2025年1月29日、IPA(情報処理推進機構)から「情報セキュリティ10大脅威2026」が公開されました。
「情報セキュリティ10大脅威2026」の解説書や資料は、2月下旬から公開予定となっています。
IPAの情報セキュリティに関するコンテンツは、分かりやすいと思いますので、ISMSに限らず情報セキュリティ教育のヒントにもなりますので、おすすめです。
ここでは、公開された「情報セキュリティ10大脅威2026」について紹介します。
「情報セキュリティ10大脅威2026」とは
「情報セキュリティ10大脅威2026」は、2025年に発生した社会的に影響が大きかったと考えられる情報セキュリティにおける事案から、IPA(情報処理推進機構)が選んだ情報セキュリティ分野の研究者や企業の実務担当者など約250名のメンバーからなる「10大脅威選考会」において審議・決定されたものです。
「情報セキュリティ10大脅威」は、「個人」と「組織(会社)」の立場でランキングされています。
情報セキュリティ10大脅威は、2014年から毎年公開されています。
以下、個人と組織の「情報セキュリティ10大脅威2026」について説明します。
「情報セキュリティ10大脅威2026」:個人
個人の「情報セキュリティ10大脅威2026」は、下表のとおりです。
- 個人情報やお金に関する脅威が目立ちます。
情報セキュリティに関する脅威について常日頃注意していたとしても、たまたま忙しかったり、急いでいたりしてうっかり引っかかってしまうこともありがちです。
ISO(品質)でのヒューマンエラーの対策と同じ様な難しさがあると思います。
日頃の心が前や取り組みも重要ですが、情報セキュリティに関する脅威に出会ったしまった時に、あわてずに対応できるようにするためにも、事前に自分事としてが考えてみることが大切だと考えています。
個人の情報セキュリティ10大脅威には、順位がつけられていません。
これは、「順位に関わらず自分自身に関係のある驚異に対して対策を行うこと」が期待されているためです。
| 個人の情報セキュリティ10大脅威2026 | 初選出 | 回数 |
|---|---|---|
| インターネット上のサービスからの個人情報の窃取 | 2016年 | 7年連続10回目 |
| インターネット上のサービスへの不正ログイン | 2016年 | 11年連続11回目 |
| インターネットバンキングの不正利用 | 2016年 | 4年ぶり8回目 |
| クレジットカード情報の不正利用 | 2016年 | 11年連続11回目 |
| サポート詐欺(偽警告)による金銭被害 | 2020年 | 7年連続7回目 |
| スマホ決済の不正利用 | 2020年 | 7年連続7回目 |
| ネット上の誹謗・中傷・デマ | 2016年 | 11年連続11回目 |
| フィッシングによる個人情報等の詐取 | 2019年 | 8年連続8回目 |
| 不正アプリによるスマートフォン利用者への被害 | 2016年 | 11年連続11回目 |
| メールやSNS等を使った脅迫・詐欺の手口による金銭要求 | 2019年 | 8年連続8回目 |
個人の情報セキュリティ10大脅威は、複数年連続している項目ばかりです。
自分事(じぶんごと)として、考えることからはじめてみてはいかがでしょうか。
「情報セキュリティ10大脅威2026」:組織
組織の「情報セキュリティ10大脅威2026」は、下表のとおりです。
- 会社に関する攻撃だけでなく、会社内での脅威もあります。
企業内で様々なシステム的な対策はしていると思いますが、せっかくの対策もうっかりや少しぐらいは大丈夫だろうという根拠のない自信により情報セキュリティ事故につながってしまうこともあります。
日頃の教育や対策の周知、定期的な注意喚起と共にマンネリ化を防ぐ対策も必要になります。
会社(組織)としての取り組みが必要な脅威だけでなく、個人でも取り組まなければ防げない脅威もあります。
| 順位 | 組織の情報セキュリティ10大脅威2026 | 初選出 | 回数 |
|---|---|---|---|
| 1 | ランサム攻撃による被害 | 2016年 | 11年連続11回目 |
| 2 | サプライチェーンや委託先を狙った攻撃 | 2019年 | 8年連続8回目 |
| 3 | AIの利用をめぐるサイバーリスク | 2026年 | 初選出 |
| 4 | システムの脆弱性を悪用した攻撃 | 2016年 | 6年連続9回目 |
| 5 | 機密情報を狙った標的型攻撃 | 2016年 | 11年連続11回目 |
| 6 | 地政学的リスクに起因するサイバー攻撃(情報戦を含む) | 2025年 | 2年連続2回目 |
| 7 | 内部不正による情報漏えい等 | 2016年 | 11年連続11回目 |
| 8 | リモートワーク等の環境や仕組みを狙った攻撃 | 2021年 | 6年連続6回目 |
| 9 | DDoS攻撃(分散型サービス妨害攻撃) | 2016年 | 2年連続7回目 |
| 10 | ビジネスメール詐欺 | 2018年 | 9年連続9回目 |
解説書や簡易説明資料
2026年2月7日現在、IPAの「情報セキュリティ10大脅威」のページでは、以下の解説書や資料が紹介されています。
- 「情報セキュリティ10大脅威2025」の解説書
- 「情報セキュリティ10大脅威 2025」簡易説明資料(スライド形式)
- 対策マッピングシート(「情報セキュリティ10大脅威の活用法」改め)
情報セキュリティの教育に関わる方はもちろん、個人としてもざっとでもよいので目を通されることをおすすめします。
IPA(情報処理推進機構)の情報セキュリティ10大脅威のリンクは、以下の通りです。
まとめ
2026年1月29日、IPA(情報処理推進機構)から「情報セキュリティ10大脅威2026」が公開されました。
IPAの情報セキュリティに関するコンテンツは、分かりやすいと思いますので、ISMSに限らず情報セキュリティ教育のヒントにもなります。
ここでは、公開された「情報セキュリティ10大脅威2026」について以下の項目で紹介しました。
- 「情報セキュリティ10大脅威2026」とは
- 「情報セキュリティ10大脅威2026」:個人
- 「情報セキュリティ10大脅威2026」:組織
- 解説書や簡易説明資料
