリティ教育は1回完結ではなく継続です。本ハンドブックを起点に、自社・家族・個人の3層で継続的にリテラシーを底上げしていく仕組みを、今期の運用設計に組み込んでください。