2026年5月21日にIPA(独立行政法人情報処理推進機構)が公開した「情報セキュリティ10大脅威 2026 [個人編]」対策マッピングシートは、個人向け10脅威のすべてに対応する具体的対策を一覧化したExcel形式の実務ツールである。本記事は、原記事のニュース報道の続編・深堀版として、シートの構造を分析するだけでなく、家族や職場で「使う資料」に変えるための実装5ステップを提示する完全活用ガイドである。
4年ぶりに復活した「インターネットバンキングの不正利用」、二要素認証を突破するリアルタイム型フィッシング、QRコードを悪用するクイッシングなど2025年の被害動向を反映した最新手口を踏まえ、6つの「情報セキュリティ対策の基本」が9脅威に横断的に効く構造から、四半期運用のチェックリスト化まで、読んで終わらせないための実装手順を順に解説する。
From: 
情報セキュリティ10大脅威 2026(IPA) / 個人編ハンドブック(PDF) / 対策マッピングシート(Excel)
【編集部解説】
先日innovaTopiaでも、「『情報セキュリティ10大脅威 2026』個人編ハンドブックと対策マッピングシートを公開、組織と個人の教材が出揃う」として、IPAによる2026年5月21日の教材公開を報じました。同記事では組織編と個人編の両輪が出揃った文脈、組織編の第3位に初選出された「AIの利用をめぐるサイバーリスク」、対策マッピングシートが象徴する「読む資料から使う資料への転換」を整理しています。本記事はその続編・深堀版として、紙幅の都合で同記事では踏み込みきれなかった個人編の対策マッピングシートそのものに焦点を絞り、その構造と論点を読み解いていきます。具体的には、4年ぶり復活した「インターネットバンキングの不正利用」が示す手口の質的変化、二要素認証を突破するリアルタイム型フィッシング、6つの基本対策が10脅威に効く横断構造、そして家族や職場で「使う資料」にするための実装5ステップを順に取り上げます。
個人編は順位なし、五十音順で並ぶ10項目
2026年5月21日に公開された個人編ハンドブック(32ページ)は、組織編とは異なり順位を付さず、10項目を五十音順で並べた構成です。これは「順位の高低が対策の優先順位ではない」というIPAの基本思想を、より明示的に示した構造といえます。読者は自分の生活実態や利用しているサービスに照らし、優先すべき脅威を自分で見極めることが求められます。
個人編に並ぶ10脅威は次のとおりです。括弧内は初選出年と取り扱い回数です。
- インターネット上のサービスからの個人情報の窃取(2016年初選出、7年連続10回目)
- インターネット上のサービスへの不正ログイン(2016年初選出、11年連続11回目)
- インターネットバンキングの不正利用(2016年初選出、4年ぶり8回目)
- クレジットカード情報の不正利用(2016年初選出、11年連続11回目)
- サポート詐欺(偽警告)による金銭被害(2020年初選出、7年連続7回目)
- スマホ決済の不正利用(2020年初選出、7年連続7回目)
- ネット上の誹謗・中傷・デマ(2016年初選出、11年連続11回目)
- フィッシングによる個人情報等の詐取(2019年初選出、8年連続8回目)
- 不正アプリによるスマートフォン利用者への被害(2016年初選出、11年連続11回目)
- メールやSNS等を使った脅迫・詐欺の手口による金銭要求(2019年初選出、8年連続8回目)
10項目のうち9項目が金銭被害に直結する経済的脅威であり、唯一例外となるのが「ネット上の誹謗・中傷・デマ」です。この項目だけ対策マッピングシートでも独立した別シート扱いとなっており、技術的対策ではなく情報リテラシーや法令理解、相談窓口の活用が中心になります。個人編が単なる技術解説書ではなく「生活者のためのデジタル・サバイバル・ガイド」として機能していることを象徴する構成です。
4年ぶり復活「インターネットバンキングの不正利用」が示す転換点
個人編で最も注目すべき変化が、「インターネットバンキングの不正利用」の4年ぶりの復活(8回目)です。この脅威は2016年の初選出以降、断続的にランクインしてきましたが、2022年から2025年までの4年間は10位以内に入っていませんでした。それが2026年版で再浮上した背景には、被害手口の質的な変化があります。
個人編ハンドブックは、警察庁の「令和7年におけるサイバー空間をめぐる脅威の情勢等について」を引用し、インターネットバンキングに係る不正送金被害額が「過去3年増加傾向」にあると明記しています。さらに重要なのは、次の手口が横行していると指摘していることです。
「近年、リアルタイム型フィッシングにより、二要素認証を突破する手口が横行」
リアルタイム型フィッシングとは、ハンドブック内の脚注で次のように説明される手口です。サービス提供元を装った偽メールに騙された利用者がフィッシングサイトでIDとパスワードを入力すると、即座に攻撃者もそのIDとパスワードを悪用して正規サイトにログインします。次に正規の利用者宛にワンタイムパスワードが送付され、それを利用者が偽サイトに入力(または電話で伝達)してしまうと、二要素認証を有効にしていても攻撃者がログインできてしまうのです。
この記述は重大な含意を持ちます。「二要素認証を入れているから安心」という従来の安心感が、リアルタイム型フィッシングによって部分的に崩されているということです。だからこそIPAはハンドブックの随所で、多要素認証、本人認証サービス(3Dセキュア等)、パスキー(パスワードを使わずに生体認証や端末PINで認証する方式)の組み合わせを推奨しており、特にパスキーはFIDO標準に基づくフィッシング耐性を持つ次世代認証として位置づけられています。
対策マッピングシートの構造を読み解く
個人編の対策マッピングシート(Excel形式、28KB)は、3つのシートで構成されています。
- 被害の予防シート: 10脅威 × 約30項目の対策をクロス表示
- 被害の早期検知シート: ログインアラート、利用履歴確認など検知系対策
- ネット上での誹謗・中傷・デマシート: 唯一独立した対策一覧
「被害の予防」シートでは、対策を6つの「情報セキュリティ対策の基本」と、それ以外の「個別対策」に大別しています。注目すべきは、6つの基本対策がどれだけの脅威に横断的に効くかという「縦の影響範囲」です。以下は、編集部が公開Excelシートの「〇」「※1」表記を集計した独自分析であり、IPA公表数値ではない点を念のため明記しておきます。
- ① ソフトウェアの更新: 10脅威すべてに「※1(大前提として必ず実施)」と明記。横断対象は全10項目
- ② セキュリティソフトの利用: 主に4脅威に対応(ネット銀行、カード、サポート詐欺、フィッシング)
- ③ パスワードの管理・認証の強化: 7脅威に対応(誹謗中傷を除くほぼ全脅威)
- ④ 設定の見直し: 設定対象が個別サービスのため、シートでは「ー」表示が多い
- ⑤ バックアップの取得: 個人編では「ー」が多く、組織編ほどの中心性はない
- ⑥ 脅威・手口を知る: 9脅威に「〇」、ほぼ全脅威に有効
つまり、「ソフトウェアの更新」「パスワードの管理・認証の強化」「脅威・手口を知る」の3つを実施するだけで、個人編10脅威の大部分に対する基礎防御が成立する構造になっています。「情報セキュリティはまず何から手を付ければよいのか」という素朴な疑問に対して、IPAは「この3つ+αから始めよ」と明示的に答えているわけです。
「横断対策の王様」——多要素認証の影響範囲
個別対策の中で特に影響範囲が広いのが「利用しているサービスの多要素認証の設定を有効にする」です。マッピングシートでは6脅威以上に「〇」が付いており、個人情報窃取、不正ログイン、ネット銀行、スマホ決済、フィッシング、メール脅迫など、認証が関わるあらゆる脅威に効きます。次いで「ワンタイムパスワード、生体認証等本人認証サービス(3Dセキュア等)の利用」が6脅威に対応。そして「パスキーが利用可能な場合は、極力利用する」は4脅威に対応し、しかもリアルタイム型フィッシング耐性を備えた次世代認証として明示的に推奨されています。
家庭で何から始めるかを問われたら、私はこう答えます。「利用中のサービスのうち、お金や個人情報が絡むものから順に、多要素認証を有効化してください。可能ならパスキーに対応しているか確認してください」。それだけでも、認証が関わる複数の脅威に対するリスク低減が期待できます。
新たな手口——クイッシング、不正アプリ偽装、返金詐欺
2026年版個人編ハンドブックには、2025年から2026年初頭にかけて確認・注意喚起された事例を基にした新手口が複数収録されています。
クイッシング(QRコード詐欺)は、ハンドブックの「フィッシングによる個人情報等の詐取」の章で重要事例として紹介されています。看板やチラシ、郵送物に掲載されているQRコードの中には、偽サイトにアクセスさせる悪意あるものが確認されているという指摘です。事例として、京王線車内の電気通信大学広告に虚偽のQRコードが貼られた令和7年10月の事案が引用されています。QRコードのリンク先は目視では確認できないため、支払先や送金先が自身の意図と合致しているかを慎重に確認することが求められます。
決済アプリの「返金詐欺」も注目すべき新手口です。スマホ決済の不正利用の章で、消費者庁の令和7年2月28日付の注意喚起が引用されており、「商品の欠品で決済アプリを使い返金する」と称して逆に送金させる手口が確認されています。被害者が「返金処理だ」と信じて確認コードや注文コードを入力すると、その入力した数字が金額として相手に送金されてしまうという、認知の隙を突く心理的攻撃です。
不正アプリの偽装インストール誘導については、ドコモなど携帯電話会社を騙る手口の事例が紹介されています。注目すべきは、ハンドブックの脚注で2025年12月18日に全面施行された「スマートフォンにおいて利用される特定ソフトウェアに係る競争の促進に関する法律」(通称:スマホソフトウェア競争促進法)に触れている点です。同法により多様な経路でのアプリ提供が可能になった一方、公式マーケット以外から入手するアプリは慎重に確認する必要があるとIPAは明示的に注意喚起しています。市場開放と安全性のトレードオフを、2026年版は正面から取り上げているわけです。
「予防」と「早期検知」を両輪で持つ思想
対策マッピングシートのもう一つの重要な構造は、「被害の予防」と「被害の早期検知」が独立したシートとして分けられていることです。早期検知シートには、ログイン通知の有効化、ログイン履歴の確認、クレジットカードやインターネットバンキングの利用履歴の確認、サービス利用状況の通知機能の利用などが並びます。
これは「100%予防はできない、被害に遭ったときにいかに早く気づくか」という現実主義的な発想です。リアルタイム型フィッシングのように二要素認証を突破される手口がある以上、予防だけでは守りきれません。被害に気づくまでの時間が短ければ、不正送金の取消や口座凍結、カード差止めなどの対応で被害を最小化できます。「予防」と「検知」の両輪を個人レベルで意識的に整備すること——これが2026年版マッピングシートが暗黙のうちに示しているリスク管理思想です。
家族と職場で「使う資料」にする実装5ステップ
対策マッピングシートがExcel形式で配布されているという地味な事実は、現場でカスタマイズして使い回せるという意味で実は大きな価値を持ちます。私からの実装提案は次のとおりです。
- マッピングシートをダウンロードし、家族構成員ごとに利用サービスを書き出した列を追加する
- 「予防」シートの対策ごとに、誰が実施済みか未実施かをチェックボックスで管理する
- 「早期検知」シートに沿って、ログイン通知の有効化を全サービスで完了させる
- 「ネット上の誹謗・中傷・デマ」シートは、未成年の家族と一緒に相談窓口の連絡先を確認する
- 四半期に一度、家族会議でシートを更新する運用に乗せる
職場であれば、新入社員研修や年次セキュリティ教育の教材として、組織編解説書と個人編ハンドブックをセットで配布する運用が現実的です。組織は従業員の私生活を保護する義務はありませんが、私生活で被害に遭った従業員が業務に支障をきたすケースは現実に存在します。組織編と個人編が同じシリーズで提供される意義は、まさに「組織と個人の境界が曖昧になる時代」への応答として読むことができます。
2025年12月施行の新法と、個人編が結ぶ線
個人編ハンドブックは、ハンドブック内で2025年12月18日に全面施行されたスマホソフトウェア競争促進法に触れたほか、消費者庁の注意喚起や警察庁の統計データを参照しています。これは、IPA単独の警鐘ではなく、政府全体としての消費者保護・サイバー犯罪対策の文脈の中に位置づけられた資料であることを意味します。
2025年5月28日に成立、6月4日に公布・一部施行、9月1日に全面施行された「人工知能関連技術の研究開発及び活用の推進に関する法律」(AI推進法)、2025年5月16日に成立し2026年以降に段階的施行が予定されているサイバー対処能力強化法・同整備法、そして消費者保護の枠組み——これらが交錯する2026年5月という時点で、個人編教材が出揃ったタイミングは決して偶然ではないと私は見ています。AIが攻撃・防御の両側で活用される時代に、個人がどう自分を守るかという基礎リテラシーを、IPAは無償教材として整備し続けているわけです。
1月のランキング発表で「組織編3位にAI初選出」という見出しが注目を集めた一方、5月の個人編公開は地味な扱いになりがちです。けれど、私たちの生活実態に最も近い場所にある脅威は、組織編ではなく個人編にこそ詰まっています。この記事を読んだ方が、対策マッピングシートを実際にダウンロードし、ご家族や周囲の方と一緒に眺める時間を持つきっかけになれば幸いです。
【用語解説】
対策マッピングシート(個人編)
IPAが公開するExcel形式の実務ツール。個人編10脅威に対する対策を、6つの基本対策と個別対策に分類し、各脅威との対応関係をマトリクスで一覧化したもの。「被害の予防」「被害の早期検知」「ネット上での誹謗・中傷・デマ」の3シート構成。
個人編ハンドブック
IPAが個人向けに作成する32ページの解説資料。10大脅威の各項目について手口、被害、対策をPowerPointとPDFで配布している。2026年版は2026年5月21日に公開された。
リアルタイム型フィッシング
利用者が偽サイトに入力したID・パスワード、ワンタイムパスワードを攻撃者が即座に正規サイトに転送・入力することで、二要素認証を突破する手口。SMSベースのワンタイムパスワードを無力化する点が脅威となる。
クイッシング(QR code phishing)
QRコードを悪用したフィッシング詐欺。看板、チラシ、郵送物、デジタル広告などに掲載された悪意あるQRコードを読み取らせ、偽サイトへ誘導する。リンク先が目視で確認できないことを悪用する手口。
3Dセキュア
クレジットカード決済時に、カード会社が提供する本人認証サービス。ワンタイムパスワードや生体認証などを併用することで、カード番号だけでは決済できない仕組みになっている。3Dセキュア2.0ではリスクベース認証が追加されている。
パスキー
パスワードを使わずにウェブサイトにログインする手段。生体認証(指紋、顔認証)やスマートフォン等の端末に登録したPINコードを用いる。FIDO Allianceが策定する標準に基づき、フィッシング耐性を持つ次世代認証として推奨されている。
多要素認証(MFA: Multi-Factor Authentication)
ID・パスワードに加え、ワンタイムパスワード、生体認証、ハードウェアトークンなど、複数の異なる要素を組み合わせて本人確認を行う認証方式。一要素が破られても残りで防御できる。
ログインアラート機能
利用しているサービスにログインがあった際に、登録メールアドレスやアプリ通知でユーザーに知らせる機能。不正ログインの早期検知に有効。多くのサービスでデフォルトオフのため、利用者側で有効化する必要がある。
サポート詐欺(偽警告)
ウェブサイト閲覧中に突然「ウイルスに感染した」などの偽警告画面を表示し、画面に表示された電話番号への連絡を促す詐欺。電話をかけた被害者に遠隔操作ソフトをインストールさせ、サポート料金名目で金銭を詐取する。
スマホソフトウェア競争促進法
正式名称は「スマートフォンにおいて利用される特定ソフトウェアに係る競争の促進に関する法律」。2025年12月18日に全面施行された。多様な経路でのアプリ提供を可能にする一方、公式マーケット以外からのアプリ入手にはセキュリティリスクがあることが指摘されている。
10大脅威選考会
情報セキュリティ分野の研究者、企業の実務担当者など約250名で構成されるIPAの選考組織。前年に発生した社会的影響が大きいセキュリティ事故・攻撃の状況から脅威候補を選定し、審議・投票によって10大脅威を決定する。
【参考動画】
【参考リンク】
情報セキュリティ10大脅威 2026(IPA)(外部)
本記事の一次情報源。組織編・個人編それぞれの解説書、プレゼンスライド、対策マッピングシートが無償公開されている公式ページ。
情報セキュリティ10大脅威 2026 個人編ハンドブック(IPA、PDF)(外部)
32ページ構成の個人向け解説資料。10脅威ごとに手口、被害、対策、事例が網羅されている公式ハンドブック。
情報セキュリティ10大脅威2026 対策マッピングシート個人編(IPA、Excel)(外部)
10脅威 × 対策約30項目をクロス表示したExcelファイル。ダウンロードしてカスタマイズ運用可能な実務ツール。
IPA情報セキュリティ安心相談窓口(外部)
国民からの一般的な情報セキュリティに関する技術的な相談に対しアドバイスを提供する公的窓口。ハンドブックでも推奨される相談先。
偽セキュリティ警告(サポート詐欺)対策特集ページ(IPA)(外部)
サポート詐欺の手口検証や偽警告画面の閉じ方を体験できる対策特設ページ。家族と一緒に確認することで意識向上に役立つ。
警察庁サイバー警察局・統計資料(外部)
ハンドブックが引用するインターネットバンキング不正送金被害額、ランサムウェア感染経路等の統計データの公式ソース。
フィッシング対策協議会(外部)
フィッシングに関する報告受付や注意喚起を行う民間団体。ハンドブックでも出典として参照されている。
消費者庁公式サイト(外部)
決済アプリの返金詐欺など、消費者向け注意喚起情報を発信する公的機関。ハンドブックが引用する事例の出典元。
【参考記事】
情報セキュリティ10大脅威2026 解説書[組織編](IPA、PDF)(外部)
組織向け脅威10項目の詳細な解説書。64ページ構成で、各脅威の手口・事例・対策が網羅され、個人編と読み比べる価値がある。
IPA「情報セキュリティ10大脅威 2026」解説|専門家が語るTOP10への対策(NRIセキュア)(外部)
生成AI(LLM)の脆弱性やAI悪用攻撃の高度化、OWASP Top 10 for LLMに基づく実務対策方針を提示した解説記事。
IPA「情報セキュリティ10大脅威 2026」: AIのサイバーリスクを3つに分けて理解する(トレンドマイクロ)(外部)
初選出の「AIの利用をめぐるサイバーリスク」を、AIの悪用・AIへの攻撃・運用法的リスクの3つに分けて整理した解説記事。
IPA「情報セキュリティ10大脅威2026」要点と対策をわかりやすく解説(ALSOK)(外部)
企業のセキュリティ担当者向けに、10大脅威を年間のセキュリティ対策検討の指針として活用する観点で整理した解説記事。
IPA「情報セキュリティ10大脅威 2026」Assuredセキュリティエキスパートによる解説レポート(外部)
前年からの組織向け10大脅威の変化と上位脅威について、約250名の選考会による決定プロセスを踏まえて解説したレポート。
IPA、「情報セキュリティ10大脅威2026」を発表 〜 AI利用によるサイバーリスク初選出(INTERNET Watch)(外部)
1位と2位が2023年以降4年連続で順位変動がないこと、約250名の選考会で決定された経緯を整理した発表記事。
【関連記事】
「情報セキュリティ10大脅威 2026」個人編ハンドブックと対策マッピングシートを公開、組織と個人の教材が出揃う(innovaTopia)(2026年5月25日)
本記事の起点となるニュース記事。IPAが個人編ハンドブックと対策マッピングシートを公開した経緯と、組織編との文脈を整理。
警察庁サイバー脅威レポート最新版|昨年を総括、過去最悪の被害額が並んだ1年間(innovaTopia)(2026年3月16日)
個人編で4年ぶり復活した「インターネットバンキングの不正利用」の背景となる、被害統計を整理した解説記事。
TrendLife調査、日本人の92.8%がAIに不安―詐欺見破る自信は8.5%、トレンドマイクロが家族向けAI時代を提言(innovaTopia)(2026年5月20日)
個人編公開の直前のタイミング。日本人のAIへの不安と詐欺対応への自信のギャップを示す調査結果。
CYDER 2026年度開講|NICTが全国47都道府県で100回、サイバー演習を一部無料提供(innovaTopia)(2026年5月23日)
NICTによる公的セキュリティ教育プログラム。公的機関が実務で使える教材を整備する流れの文脈で読める。
トレンドマイクロが警鐘、2026年はAIエージェントによる自律型サイバー攻撃の時代へ(innovaTopia)(2025年12月26日)
組織編3位「AIの利用をめぐるサイバーリスク」の文脈と直結する、攻撃側のAI活用に関する解説記事。
日本はなぜ狙われるのか? 2025年サイバー攻撃に現れた「4つの傾向」と新時代の防衛戦略(innovaTopia)(2025年10月28日)
IPA「情報セキュリティ10大脅威」を参照しつつ、2025年の日本国内サイバー攻撃の傾向を分析した記事。
【編集部後記】
個人編の対策マッピングシートを実際に開いて眺めていると、不思議な落ち着きを覚えます。「これだけのことをやれば、ほとんどの脅威は防げる」と全体像が一枚で見えてくるからです。逆に言えば、何から手を付けてよいかわからない不安は、全体像が見えていないからこそ生まれるのだと改めて気づかされます。
皆さんはご家族と「セキュリティの話」をされたことはありますか。多要素認証の設定、パスキーの活用、ログインアラートの有効化——どれも個人で完結する対策ですが、家族全員でやるとなると意外と難しいものです。「お母さんのスマホ、ログイン通知が来てたら教えてね」とお願いするだけでも、被害の早期検知につながります。便利さとリスクが背中合わせの時代だからこそ、対策マッピングシートのような「使う資料」を、家族の食卓で広げる時間が、私たちの未来を少しだけ静かに守ってくれるのだと思います。
もし「うちはまだ何もしていない」という方がいたら、まずは多要素認証の有効化から始めてみてはいかがでしょうか。設定画面を開くまでが一番のハードルですが、開いてしまえば数分で終わります。週末のひと時、ご家族と一緒に始めてみる価値は十分にあるはずです。
ただ、このチェックシート自体も、来年の今ごろにはきっと古くなっているはずです。AIの進化で攻撃手口は半年単位で姿を変え、新しい認証技術や法制度も次々と登場します。けれど、それは決して悲観すべきことではありません。毎年更新されていく教材と並走しながら、自分や家族の防衛知識も少しずつアップデートされていく——その営み自体がセキュリティの本質なのだと感じます。完璧な永久版を待つよりも、いま手元にある「2026年版」を使ってみるところから、すべては始まるのだと思います。
