【青木】中小企業のための情報セキュリティ10大脅威2026（組織編）解説

* 2026年3月18日 * 生成AIによる原案作成 * 東京都編集 ## 中小企業のための情報セキュリティ10大脅威2026（組織編）解説 —当たり前を確実に、基本の徹底と継続的な見直しで被害の最小化を— 独立行政法人情報処理推進機構（IPA）は、2026年3月11日、「情報セキュリティ10大脅威（組織編）2026」を公表しました。本ポータルでは、10大脅威の要点と基本対策をわかりやすくまとめています。 ### はじめに：サイバーセキュリティは「経営の根幹」です #### 【経営者・管理職のためのサマリ】 **順位より「自社の弱点」に注目：** ランキングの順位は社会的な影響度であり、自社にとっての優先順位とは異なります。 **攻撃の「入口」は変わらない：** 最新の攻撃も、原因の多くは「パスワードの使い回し」「システムの更新遅れ」といった**基本の放置**です。 **コストではなく「継続」への投資：** 高価な製品を導入する前に、**「多要素認証」「隔離バックアップ」「48時間以内のパッチ適用」**という3つの徹底だけで、被害の大部分は防げます。 2026年版「情報セキュリティ10大脅威（組織編）」は、2025年中に発生した多数のセキュリティインシデントの中から、社会的影響が特に大きかった事案を基に専門家が選定した重要な年次報告書です1。本レポートを読み進める上でまず理解しておくべきことは、示されている“順位”が優先度を意味するものではないという点です。脆弱性情報が緊急公開された場合には、どの脅威よりもその脆弱性が優先的に対処すべき最重要課題となります2。また、ここに掲げられた10項目だけが危険というわけではなく、ランク外の脅威も依然として重大な影響を及ぼす可能性があります。サイバー攻撃の本質は、極めて多様な手法があるように見えながら、その“入口”となる構造は実は長年ほとんど変わっていません。脆弱性の放置、ソフトウェア更新の遅れ、パスワードの弱さ、設定不備、ソーシャルエンジニアリング、そしてバックアップ運用の欠如といった、「基本的なポイントの抜け漏れ」が攻撃成功のほぼすべての原因となり続けています3。つまり、効果的なセキュリティ対策に必要なのは最新の高額な防御技術ではなく、**“当たり前”のことを確実に実行し、継続的に見直すこと** なのです。本レポートでは、中小企業が現実的に取り組むために、10大脅威それぞれの構造と実際の事例、そして「何を、どのように実務として行うべきか」を、具体的な業務レベルにまで踏み込んで説明します。 ### 本文 #### 1. 2026年版「組織向け10大脅威」総覧 2026年の組織向け脅威ランキングは以下のとおりです4。 1位　ランサム攻撃による被害 2位　サプライチェーンや委託先を狙った攻撃 3位　AIの利用をめぐるサイバーリスク 4位　システムの脆弱性を悪用した攻撃 5位　機密情報を狙った標的型攻撃 6位　地政学的リスクに起因するサイバー攻撃 7位　内部不正による情報漏えい等 8位　リモートワーク環境を狙った攻撃 9位　DDoS攻撃 10位　ビジネスメール詐欺（BEC）以下では各脅威を順に解説し、中小企業が実際にどのように備えるべきかを具体的に示していきます。 #### 2. ランサム攻撃による被害（1位）ランサム攻撃は、組織のPCやサーバー内部に侵入し、データを暗号化したり窃取したりしたうえで、それらの復元や非公開と引き換えに金銭を要求する攻撃です。攻撃者は状況に応じて手口を使い分け、暗号化を伴わず窃取情報を盾に脅迫する「ノーウェアランサム」を用いるなど、単純なマルウェア感染の枠組みを超えた多様な戦略を採りつつあります5。近年は暗号化と情報暴露予告の“二重脅迫”だけでなく、DDoS攻撃の予告を組み合わせる“三重・四重脅迫”も確認され、被害範囲は拡大の一途をたどっています。この攻撃の入口は、インターネットに接続された機器の脆弱性を悪用した侵入、窃取された認証情報を用いた不正ログイン、偽装メールを介した感染など多岐にわたります。また、ダークウェブではRaaS（Ransomware as a Service）と呼ばれるサービスが広く流通し、攻撃者は高度な技術を持たなくても強力なランサム攻撃を実行できるようになっています6。実事例として、アサヒグループホールディングスでは191万件にのぼる個人情報が流出した可能性が発生し、受注・出荷業務の停止という深刻な事態に陥りました。通販企業アスクルにおいても、多要素認証が導入されていなかった認証情報が窃取され、社内ネットワークへの侵入後に約72万件の情報が漏えいする事件が発生しました7,8。 **実務に落とし込んだ対策として最も重要なものは、外部からアクセスされる可能性のあるすべての入口（VPN、メール、クラウド管理画面など）に、多要素認証を必ず導入することです。** さらに、パッチ適用が遅れやすいVPN機器やネットワーク機器は特に優先度を高くし、更新情報が公開されれば48時間以内に対応する運用規程を設けるべきです。バックアップはネットワークから隔離して保存し、WORM機能など改ざん耐性のある仕組みを利用しつつ、定期的に復旧訓練を実施しなければ意味がありません。また、経営層は「身代金は支払わない」という方針を事前に定義し、インシデント対応体制を整備しておく必要があります9。 #### 3. サプライチェーンや委託先を狙った攻撃（2位）現代の企業活動は、自社内だけで完結しているわけではありません。開発、調達、製造、在庫管理、販売といった一連の工程は、関連会社・委託先・外部サービスなど多くの組織と密接につながっています。攻撃者はこの“つながりの網”を逆手に取り、防御の弱い部分を足掛かりとして狙いを定めた組織へ侵入します10。 2025年には、東海ソフト開発がランサム攻撃を受けたことにより、委託元企業の個人情報が多数流出し、関連する複数企業が相次いで被害を公表しました。また、広く利用されているエディタソフト「EmEditor」の公式サイトが改ざんされ、偽のインストーラーがダウンロードされる事態が発生しました。正規サイトを経由するため、ユーザー側では不正を見抜くのが困難でした12,13。中小企業が実務として取り組むべき最も重要な対策は、**委託契約書にセキュリティ要件を明確に盛り込むこと**です。例えば、脆弱性情報が公開された場合の対応期限、ログの保持期間、外部委託の制限、事故発生時の報告義務などを文書化し、合意したうえで契約を締結する必要があります。さらに、納品物の中にどのようなソフトウェア部品が含まれているかを可視化するために **SBOM（Software Bill of Materials）を要求し、使用ライブラリの脆弱性を継続的に把握する仕組み** を整えることが推奨されます14。 #### 4. AIの利用をめぐるサイバーリスク（3位）生成AIの急速な普及は業務効率化を大きく加速させる一方で、企業が従来経験してこなかった新たなセキュリティリスクを生み出しています。特に問題となっているのが、従業員が個人アカウントで使用しているAIサービスを業務用途で使用してしまう「シャドーAI」であり、企業が管理できない環境に機密情報が入力されることで、情報漏えいにつながる危険性があります15。実際、米国企業の調査では業務データを生成AIに入力した従業員の多くが、企業によって管理されていないアカウントを利用していたことが報告されています18。生成AIはときに存在しない情報をもっともらしく生成する「ハルシネーション」を起こすため、生成結果をそのまま業務に利用することは重大な判断ミスにつながります。米国では、弁護士が生成AIの誤った判例を引用して問題になる事例も発生しました19。さらに、攻撃者側もAIを悪用してフィッシングメールの文章を自然に翻訳したり、攻撃コードを生成したり、偵察行為を自動化したりするなど、攻撃の高度化が加速しています。これらのリスクに対処するためには、まず **企業として“どのAIサービスを業務利用として許可するのか”を明確に定義し、従業員に周知すること** が不可欠です。また、AIに入力してはいけない情報（顧客情報、契約情報、個人情報、未公開資料など）を明示し、業務利用の際には出力結果を必ず人間が検証するプロセスを導入する必要があります。技術面では、ログ監視によりAIサービスの利用状況を把握し、業務目的外の利用を検知できる体制を整えることが求められます。 #### 5. システムの脆弱性を悪用した攻撃（4位）脆弱性を悪用した攻撃は、最も古典的でありながら現在も攻撃者が最も多用する手法の一つです。脆弱性が公表されると、攻撃者はPoC（概念実証コード）をもとに短期間で攻撃ツールを作成し、パッチが適用されていないシステムを集中的に攻撃します。2025年には、React Server Componentsの脆弱性が公表された翌日にPoCが公開され、深刻度が緊急という極めて重大な状況が世界規模で報告されました21。脆弱性攻撃の最大の問題は「企業が自社の資産を正確に把握できていない」ことにあります。どのサーバーがどのバージョンで動作し、どの機器がサポート終了を迎えているのかが把握できなければ、パッチ適用の優先度を決めることはできません。中小企業であっても、簡易的なリスト表から始めて構いませんので、使用している機器とソフトウェアの一覧（資産台帳）を作成し、更新計画を定期的に見直すことが極めて重要です。パッチ適用がすぐにできない場合には、IPSによる通信遮断やファイアウォールの設定強化による「仮想パッチ」が応急措置として有効です。ただし、これはあくまで一時的な凌ぎであり、根本対策には必ずパッチ適用が必要である点を忘れてはなりません。 #### 6. 機密情報を狙った標的型攻撃（5位）標的型攻撃は、特定の企業や機関を狙い撃ちにし、内部に潜伏しながら機密情報を窃取する、いわばサイバー諜報活動の一種です23。攻撃者は、正規メールを装ったスピアフィッシング、標的が日常的に利用するWebサイトを改ざんする水飲み場攻撃、VPNやクラウドサービスの脆弱性を悪用した侵入など、多角的な手法を組み合わせながら侵入を試みます。 2025年には、MirrorFace（Earth Kasha）と呼ばれる攻撃グループが、日本や台湾の公共機関を対象に、新たな亜種のマルウェア“ANEL”を用いた攻撃を展開したことが確認されています。OneDriveのリンクを悪用した巧妙な手口により、ユーザーのクリックを誘導し、最終的に情報窃取を行う構造が明らかになりました24。また、VPN機器の脆弱性を悪用し、企業のネットワーク機器を“ORB（攻撃中継拠点）”として悪用する攻撃も確認されています25。中小企業に必要な対策は、高度なシステム導入以前に **「機密情報の所在を把握し、権限管理を徹底する」** ことです。どの部署がどの情報へアクセスできるのか、過剰な権限が付与されていないかを定期的に見直す必要があります。さらに、ネットワークを分割し、攻撃者が侵入しても横移動が困難な構造を作ることが重要です。また、EDRを導入し、OSコマンドの悪用や不審な振る舞いを早期に検知できる仕組みを整えることで、標的型攻撃の長期潜伏を阻止しやすくなります。 #### 7. 地政学的リスクに起因するサイバー攻撃（6位）地政学的リスクが高まると、国家支援型の攻撃グループが戦略的な目的をもって攻撃を仕掛けることがあります。これらの攻撃は、攻撃規模が大きく、対象が政府機関だけでなく関連企業やその取引先に及ぶことが特徴です。 2025年には、ロシア系ハクティビストグループ Noname057(16) や CARR が国家に支援されている可能性が米司法省により指摘され、世界各国の政府機関・企業への攻撃が確認されました58。日本でも、国外情勢を理由としたDDoS攻撃が散発的に観測されています。攻撃はDDoS、ランサム偽装、ネットワーク貫通型攻撃、さらにはSNSを介した偽情報拡散など多様化しています27,28。こうした攻撃は、直接の標的になっていない中小企業にも“巻き添え”という形で被害を与えます。対策としては、まず地政学的状況に関する公的情報を定期的に確認し、自社が関わる産業分野や取引国が攻撃対象になりうるかを理解することが必要です。そのうえで、WebサイトがDDoSで停止した場合の代替情報発信チャネルとしてSNSを準備し、VPN機器の迅速なパッチ適用、多要素認証の徹底、バックアップ運用の強化を行う必要があります。 #### 8. 内部不正による情報漏えい等（7位）内部不正は、従業員や元従業員といった“内部者”が関与するため、外部攻撃とは異なり技術的な防御だけでは完全に防ぐことができません29。内部者は正当な権限を持つため、その権限を悪用して秘密情報を持ち出したり、不正アクセスを行ったりすることが可能です。実際には、工作機械メーカーの元社員がロシア通商代表部員に営業秘密を口頭で提供し、金銭を受け取っていた事件や、ソフトバンクの委託先協力会社の元社員が顧客情報約14万件を不正に持ち出した疑いが確認されています30,31。内部不正の防止には、まず情報資産の分類とそれに基づく権限設定を行い、必要最小限のアクセス権を付与することが必須です。また、退職者のアカウントを即時削除し、共有アカウントを廃止するなど、日常運用の中での管理が最も重要な対策となります。ログ監視を行い、機密情報へのアクセス履歴を定期的に確認することで、不正の抑止にもつながります。さらに、USBメモリや外部媒体の使用制限、入退室管理など物理的な管理も並行して行う必要があります。 #### 9. リモートワーク環境や仕組みを狙った攻撃（8位）リモートワークの普及は、従来オフィス内で閉じていたネットワーク境界を家庭や公共空間へ広げることとなり、攻撃者にとっては新たな侵入機会を増やす結果となりました。警察庁の統計では、ランサムウェアの感染経路の80%以上がVPN機器またはRDP（リモートデスクトップ）を経由していることが示されています32。 VPN機器の脆弱性放置や初期パスワードの未変更、RDPのインターネット公開、私物端末（BYOD）の業務利用など、中小企業では“暫定的な運用”のまま本格導入に移行してしまったケースが多く、そのまま攻撃に利用されることが少なくありません。実務としては、まずVPN機器の設定見直しとファームウェア更新を徹底し、RDPをインターネットへ直接公開しないようにするとともにRDPを利用する場合はネットワークレベル（NLA）を必ず有効にすることが必須です。可能であれば、VDI（仮想デスクトップ）やZTNA（ゼロトラストアクセス）への移行を進め、端末に企業データが残らない環境を整えるべきです。また、従業員には自宅ルーターのパスワード変更や不要機器の切断、業務端末と私物端末の明確な区別を指導し、リモートワーク運用ルールを文書化して周知することが重要です。 #### 10. DDoS攻撃（9位） DDoS攻撃は、大量の通信を送りつけてサービスを利用不能にする極めて単純ながら強力な攻撃です。IoT機器を乗っ取ったボットネットが利用されることが多く、中小企業でもWebサイトやメールサービスが容易に停止へ追い込まれます。 2025年にはナード研究所が断続的にDDoS攻撃を受け、Webやメールが何度も停止する障害が発生しました。またカゴヤ・ジャパンでも、Webメールへの大量ログイン試行によりサービス停止が生じました34,35。対策としては、WAFやIPS/IDSの導入により悪性トラフィックを遮断しつつ、CDN（Content Delivery Network / コンテンツ配信ネットワーク）サービスを利用してアクセス集中を吸収する構成が有効です。また、Webサイトが停止した場合に利用者へ情報を届けるためのSNSや別ドメインによる代替手段の用意も重要で、これらを事前にインシデント対応手順として整備しておく必要があります。 #### 11. ビジネスメール詐欺（10位）ビジネスメール詐欺（BEC）は、取引先や経営者になりすまして偽の送金指示を送りつけ、金銭を騙し取る攻撃です。生成AIの発達により、かつて日本語が不自然だった偽メールも、今ではほとんど違和感なく自然な文面で届くようになりました。攻撃者はまず標的組織のメールアカウントに不正ログインし、請求書や支払い情報のやり取りを盗み見ます。その後、実際の請求書の口座情報を偽口座へ書き換えたメールを送りつけ、従業員が疑いなく支払ってしまうよう仕向けます36。2025年にはモダリス社の子会社が虚偽の支払い依頼を信じ込み、約1,400万円を失う事件も発生しました38。防止の核心は「メールの内容だけで送金判断を完結させない仕組み」を作ることにあります。高額送金や口座変更の依頼があった場合には、必ず電話やチャットなど別ルートを用いて確認する“ダブルチェック”のルールを徹底する必要があります。また、送信ドメイン認証（DMARC/SPF/DKIM）の導入や、メール自体に電子署名を付与することも効果的です。 #### 12. 横断的に有効な「共通対策」 IPAが示す共通対策は、すべての脅威に有効な“基盤施策”であり、特に中小企業ではこの7項目を確実に実施するだけで被害の大半を防ぐことができます39。これらは特別な設備投資を必要としないものが多く、中小企業であっても比較的容易に着手できます。以下では、解説書で示された内容を踏まえながら、実務としてすぐ取り組める形に詳細化しています。 ##### 12-1. インシデント対応体制を整備し、適切に対応すること解説書では、セキュリティインシデントが発生した際の被害の大きさは、**攻撃そのものの巧妙さよりも、事前に対応体制が整っていたかどうかで大きく左右される**と指摘しています。特にランサム攻撃や不正アクセスのようなサイバー攻撃では、初動対応が遅れるほど被害が拡大し、復旧までに要する時間やコスト、社会的信用への影響が大きくなります。そのため、インシデントが発生してから対応を考えるのではなく、**「誰が、何を、どの順で行うか」をあらかじめ決めておくことが重要**です。中小企業においてCSIRTを常設することが難しい場合であっても、最低限の役割分担と手順を決めておくだけで、初動の混乱を大幅に減らすことができます。具体的には、次のような準備が有効です。 * **インシデント対応を統括する責任者と、実務を担う担当者をあらかじめ定めておく** * 役割が曖昧なまま対応を始めると、判断が遅れ、対応の重複や抜け漏れが発生しやすくなります。 * **インシデント発生時の対応フローを文書化し、全従業員に周知する** * これにより、従業員が「誰に何を報告すればよいか」で迷うことを防げます。 * **連絡先を明記した報告手順や報告様式を用意しておく** * 連絡先を探している間に対応が遅れることは、実際の被害拡大要因として多く報告されています。 * **作成した手順が実際に機能するか、定期的に訓練で確認する** * 解説書でも、訓練を通じて初めて実運用上の課題に気付けるとされています。 * **自組織だけで対応できない事態を想定し、外部の支援先を事前に把握しておく** * 専門会社や公的窓口を把握しておくことで、対応の遅れを防げます。これらの対応体制は、ランサム攻撃、標的型攻撃、内部不正、情報漏えいなど**ほぼすべての脅威に共通して有効**です。また、体制整備や訓練を継続的に行うためには、**経営者層が主体となって方針化し、必要な予算や時間を確保することが不可欠**である点も、強調されています。 ##### 12-2 PC・サーバー・ネットワーク機器・Webサイト等に適切なセキュリティ対策を行う解説書では、組織を狙う多くのサイバー攻撃は、最先端の攻撃技術よりも、**基本的な設定不備や管理されていない通信経路、把握されていないIT資産を入口として成立している**と指摘しています。 PCやサーバー、ネットワーク機器、Webサイトは業務に不可欠である一方、インターネットを通じて常に攻撃者から狙われる対象でもあります。中小企業においては、すべての攻撃手法に個別対応することは現実的ではありません。そのため解説書では、 **「侵入されにくくする」「侵入されても早く気付く」「被害を広げない」** という考え方に基づいた、基礎的かつ横断的な対策を継続することが重要であるとしています。 ###### **(１)ネットワークと通信を適切に管理する** * **ネットワークを分割し、被害を局所化できる構成にする** * マルウェア感染時でも、影響範囲を限定することで業務停止の連鎖を防げます。 * **ファイアウォールで通信を制御し、不要なポートやプロトコルへの通信を遮断する** * 使っていない通信経路を閉じることは、攻撃者の入口を減らす最も基本的な対策です。 * **DNSフィルタリングを行う** * 未検証のドメインや悪性の類似ドメインへのアクセスを名前解決の段階で防止し、マルウェア感染やフィッシング被害を未然に防ぎます。 * **プロキシーサーバーを導入し、外部通信を可視化・制御する** * 外部通信の記録と制御により、不審な挙動の早期発見や事後調査を容易にします。 ###### **(２)見えていないIT資産と脆弱性を把握する** * **ASM（Attack Surface Management）の考え方を取り入れる** * 外部から見えるIT資産を定期的に確認し、意図しない公開や設定ミスに早く気付くことで、想定外の侵入口を減らします。 ###### **(３)脆弱性対策と基本設定を確実に行う** * **サポート切れのソフトウェアやハードウェアを使い続けない** * **更新プログラムを迅速に適用する** * **不要なサービスは停止し、自動起動設定を確認する** これらはいずれも、既知の脆弱性を突いた攻撃への基本的な防御策です。 ###### **(４)セキュリティ製品を適切に導入・活用する** 人手だけでは把握しきれない不審な挙動を補完する手段として、セキュリティ製品の活用が重要です。重要なのは「多く導入すること」ではなく、**運用できる製品を選び、使い続けること**です。 * **セキュリティソフト（アンチウイルス等）を確実に運用する** * 更新・定期スキャンが継続されていなければ、防御効果は大きく低下します。 * **EDR／NDRなど、不審な振る舞いを検知する仕組みを活用する** * 「いつもと違う動き」に気付くことで、被害の早期発見につながります。 * **DLP／DSPMにより、重要データの持ち出しや所在を把握する** * 内部不正や誤送信による情報漏えい対策として有効です。 * **CSPM／SSPMを活用し、クラウドの設定ミスを検知する** * 意図しない公開設定は、クラウド利用時の代表的な事故原因です。 * **IDS／IPS、WAF、UTMを活用し、通信を監視・制御する** * 自動化された攻撃に対し、通知や遮断を自動で行うことで被害低減が期待できます。 * **SIEMなどでログやイベント情報を集約・可視化する** * 情報を一か所で把握できること自体が、インシデント対応の効率化につながります。 ###### **(５)アクセス権限管理を適切に行う** 過剰な権限や管理されていないアカウントは、外部攻撃・内部不正の双方にとって大きなリスクとなります。 * **アクセス権限は業務に必要な最小限にする** * **管理者権限の運用ルールを明確にする** * **定期的にアカウントの棚卸を行う** * **アカウントの共用を避け、ログを取得・保管する** * **多要素認証（MFA）を可能な限り有効にする** ###### **(６)その他：運用を支えるための補完的対策** 前述の対策を**継続的に機能させるための補完的な取り組み**も重要です。 * **セキュリティサポートが充実している製品・サービスを選定する** * パッチや回避策の提供が迅速な製品は、被害拡大の防止に直結します。 * **統合運用管理ツールを活用し、IT資産を一元管理する** * アクセス権限管理や設定管理をまとめて行うことで、運用ミスを減らし、負荷も軽減できます。 * **重要データやファイルを暗号化する** * 万一持ち出されても、内容を読み取られないようにするための基本対策です。 * **外部記憶媒体の接続を制限する** * USBメモリ等による意図しない情報持ち出しやマルウェア感染を防ぎます。 * **脆弱性診断やペネトレーションテストを実施する** * 専門家の視点で弱点を把握することで、自組織では気付きにくい問題を洗い出せます。 * **ログを取得・監視・解析する** * 不審な挙動の早期検知だけでなく、被害発生時の原因特定に不可欠です。無料ツール（iLogScanner等）の活用も有効です。 * **サイバーセキュリティお助け隊サービス等を活用する** * 中小企業向けに必要な機能をまとめたサービスを利用することで、コストを抑えつつ対策を進められます。本章で示した対策は、特定の脅威だけでなく、**ランサム攻撃、不正アクセス、標的型攻撃、内部不正など、多くの脅威に共通して有効**です。中小企業においては、完璧な対策を一度に目指すのではなく、 * **通信と資産の見える化** * **侵入口の削減** * **基本設定と運用の継続** を積み重ねていくことが、最も実効性の高い取り組みとなります。 ##### 12-3. 適切な取得日時・頻度でバックアップを運用すること部記憶媒体をネットワークから切り離して保管することや、地理的に離れた場所での保管が強く推奨されています。 * **3-2-1ルールを意識した保管を行う** データを複数(3つのデータを保持)コピーし、異なる媒体(2種類のメディア)に保存し、そのうち1つは別の場所に保管することで、攻撃や災害時の耐性が高まります。可能であれば、不変（WORM）やオフラインのコピーを含めることが望ましいとされています。 * **世代管理を行い、過去の状態に戻せるようにする** データ破損に気付くまでに時間がかかると、最新のバックアップもすでに破損しているおそれがあります。解説書では、複数時点のデータ消失の原因はランサムウェアなどのサイバー攻撃に限らず、**機器故障や操作ミス、誤った更新など、日常業務の中でも頻繁に起こり得る**と説明されています。一度失われたデータの復旧は困難であり、復旧に時間を要すると業務停止や取引先への影響につながり、**組織の信頼や事業継続そのものを脅かすリスク**となります。そのため、バックアップを「保険」ではなく、**業務継続のための前提条件**として位置づけます。重要なのは、バックアップを「取得していること」ではなく、**「実際に復旧できる状態にしていること」** です。バックアップ対策として、特に中小企業が意識すべき点は次のとおりです。 * **バックアップはリストア（復旧）までを含めて設計する** 解説書では、想定される障害や被害を事前に考え、それぞれに対して復旧時点や手順を定めておくことの重要性が示されています。復旧手順を確認していない場合、いざというときに業務再開が遅れ、被害が拡大するおそれがあります。 * **バックアップ対象を業務データだけに限定しない** 業務データに加え、システム設定ファイルやプログラムも含めておかなければ、復旧後に正常に業務を再開できない場合があります。 * **データの重要度に応じて取得頻度を分ける** 解説書では、業務データ、設定ファイル、プログラムごとに取得タイミングや頻度を検討することが推奨されています。すべてを同じ頻度で取得するのではなく、実務に即した設計が現実的です。 * **バックアップはネットワークから隔離して保管する** ランサム攻撃では、バックアップデータ自体が暗号化・破壊されるケースが多く報告されています。解説書でも、ネットワークから隔離してバックアップを保持する必要性が示されています。 * **定期的に復旧テストを行い、手順を見直す** バックアップは、復旧できることを確認して初めて意味を持ちます。解説書でも、初回取得時やシステム更改時、定期的なテストの実施が推奨されています。このようなバックアップ運用は、ランサム攻撃への備えであると同時に、**日常的な障害や人為ミスへの最も確実な対策**でもあります。中小企業おいても、NASや外付け媒体を活用するなど、**現実的な手段で実効性のあるバックアップを継続することが重要**です。 ##### 12-4. 適切な報告・連絡・相談を行うことインシデント対応においては、技術的な被害そのもの以上に、**報告の遅れや対応の不備が被害拡大や信頼失墜につながりやすい**ことが、多くの事例から明らかになっています。適切な報告・連絡・相談を迅速に行うことは、被害の最小化だけでなく、組織としての社会的責任を果たすうえでも不可欠です。そのためには、インシデント発生時に **「誰が、どの立場で、どこへ報告・相談するのか」**　を事前に整理し、組織全体で共有しておく必要があります。以下では、組織内の立場ごとに果たすべき役割を整理します。 ###### **(1) 従業員・職員が行うべき対応（現場レベル）** 重大な重大なインシデントは、最初は「些細な異変」として現れることが少なくありません。従業員や職員は、専門的な判断を行う立場ではなく、**異常に気付いた時点で速やかに報告する役割**を担います。 * 不審なメール、PCの異常動作、見覚えのない通知などに気付いた場合は、躊躇せずに報告する * 自身が誤って不審な操作をしてしまった場合でも、隠さず速やかにエスカレーションする * 報告を怠ると、結果として被害拡大や隠蔽を疑われるおそれがあることを理解する * **主な報告先の例** * 上司、責任者、セキュリティ管理者 * 利用中のPC・スマートフォン・システムに関する事案の場合はシステム管理者 * 組織内にCSIRTが設置されている場合はCSIRT 現場で最も重要なのは、「判断」ではなく **「早く知らせること」** です。 ###### **(2) 上司・責任者が行うべき対応（管理職レベル）** 管理職や責任者は、現場からの報告を受け、**対応の要否や優先度を判断し、組織内へ展開する役割**を担います。 * 報告内容を整理し、事実関係を把握する * 必要に応じて関係部署や専門担当へ連携する * 類似被害を防ぐため、組織内への注意喚起を行う * 経営層に対し、判断に必要な情報を迅速に提供する日頃から、インシデント対応時に関与する部署や外部窓口を把握しておくことが、初動の遅れを防ぐ鍵となります。 ###### **(3) 経営層・組織として行うべき対応（最重要）** 経営層および組織としての対応は、**被害拡大防止、社会的責任の遂行、対外的な信頼維持**という観点から、極めて重要です。インシデントの内容によっては、技術対応だけでなく、**外部への報告・相談・公表を適切なタイミングで行うこと**が求められます。以下は、想定される主な外部対応先です。 * **セキュリティ専門会社への技術支援依頼** * 自組織だけで調査・対応が困難な場合、専門会社の支援を受けることで、対応の遅れや判断ミスを防げます。契約がなくても、緊急対応を受けられるケースがあります。 * サイバーインシデント緊急対応企業一覧（JNSA）[https://www.jnsa.org/emergency_response/](https://www.jnsa.org/emergency_response/) * **顧客・取引先・委託先・委託元・関係組織への報告** * 被害の影響が及ぶ可能性がある場合、速やかに情報共有を行います。状況によっては、メディアへの公表を検討することもあります。 * **金融機関・クレジットカード会社への連絡** * 不正送金やカード情報漏えいの可能性がある場合、二次被害防止のために早急な連絡が必要です。 * **監督省庁・公的機関への報告・相談** * IPA 企業組織向けサイバーセキュリティ相談窓口 [https://www.ipa.go.jp/security/support/soudan.html](https://www.ipa.go.jp/security/support/soudan.html) * IPA コンピュータウイルス・不正アクセスに関する届出 [https://www.ipa.go.jp/security/todokede/crack-virus/about.html](https://www.ipa.go.jp/security/todokede/crack-virus/about.html) * JPCERT/CC インシデント対応依頼 [https://www.jpcert.or.jp/form/](https://www.jpcert.or.jp/form) * 個人情報保護委員会への報告（法令対応） * 個人データの漏えい等により、個人の権利・利益を害するおそれがある場合、法令に基づく報告が必要です。 * 速報：事態把握後おおむね **3～5日以内** * 確報：原則 **30日以内**（不正アクセス等の場合は **60日以内**） * **警察への相談** * 犯罪性が疑われる場合や、被害届の提出が必要な場合に相談します。 * **弁護士への相談** * 法的責任の整理、対外説明、公表内容の妥当性確認などのために有効です。 ###### **(４) 組織として重要な姿勢** インシデント対応においては、 **報告をためらわせる風土や、過度な懲罰的対応は、結果として被害を拡大させる**ことがあります。 * 報告したこと自体を責めない * 早期報告を評価する * 経営層が率先して「隠さない姿勢」を示す適切な報告・連絡・相談は、**インシデント対応のスピードと質を左右する最も重要な要素の一つ**です。 * 現場は「気付いたら報告」 * 管理職は「整理・判断・展開」 * 経営層・組織は「社会的責任を果たす外部対応」この役割分担を事前に明確にし、組織全体で共有しておくことが、被害の最小化と信頼維持につながります。 ##### 12-5. 情報リテラシー・モラルの向上サイバーセキュリティ対策においては、技術的な防御だけでなく、**人の判断や行動が被害の有無を左右する場面が多く存在します**。業務の多忙さや緊急対応の中で、ルールを軽視した行動や誤った判断が、結果として大きな事故につながることも少なくありません。そのため、組織としては「悪意のある不正」だけでなく、**知識不足や思い込み、慣れによる行動**もリスクとして捉え、情報リテラシーと情報モラルを継続的に向上させていく必要があります。 ###### **(1)SNS・インターネット利用に関する注意点** 日常的に利用されるSNSやWebサイトは、情報収集や業務連絡に便利な一方で、誤った使い方が思わぬトラブルを招くことがあります。 * **掲載されている情報が正しいとは限らない** * 悪意がなくても、誤情報や不正確な情報が拡散されている場合があります。内容を鵜呑みにせず、一次情報を確認する姿勢が重要です。 * **安易に情報を拡散しない** * 誤情報の拡散や、第三者を傷つける発信は、名誉毀損や損害賠償につながるおそれがあります。組織に所属する立場での発信は、個人の発言であっても組織の評価に影響を与える可能性があります。 * **情報発信は慎重に行う** * 感情的な投稿や、真偽不明の内容の発信は避けるべきです。一度公開した情報は完全に消去できないことを理解し、発信前に立ち止まって考えることが重要です。 * **不審なWebサイトに注意する** * 正規の企業やサービスを装った偽サイト、偽のセキュリティ警告画面、個人情報を不正に取得しようとするサイトが存在します。個人情報や金銭情報の入力を求められた場合は、特に慎重な確認が必要です。 ###### **(2)生成AIの利用に関する注意点** 生成AIは業務効率化に役立つ一方、使い方を誤ると情報漏えいや誤判断につながるおそれがあります。 * **学習機能の有無を確認する** * 利用するサービスによっては、入力内容が学習に利用される場合があります。個人情報や業務上の機密情報を入力しないことが基本です。 * **生成された情報が正しいとは限らない** * 悪意がなくても、事実と異なる情報が生成されることがあります。生成結果をそのまま業務判断に使わず、必ず人が内容を確認する必要があります。 * **業務利用のルールを明確にする** * 組織として、利用してよい範囲や禁止事項を定め、従業員が迷わず判断できるようにしておくことが重要です。 ###### **(3)組織の対応（教育・ルール整備）** 情報情報リテラシー・モラルの向上は、個人任せにするのではなく、**組織として仕組み化して取り組むこと**が不可欠です。 * **情報セキュリティ・情報モラルへの対応** * 情報セキュリティおよび情報モラルに関する教育を**定期的に実施し、全体の意識レベルを底上げする** * 教育内容は業務内容に応じて検討し、公的機関が提供する教材やコンテンツも参考にする * 単発で終わらせず、継続的に実施することで習慣化を図る * **コンプライアンスへの対応** * 内部不正に対する懲戒処分や、それを定めた就業規則・社内規程について**明確に周知する** * 「知らなかった」「理解していなかった」を防ぐため、定期的な説明や確認の機会を設ける ###### **(4)教育プログラムへの意識付け** 教育の効果を高めるためには、受講する側の意識も重要です。 * 教育を「他人事」と捉えず、自身の業務に直結するものとして受講する * 就業規則や社内運用規則の内容を理解する * 緊急時の報告先や報告方法を把握しておく ###### **(5)継続的な取り組みの重要性** 組織では、人の入れ替わり（新入社員・中途採用・派遣・出向など）や、長期休暇、社会情勢の変化といったイベントを踏まえて、**適切なタイミングで教育を実施すること**が有効です。また、毎回同じ内容を繰り返すのではなく、実際の事故やヒヤリ・ハット、従業員の行動や理解度、社内ポリシーの運用状況、を振り返りながら、**教育内容を見直し、改善していくこと**が重要です。情報リテラシー・モラルの向上は、すべてのセキュリティ対策を支える「人の基盤」です。技術では防ぎきれないリスクを減らし、事故を未然に防ぎ、万一の際にも適切な行動につなげるためには、**継続的な教育と明確なルールづくり**が欠かせません。 ##### 12-6. 認証を適切に運用すること（パスワード・多要素認証）サイバー攻撃や情報漏えいの多くは、システムそのものの脆弱性ではなく、**認証情報の窃取や不正利用を起点として発生**しています。一度でも攻撃者に正規のID・パスワードを取得されると、内部システムに「正規利用者」として侵入されてしまい、被害が長期化・深刻化しやすくなります。そのため、認証は単なるログイン手段ではなく、**組織を守るための最重要な防御線の一つ**として、適切に設計・運用する必要があります。 ###### **(1)パスワードの適切な管理と基本的な考え方** パスワード運用において重要なのは、「複雑にすること」よりも、**推測されにくく、使い回さず、適切に管理すること**です。 * 初期設定のまま利用しない * 十分な長さを持つ、推測されにくいパスワードを設定する * 複数のサービスで同じパスワードを使い回さない * パスワードを付箋や共有メモ、ファイルに平文で保存しない- これらが守られていない場合、ひとつのサービスでの漏えいが、他のシステムへの不正ログインに連鎖するおそれがあります。 ###### **(2)不正ログインが発生してしまった場合の対応** どれだけ対策を講じていても、不正ログインが発生する可能性を完全にゼロにすることはできません。そのため、**発生時にどう行動するかを事前に理解しておくこと**が重要です。 * **速やかに該当アカウントのパスワードを変更する** * 以後の不正ログインを防ぐため、発覚後は可能な限り早く変更します。 * **パスワードの使い回しがないか確認し、該当する場合はすべて変更する** * 他のサービスでも同じパスワードを使用している場合、被害が拡大するおそれがあります。 * **組織内で定められた報告・連絡・相談先へ連絡する** * 早期に共有することで、他のアカウントやシステムへの影響を調査・遮断できます。不正ログインを「個人の失敗」として処理せず、**組織全体の問題として対応すること**が、被害拡大防止につながります。 ###### **(3)多要素認証（MFA）を積極的に利用する** パスワードだけに依存した認証は、フィッシングやマルウェアによって突破されるおそれがあります。そのため、**複数の要素を組み合わせた認証方式を利用することが極めて重要**です。**多要素認証（MFA）** とは、次の3要素のうち2つ以上を組み合わせる認証方式です。 * 知識情報（パスワード、PIN など） * 所持情報（スマートフォン、認証アプリ、ワンタイムパスワードなど） * 生体情報（指紋、顔認証など）例えば、パスワード入力後にスマートフォンの認証アプリで確認を行う方式は、代表的な多要素認証です。仮にパスワードが漏えいしても、追加の要素がなければ不正ログインは成立しにくくなります。外部からアクセス可能なシステム（メール、VPN、クラウドサービス、管理者アカウントなど）では、**多要素認証を前提とした運用**が望まれます。 ###### **(4)FIDO／FIDO2（パスキー）によるパスワードレス認証の活用** 近年では、パスワード自体を使用しない認証方式として、**FIDO／FIDO2（パスキー）** が利用できる環境も増えています。パスキーは、利用者のデバイスに保存された認証情報と、生体認証やPINコードを組み合わせて認証を行う方式です。 * パスワードを入力しないため、フィッシングに強い * 生体情報やPINは端末内で処理され、外部に送信されない * 利用者にとって操作が簡単で、管理負担も軽減されるパスキーが利用可能なシステムでは、**パスワードレス認証への移行を検討することが、不正ログイン対策として非常に有効**です。認証の適切な運用は、**不正ログイン、ランサム攻撃、情報漏えいなど、多くの脅威の入口を塞ぐ基本対策**です。 * パスワード管理を徹底する * 不正ログイン発生時の対応を事前に理解しておく * 多要素認証を標準とする * 可能な場合はパスキーなど新しい認証方式を活用するこれらを組み合わせることで、限られたリソースの中でも、**大きなリスク低減効果を得ることができます**。 ##### 12-7. 添付ファイルやURLを安易に開かないことサイバー攻撃の多くは、システムの脆弱性ではなく、**メールやSMS、SNSを通じて人の行動を起点として始まります。**　特に、添付ファイルの開封やリンク・URLのクリックは、ランサム攻撃や標的型攻撃、情報詐取に直結する典型的な入口となっています。近年は文面や表現が巧妙化しており、正規の連絡や業務メールと見分けがつきにくいケースも増えています。そのため、「見抜く」ことよりも、**不用意に操作しない行動を習慣化すること**が重要です。 ###### **(1)添付ファイルやリンクが危険となる理由** 不審なメールやSMSを受信しただけで、直ちに被害が発生するとは限りません。しかし、次の行動が被害の引き金になります。 * 添付ファイルを開くことで、マルウェアが実行される * リンク先のWebサイトでID・パスワードや個人情報を入力してしまう * マクロの有効化や「編集を有効にする」操作により、不正な処理が実行される一度マルウェアに感染すると、PCやスマートフォンが正常に動作しなくなったり、保存しているデータが外部へ送信されたりするおそれがあります。さらに、認証情報や金銭情報が窃取されると、被害が組織全体へ拡大する可能性があります。 ###### **(2)メール・SMS・SNSを扱う際の基本的な注意点** 業務に関係していそうな内容であっても、**少しでも違和感を覚えた場合は、その場で操作を止めること**が重要です。 * **リンクやQRコードを安易にクリック・タップしない** * **添付ファイルは原則として開かない** * **文面に「至急」「確認してください」「詳細はこちら」などの誘導表現がある場合は特に注意する** * **記載されている電話番号に安易に連絡しない** 偽のサポート窓口へ誘導されるおそれがあります。 ##### **(3)リンクやURLをクリックせずに内容を確認する方法** リンクをクリックしてはいけないと分かっていても、内容が気になり確認したい場合があります。そのような場合は、**メールやSMS内のリンクを使わず、次の方法で正規情報を確認することが有効**です。 * **送信元の情報や記載された電話番号をWeb検索し、不正な事例がないか確認する** * **よく利用するWebサイトは、事前にブックマーク（お気に入り）に登録し、そこからアクセスする** * **よく利用するサービスは、正規の公式アプリを利用して確認する** * **普段利用しないサービスの場合は、サービス名を検索して公式サイトを開き、直接確認する** 検索結果の上部に表示される広告は、偽サイトである可能性もあるため、クリックには注意が必要です。不在通知や購入履歴などを装った連絡であっても、**正規のWebサイトやアプリから事実確認を行うこと**が重要です。 ###### **(4)誤って開封・クリックしてしまった場合の対応** どれだけ注意していても、誤って操作してしまうことはあります。重要なのは、その後の行動です。 * すぐに操作を中止する * PCやスマートフォンの異常がないか確認する * **定められた報告・連絡・相談先へ速やかに報告する** 誤操作を隠したり、自己判断で様子を見ることは、被害拡大につながるおそれがあります。**早期の報告が、被害を最小限に抑える最も有効な行動**です。 ###### **(5)日常的な備えとしての取り組み** 日常的な備えが、不審な連絡への耐性を高めます。 * HTML形式ではなく、テキスト形式でメールを表示する設定を検討する * マクロを業務で使用しない場合は、無効化する * 定期的に攻撃手口や注意喚起情報を確認し、最新の傾向を把握する添付ファイルやリンク・URLへの対応は、**すべてのセキュリティ対策の中でも、最も個人の行動に依存する分野**です。 * 開かない * クリックしない * 迷ったら確認・相談するこの行動を組織全体で徹底することが、ランサム攻撃や標的型攻撃の多くを未然に防ぐことにつながります。**ほとんどの攻撃はメールを入口**にしており、解説書でも強く警告されています。 #### 13. まとめ：中小企業でも「守れる仕組み」は必ず作れる本レポートで紹介した10の脅威は、いずれも高度な技術が背景にあるものの、その多くは“基本対策の不足”によって成功しています。攻撃者のレベルが上がっているのではなく、企業側の油断や運用の隙を突いているに過ぎません。中小企業が必要とするのは「高価なセキュリティ製品」ではなく、 **① リスクを理解すること ② 基本対策を確実に実行すること ③ 定期的に見直しを行うこと** の3つです。 “当たり前のことを確実にやり続ける”という最も地道な取り組みこそが、サイバー攻撃に対する最強の防御となります。 ### 引用・参考資料 * 1 情報セキュリティ10大脅威2026（IPA）[https://www.ipa.go.jp/security/10threats/10threats2026.html](https://www.ipa.go.jp/security/10threats/10threats2026.html) * 2 10大脅威の順位に関する注意（PDF内記載）順位は危険度ではない旨（PDF 7ページ） * 3 攻撃の糸口6分類（情報セキュリティ対策の基本・表1.2） * 4 組織向け10大脅威一覧（表1.1）**** * ランサム攻撃関連引用 * 5 ランサム攻撃の手口・多重脅迫の説明 * 6 RaaS（Ransomware as a Service）に関する説明 * 7 アサヒグループHD：システム障害発生　[https://www.asahigroup-holdings.com/newsroom/detail/20250929-0102.html](https://www.asahigroup-holdings.com/newsroom/detail/20250929-0102.html) * 8 アスクル：ランサムウェア被害第13報 [https://pdf.irpocket.com/C0032/PDLX/O3bg/N4O3.pdf](https://pdf.irpocket.com/C0032/PDLX/O3bg/N4O3.pdf) * 8 アスクル：ランサムウェア被害第17報 [https://pdf.irpocket.com/C0032/KfQV/YWf9/fDRm.pdf](https://pdf.irpocket.com/C0032/KfQV/YWf9/fDRm.pdf) * 9 身代金支払いの危険性（再攻撃リスク等記述） * サプライチェーン攻撃関連引用 * 10 サプライチェーン構造に関する脅威説明 * 12 東海ソフト開発：ランサム被害第3報 [http://www.tokaisoftdev.co.jp/category/important/](http://www.tokaisoftdev.co.jp/category/important/) * 13 EmEditor インストーラー改ざんに関する事件　[https://jp.emeditor.com/general/【重要】emeditor-インストーラーのダウンロード導線に-3/](https://jp.emeditor.com/general/【重要】emeditor-インストーラーのダウンロード導線に-3/) * 14 SBOM活用（経済産業省）[https://www.meti.go.jp/press/2024/08/20240829001/20240829001.html]<https://www.meti.go.jp/press/2024/08/20240829001/20240829001.html> * AIの利用をめぐるリスク関連引用 * 15 AI利用リスク（シャドーAI・ハルシネーション・脆弱性） * 18 Enterprise AI and SaaS Data Security Report　[https://go.layerxsecurity.com/hubfs/LayerX_Enterprise_AI_and_SaaS_Data_Security_Report.pdf](https://go.layerxsecurity.com/hubfs/LayerX_Enterprise_AI_and_SaaS_Data_Security_Report.pd) * 19 生成AIが生んだ架空判例問題（JBpress）[https://jbpress.ismedia.jp/articles/-/86872](https://jbpress.ismedia.jp/articles/-/86872) * 脆弱性攻撃関連引用 * 21 React Server Components（CVE-2025-55182）脆弱性情報　[https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components](https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components) * 標的型攻撃関連引用 * 23 標的型攻撃の定義（PDF説明） * 24 MirrorFace（Earth Kasha）による攻撃事例(警察庁注意喚起)　[https://www.npa.go.jp/bureau/cyber/pdf/20250108_caution.pdf](https://www.npa.go.jp/bureau/cyber/pdf/20250108_caution.pdf) * 25 VPN機器 ORB化（IPAの注意喚起）[https://www.ipa.go.jp/security/security-alert/2025/alert20251031_vpn.html](https://www.ipa.go.jp/security/security-alert/2025/alert20251031_vpn.html) * 地政学的リスク攻撃関連引用 * 27 Pro-Russia Hacktivist Advisory（CISA/NCSC）[https://www.cisa.gov/news-events/cybersecurity-advisories/aa25-343a](https://www.cisa.gov/news-events/cybersecurity-advisories/aa25-343a) [https://www.ncsc.gov.uk/news/pro-russia-hacktivist-activity-continues-to-target-uk-organisations](https://www.ncsc.gov.uk/news/pro-russia-hacktivist-activity-continues-to-target-uk-organisations) * 28 欧州選挙への影響工作（EU/BBC等） * Romania選挙：[https://youth.europa.eu/news/how-romanias-presidential-election-became-plot-of-cyber-thriller_en](https://youth.europa.eu/news/how-romanias-presidential-election-became-plot-of-cyber-thriller_en) * BBC偽情報ネットワーク： [https://www.bbc.com/news/articles/c4g5kl0n5d2o](https://www.bbc.com/news/articles/c4g5kl0n5d2o) * 58 米司法省：ロシア国家支援型攻撃者の起訴文書　[https://www.justice.gov/opa/pr/justice-department-announces-actions-combat-two-russian-state-sponsored-cyber-criminal](https://www.justice.gov/opa/pr/justice-department-announces-actions-combat-two-russian-state-sponsored-cyber-criminal) * 内部不正関連引用 * 29 内部不正の定義・脅威説明（PDF内記述） * 30 ロシア通商代表部員への営業秘密漏えい（日経）[https://www.nikkei.com/article/DGXZQOUD0948B0Z00C26A1000000/](https://www.nikkei.com/article/DGXZQOUD0948B0Z00C26A1000000/) * 31 ソフトバンク委託先での14万件情報流出　[https://www.softbank.jp/corp/news/press/sbkk/2025/20250611_01/](https://www.softbank.jp/corp/news/press/sbkk/2025/20250611_01/) * リモートワーク関連引用 * 32 ランサム感染経路（警察庁データ）[https://www.npa.go.jp/publications/statistics/cybersecurity/index.html](https://www.npa.go.jp/publications/statistics/cybersecurity/index.html) * DDoS攻撃関連引用 * 34 ナード研究所：DDoS影響通知　[https://www.nard.co.jp/info/detail.php?id=166](https://www.nard.co.jp/info/detail.php?id=166) * 35 カゴヤ・ジャパン：Active!Mail障害[https://www.kagoya.jp/news/2025073033092/](https://www.kagoya.jp/news/2025073033092/) * ビジネスメール詐欺（BEC）関連引用 * 36 BEC攻撃の構造（PDF内説明） * 37 LINEグループ作成依頼型詐欺（LINEヤフー）[https://help.line.me/line/smartphone?contentId=200002034&lang=ja](https://help.line.me/line/smartphone?contentId=200002034&lang=ja) * 38 モダリス社：資金流出被害　[http://ke.kabupro.jp/tsp/20250106/140120241227545975.pdf](http://ke.kabupro.jp/tsp/20250106/140120241227545975.pdf) * 共通対策関連引用 * 39 情報セキュリティ10大脅威2026（IPA）表1.4「複数の脅威に有効な共通対策」 [https://www.ipa.go.jp/security/10threats/10threats2026.html](https://www.ipa.go.jp/security/10threats/10threats2026.html)