【解説】中小企業のための情報セキュリティ10大脅威2026（組織編）

2026.04. 7

中小企業のための情報セキュリティ10大脅威2026（組織編）

― 要約と実務に落とすための解説 ―

本資料は、独立行政法人情報処理推進機構（IPA）が公表した 「情報セキュリティ10大脅威2026（組織編）」　を基に、中小企業が実務として取り組むべきポイントを整理したものです。

※本資料はIPA公式資料そのものではなく、公開情報を基に独自に編集・作成した解説資料です。

作成：生成AIにより原文作成、東京都編集
作成日：2026年4月
参照元：IPA「情報セキュリティ10大脅威2026（組織編）」

はじめに（本資料の位置づけ）

本資料は、独立行政法人情報処理推進機構（IPA）が2026年3月12日に公表した「情報セキュリティ10大脅威2026（組織編）」および「中小企業のための情報セキュリティ10大脅威2026（組織編）解説」に記載された内容を基に、中小企業が理解しやすい形で再構成した解説資料である。本資料はIPAの公式見解そのものではなく、公開資料に記載された内容の範囲内で整理・編集したものであり、新たな対策方針や独自見解を示すものではない。

第1部　要約経営者・管理職のための情報セキュリティ10大脅威2026

1. 2026年版「組織向け10大脅威」の順位

「情報セキュリティ10大脅威2026（組織編）」は、2025年に実際に発生した多数のインシデントを基に、社会的影響の大きさという観点から整理された年次報告である。重要な前提として、順位は自組織における優先度を示すものではない。自社の業種、規模、IT利用状況によって、最優先で対処すべき脅威は異なる。
2026年版の組織向け10大脅威は以下のとおりである。

ランサム攻撃による被害
サプライチェーンや委託先を狙った攻撃
AIの利用をめぐるサイバーリスク
システムの脆弱性を悪用した攻撃
機密情報を狙った標的型攻撃
地政学的リスクに起因するサイバー攻撃
内部不正による情報漏えい等
リモートワーク環境を狙った攻撃
DDoS攻撃
ビジネスメール詐欺（BEC）

2. 2026年版の全体的な特徴（押さえるべき3点）

（1）被害原因の大半は「基本対策の不徹底」

ランサム攻撃や不正アクセスなど、攻撃手法は年々高度化しているが、実際の侵入経路の多くは以下のような"基本的な問題"に集中している。

パスワードの使い回し・多要素認証の未導入
ソフトウェアや機器の更新遅れ
不要な公開設定や設定不備
バックアップの未整備・復旧確認不足

高価な最新技術よりも、「当たり前の対策を確実に続けること」が被害低減の鍵である。

（2）「入口」は変わらないが、被害は拡大しやすくなっている

メール、VPN、クラウド、委託先など、攻撃の入口自体は従来と大きく変わっていない。
一方で、

サプライチェーンの複雑化
リモートワークの常態化
生成AIの普及

により、一度侵入されると影響範囲が広がりやすい構造になっている。

（3）技術対策だけでは不十分

内部不正、誤送信、ビジネスメール詐欺（BEC）など、 人の判断や業務プロセスが被害の分岐点となる脅威が増加している。そのため、技術対策と同時に、

ルール整備
教育
報告しやすい体制

を組み合わせた運用が不可欠である。

3. 中小企業が「最優先」で取り組むべきポイント

IPAが示す10大脅威および共通対策を踏まえ、中小企業がまず徹底すべき事項を次の5点に整理した。

(1) 外部からアクセス可能なシステムへの多要素認証（MFA）の徹底

メール、VPN、クラウド、管理者アカウントは必須
パスワードだけに依存しない運用を前提とする

(2)脆弱性への迅速な対応

VPN機器・ネットワーク機器を含めた更新管理
緊急度が高い場合は速やかに対応することを目標とする

(3) バックアップの「隔離」と「復旧確認」

ネットワークから切り離したバックアップの保持
取得しているだけでなく、実際に復旧できるかの確認

(4) 重要操作・送金における複数人による確認

メールだけで判断しない
口座変更や高額送金は、必ず別経路で確認する

(5) 迷ったらすぐ報告できる体制と風土づくり

初動の遅れが被害拡大につながる
「報告したことを責めない」姿勢を組織として明確にする

4. 経営層に求められる役割

サイバーセキュリティは、IT部門だけの課題ではなく、経営リスクそのものである。
経営層には、

方針の明確化
優先順位の判断
継続的な見直しの指示
事故発生時の最終判断

が求められる。

「完璧な対策」を目指すよりも、「継続できる仕組み」を作り、回し続けることが最も重要である。

5. 要約の結論

2026年版「情報セキュリティ10大脅威」が示している最大のメッセージは、次の一点に集約される。

サイバー攻撃は特別な企業だけの問題ではなく、基本対策を怠った組織から被害に遭う。

中小企業であっても、

リスクを理解し
基本対策を確実に実行し
定期的に見直す

この3点を押さえれば、被害を大幅に減らすことは十分可能である。

【第2部】詳細版（解説）

第1章　はじめに

― 本書の位置づけと読み進め方 ―

本書【第2部】は、第1部「要約」で示した整理を補完し、独立行政法人情報処理推進機構（IPA）が公表した「情報セキュリティ10大脅威2026（組織編）」および「中小企業のための情報セキュリティ10大脅威2026（組織編）解説」に記載されている内容を基に、各脅威の背景や構造を解説するものである。

第1部では、経営層・管理職が全体像を短時間で把握できるよう、要点や共通的な観点を中心に整理した。これに対し、第2部では、各脅威がどのような構造で問題となっているのか、また複数の脅威に共通する背景がどこにあるのかについて、より詳細に理解するための情報を提供することを目的としている。

なお、IPAが公表している10大脅威の順位は、社会的影響の大きさを基準として整理されたものであり、個々の組織における優先順位を示すものではない。そのため、本書においても、順位そのものを評価するのではなく、自組織の状況を考えるための参考情報として位置付けている。

読み進め方としては、まず次章において2026年版10大脅威の全体像を確認したうえで、
第3章以降の脅威別解説を必要に応じて参照することを想定している。また、第13章以降では、個別脅威を横断する共通的な考え方について整理している。

第2章　2026年版組織向け10大脅威総覧

― 全体像と脅威間の関係性 ―

本章では、2026年版「情報セキュリティ10大脅威（組織編）」に示された10の脅威を一覧化し、個別解説に入る前提として、全体像と脅威間の関係性を整理する。

2-1. 2026年版組織向け10大脅威一覧

2026年版の組織向け10大脅威は、以下のとおり整理されている。

ランサム攻撃による被害
サプライチェーンや委託先を狙った攻撃
AIの利用をめぐるサイバーリスク
システムの脆弱性を悪用した攻撃
機密情報を狙った標的型攻撃
地政学的リスクに起因するサイバー攻撃
内部不正による情報漏えい等
リモートワーク環境や仕組みを狙った攻撃
DDoS攻撃
ビジネスメール詐欺（BEC）

これらは、2025年中に実際に発生したインシデントやその影響を踏まえ、IPAにより整理されたものである。

2-2. 脅威を個別ではなく全体で捉える視点

10大脅威は、それぞれ異なる手口や対象を持つように見えるが、 IPAの解説を踏まえると、多くの脅威が共通する要因を背景に発生していることが分かる。

例えば、

システムの脆弱性を悪用した攻撃が、ランサム攻撃や標的型攻撃の侵入経路となるケース
サプライチェーンやリモートワーク環境を経由して、本来想定していない範囲に影響が広がるケース
人の判断や業務プロセスが起点となり、BEC(ビジネスメール詐欺)や内部不正につながるケース

など、脅威同士が独立して存在しているのではなく、相互に関係し合っている構造が示されている。

2-3. 本章の位置づけと次章以降の構成

本章は、10大脅威を網羅的に理解するための概観を示すものであり、個別の対策や対応方法を示すことを目的としたものではない。

次章以降では、第3章から第12章にかけて、各脅威について順に背景や影響を解説する。その際、本章で示した全体像を念頭に置きながら読み進めることで、脅威を個別ではなく、構造的に捉えることが可能となる。

第3章ランサム攻撃による被害（1位）

3-1. 脅威の概要

ランサム攻撃は、組織のPCやサーバーに侵入し、データを暗号化または窃取したうえで、その復旧や非公開と引き換えに金銭等を要求するサイバー攻撃である。近年のランサム攻撃は、単にデータを暗号化するだけでなく、
窃取した情報の公開を示唆する「二重脅迫」、さらにDDoS攻撃の予告を組み合わせた多重脅迫へと発展している。このように、攻撃の目的は「業務停止」だけでなく、 信用低下や取引先への影響を通じた金銭的圧力の最大化へと変化している点が特徴である。

3-2. 最近の傾向・主な事例

ランサム攻撃の侵入経路は多様であるが、主に以下のような経路が多く報告されている。

インターネットに公開されたVPN機器やネットワーク機器の脆弱性悪用
窃取された認証情報を用いた不正ログイン
フィッシングメールを介したマルウェア感染

また、近年では Ransomware as a Service（RaaS） と呼ばれる仕組みが普及し、高度な技術を持たない攻撃者でも強力なランサム攻撃を実行できる状況が生まれている。実際の被害事例では、大手企業・中小企業を問わず、

業務システムの停止
顧客情報・取引先情報の漏えい
復旧に長期間を要する事態

が発生しており、被害は単一組織にとどまらず、取引先や委託先を含む広範囲に影響を及ぼすケースも確認されている。

3-3. 中小企業への影響

中小企業においてランサム攻撃が発生した場合、次のような影響が想定される。

基幹業務システムの停止による業務継続への影響
顧客・取引先からの信頼低下
原因調査や復旧対応に伴う想定外のコスト発生

特に、専任のIT担当者やセキュリティ体制を十分に確保できない場合、初動対応の遅れや判断の難しさから被害が長期化しやすい。また、バックアップが適切に運用されていなかった場合、業務再開そのものが困難となるおそれがある。

3-4. 実務として取るべき対応の考え方

ランサム攻撃の事例や侵入経路を整理すると、認証情報の不正利用、脆弱性の放置、バックアップ不備が被害拡大の共通要因として多く確認されている。

外部からアクセス可能なシステムでは、一度認証情報が漏えいすると、正規利用者として侵入を許してしまう構造になりやすい。また、VPN機器やネットワーク機器の脆弱性は、情報公開後、短期間で攻撃に悪用される傾向がある。

さらに、バックアップがネットワーク上に存在していた、または復旧手順が確認されていなかったために、事業再開までに長期間を要した事例も複数報告されている。

これらの傾向を踏まえると、ランサム攻撃への対策は 単一の対策だけで完結するものではなく、認証、脆弱性管理、バックアップ運用を含む基盤的な対策を継続的に実施することが重要である。

3-5. 本章のまとめ

ランサム攻撃は、手口の多様化や多重脅迫の登場により、被害の範囲・影響が拡大している。一方で、侵入経路や被害拡大の要因を見ると、基本的な対策の不備が攻撃成立の起点となっているケースが多い。

ランサム攻撃への備えは、特別な技術を導入することに限らず、 自組織の環境や運用を点検し、基盤的な対策を確実に継続することが重要である。

第4章サプライチェーンや委託先を狙った攻撃（2位）

4-1. 脅威の概要

サプライチェーンや委託先を狙った攻撃とは、 標的となる組織そのものではなく、取引先や委託先、開発・運用を担う外部事業者などを足掛かりとして侵入を図る攻撃である。

現代の企業活動は、自社内だけで完結することは少なく、システム開発、業務委託、クラウドサービスの利用など、多くの外部組織と連携した形で成り立っている。

攻撃者はこの構造に着目し、比較的セキュリティ対策が弱い組織や管理が及びにくい部分を経由して、最終的な標的へ侵入する手法を用いる。

4-2. 最近の傾向・主な事例

近年のサプライチェーン攻撃では、直接標的となった企業だけでなく、その取引先や利用者にまで被害が連鎖的に広がる事例が多く確認されている。

具体的には、

委託先企業がランサム攻撃を受けたことにより、委託元企業の業務データや個人情報が流出した事例
正規ソフトウェアの配布元や公式サイトが改ざんされ、正規ユーザーが不正なプログラムを入手してしまう事例

などが報告されている。

これらの攻撃では、 「正規の経路」「信頼されている関係性」を悪用されるため、利用者や委託元側で異常に気付きにくいという特徴がある。

4-3. 中小企業への影響

中小企業においては、自社が直接の標的でなくとも、取引先や委託元・委託先として被害に巻き込まれる可能性がある。想定される影響には、次のようなものがある。

委託業務の停止や納品遅延による信用低下
委託元からの調査要請・説明責任への対応
契約内容によっては損害賠償リスクが発生する可能性

また、自社が攻撃の起点となった場合、 取引先全体に影響を及ぼす「加害側」と見なされるおそれもあり、事業継続や取引関係に深刻な影響を与える可能性がある。

4-4. 実務として取るべき対応の考え方

サプライチェーン攻撃の特徴は、 技術的な脆弱性だけでなく、組織間の契約関係や管理範囲の曖昧さが攻撃の成立要因となる点にある。

多くの事例では、

委託先におけるセキュリティ対策状況が把握されていなかった
インシデント発生時の報告ルールが明文化されていなかった
納品物に含まれるソフトウェア構成が不明確であった

といった点が、被害拡大につながっている。

そのため、対策を検討する際には、 「どの業務を外部に委託しているか」「その過程でどの情報・システムが関係しているか」 を整理し管理すべき範囲を明確にすることが重要となる。

また、ソフトウェア開発やITサービスを利用する場合には、納品物に含まれる構成要素を把握するための手法や、問題発生時の連絡・対応の枠組みを事前に確認しておくことが、リスク低減につながるとされている。

4-5. 本章のまとめ

サプライチェーンや委託先を狙った攻撃は、自社だけで対策を完結させることが難しい脅威である。一方で、委託関係や業務範囲を整理し、組織間での役割や連絡体制を明確にすることにより、被害の発生や拡大を抑制できる余地がある。

自組織が「攻撃の被害者」になるだけでなく、「攻撃の起点」になる可能性もあることを踏まえ、日常的な業務管理の一環として対策を検討することが重要である。

第5章 AIの利用をめぐるサイバーリスク（3位）

5-1. 脅威の概要

生成AIをはじめとするAI技術の急速な普及は、業務効率化や新たな価値創出をもたらす一方で、従来の情報システム利用とは異なる新たなサイバーリスクを生じさせている。

特に問題となっているのが、 組織として把握・管理していないAIサービスが業務に利用される状況や、AIの出力結果を十分な検証なく業務判断に用いてしまうケースである。

これらのリスクは、従来のマルウェア対策やネットワーク防御だけでは十分に抑制できず、 利用ルールや運用の在り方そのものが問われる脅威といえる。

5-2. 最近の傾向・主な事例

近年の調査や事例では、従業員が個人アカウントで生成AIサービスを利用し、業務に関する情報を入力しているケースが多く報告されている。こうした状況は、一般に「シャドーAI」と呼ばれ、組織の管理外で機密情報や個人情報が扱われるおそれがある。

また、生成AIは、事実と異なる情報をもっともらしく生成する 「ハルシネーション」 を起こすことがあり、出力結果をそのまま業務に利用することで、誤った判断や不適切な対応につながった事例も確認されている。

一方で、攻撃者側もAIを活用し、フィッシングメールの文面作成や翻訳、偵察活動の自動化などを行うことで、
攻撃手法の高度化・効率化を図っている。

5-3. 中小企業への影響

中小企業においては、生成AIの導入を正式に検討・決定していない場合であっても、 従業員が独自にAIサービスを利用している可能性がある。このような状況下では、

業務情報や個人情報の意図しない外部入力
AIの誤った出力に基づく判断ミス
社外への情報開示や契約違反につながる可能性

といった影響が生じ得る。

また、AIを悪用したフィッシングや詐欺が高度化することで、従来よりも不審点に気付きにくくなり、 従業員の判断に依存するリスクが高まる点も留意が必要である。

5-4. 実務として取るべき対応の考え方

AI利用をめぐるリスクの特徴は、技術的な脆弱性よりも、利用実態と統制の有無が
リスクの大小を左右する点にある。

多くの事例では、

どのAIサービスを業務利用として認めているか不明確であった
AIに入力してよい情報の範囲が整理されていなかった
出力結果を誰がどのように確認するのか定められていなかった

といった要因が、
情報漏えいや誤判断につながっている。

そのため、対策を検討する際には、**「AIを利用しているか否か」ではなく、「どのような形で利用されているか」**を把握し、業務プロセス全体の中で位置付けることが重要となる。

5-5. 本章のまとめ

AIの利用をめぐるサイバーリスクは、新しい技術の問題である一方、利用ルールや判断プロセスといった
従来から存在する組織運用の課題が顕在化したものでもある。

AIの活用による利便性とリスクは表裏一体であり、技術の進展に合わせて、利用実態を把握し、運用を見直し続けることが重要である。

第6章システムの脆弱性を悪用した攻撃（4位）

6-1. 脅威の概要

システムの脆弱性を悪用した攻撃とは、ソフトウェアや機器に存在する設計上・実装上の欠陥（脆弱性）を突いて、不正侵入や不正操作を行う攻撃である。

脆弱性は、OSや業務アプリケーションだけでなく、Webサーバー、ネットワーク機器、VPN機器、クラウドサービスの設定やミドルウェアなど、幅広い領域に存在する。

攻撃者は、脆弱性情報が公開されると、その内容を基に攻撃手法を迅速に開発し、更新が行われていないシステムを集中的に狙う傾向がある。

6-2. 最近の傾向・主な事例

近年の脆弱性攻撃では、脆弱性情報（CVE）が公開された直後から、 PoC（概念実証コード）が流通し、短期間で実攻撃に転用されるケースが多く確認されている。特に、

Webアプリケーションフレームワーク
VPN機器やネットワーク機器
クラウド環境の管理画面

など、外部からアクセス可能な要素は、攻撃の標的となりやすい。

実際の事例では、公開から短時間で攻撃が始まり、脆弱性が修正されていないシステムが侵入され、その後、ランサム攻撃や情報窃取へ発展したケースも報告されている。

6-3. 中小企業への影響

中小企業においては、 自組織が利用しているシステムや機器を正確に把握できていないことが、脆弱性攻撃のリスクを高める要因となりやすい。想定される影響としては、

Webサイト改ざんや業務停止
内部ネットワークへの侵入
他の攻撃（ランサム・情報漏えい）への踏み台化

などが挙げられる。

また、更新作業が業務影響を伴うことを理由に対応が後回しにされるケースもあり、「気付いたときにはすでに侵入されていた」 という事態につながる可能性がある。

6-4. 実務として取るべき対応の考え方

脆弱性を悪用した攻撃の特徴は、 攻撃手法そのものよりも、管理・把握・更新の遅れが被害の成否を分ける点にある。

多くの事例では、

利用している機器・ソフトウェアの把握が不十分であった
サポート終了製品が使い続けられていた
更新情報を把握する仕組みがなかった

といった背景が共通して確認されている。

そのため、対策を検討する際には、すべての脆弱性に即時対応することを目指すのではなく、「どこに脆弱性が存在し得るか」を把握し、優先順位を付けて対応する運用が現実的となる。

また、すぐに更新できない場合でも、通信制御や設定変更といった一時的な回避策を検討することで、被害リスクを低減できる場合がある。

6-5. 本章のまとめ

システムの脆弱性を悪用した攻撃は、古くから存在する手法である一方、現在も多くの攻撃の起点となっている。特別な攻撃技術よりも、 脆弱性が放置されている環境が狙われている点を踏まえると、日常的な資産管理や更新対応が重要な意味を持つ。

脆弱性対策は一度実施すれば完了するものではなく、 継続的な把握と見直しを前提とした運用が求められる。

第7章機密情報を狙った標的型攻撃（5位）

7-1. 脅威の概要

機密情報を狙った標的型攻撃とは、特定の組織や個人を明確に標的として選定し、業務情報や技術情報、内部文書等の機密情報を窃取することを目的とした攻撃である。

不特定多数に無差別に仕掛けられる攻撃とは異なり、攻撃者は事前に対象組織や担当者について調査を行い、 業務内容や人間関係を踏まえた巧妙な手口を用いる点が特徴である。

この種の攻撃は、国家的・組織的な目的を背景とした サイバー諜報活動の一形態として実行されるケースも確認されている。

7-2. 最近の傾向・主な事例

標的型攻撃では、正規の業務連絡を装ったメール（スピアフィッシング）や、利用頻度の高いWebサービスを悪用する手口が多く用いられている。

近年の事例では、

実在する担当者や関係機関を名乗るメールによる侵入
クラウドストレージの共有リンクを悪用した誘導
VPN機器やクラウドサービスの脆弱性を起点とした侵入

といった手法が確認されている。

これらの攻撃では、短期間で被害が顕在化するとは限らず、侵入後も長期間にわたり内部に潜伏するケースがある点が特徴である。

7-3. 中小企業への影響

中小企業においても、
業種や規模にかかわらず、
取引先や業務内容を通じて攻撃対象となる可能性がある。

想定される影響としては、次のようなものが挙げられる。

技術資料や内部文書の流出
顧客・取引先情報の不正取得
情報漏えいによる信用低下や取引関係への影響

特に、自社が大企業や公共機関と関係を持つ場合、 より大きな組織への侵入を目的とした「踏み台」として狙われる可能性もある点に注意が必要である。

7-4. 実務として取るべき対応の考え方

標的型攻撃の特徴は、すべての侵入を事前に防ぐことが難しい点にある。

多くの事例では、

利用者が正規の業務メールと誤認して操作してしまった
侵入後の不審な挙動に気付くまで時間を要した
機密情報の所在やアクセス権限が整理されていなかった

といった要因が、被害拡大につながっている。

そのため、対策を検討する際には、侵入の可能性を前提としたうえで、被害を最小限に抑える視点が重要となる。

具体的には、機密情報の所在や管理方法を把握し、アクセス権限やネットワーク構成を含めた全体的な管理の在り方を見直していくことがリスク低減につながるとされている。

7-5. 本章のまとめ

機密情報を狙った標的型攻撃は、特定の組織や業務内容に応じて手口が変化するため、画一的な対策だけで防ぐことは難しい。一方で、情報の管理方法や権限の在り方、侵入後の検知・対応を含めた運用を整備することにより、被害の拡大を抑える余地は存在する。

標的型攻撃を特別な脅威として捉えるのではなく、日常的な情報管理と運用の延長線上で対策を検討することが重要である。

第8章地政学的リスクに起因するサイバー攻撃（6位）

8-1. 脅威の概要

地政学的リスクに起因するサイバー攻撃とは、国際情勢や国家間の対立、地域紛争などを背景として、政治的・戦略的な目的で実行されるサイバー攻撃を指す。

これらの攻撃は、特定の国家や政府機関のみならず、 その国や地域と関係を持つ企業や取引先、関連産業に対しても広範に実行される点が特徴である。

攻撃の主体は、国家が直接関与する場合のほか、国家の意向に同調するハクティビストや攻撃グループなど、複数の形態を取ることがある。

8-2. 最近の傾向・主な事例

近年、国際的な緊張や紛争の高まりに伴い、特定の国や立場に関連するとみなされた組織に対して、サイバー攻撃が集中的に行われる事例が確認されている。

具体的には、

国外情勢を理由としたWebサイトへのDDoS攻撃
政治的主張を伴うWeb改ざん
ランサム攻撃や不正アクセスを装った妨害行為

などが報告されている。

これらの攻撃では、 直接の当事者ではない組織が「巻き添え」として被害を受けるケースが少なくない点が特徴である。

8-3. 中小企業への影響

中小企業であっても、取引先や事業分野、利用しているサービスの所在によっては、地政学的リスクに関連する攻撃の影響を受ける可能性がある。想定される影響には、次のようなものが挙げられる。

Webサイトやメールサービスの停止
クラウドサービスや外部基盤の障害による業務影響
取引先・利用者への説明対応の発生

特に、自組織が直接の標的でない場合でも、業務停止や情報発信不能といった形で事業継続に影響が及ぶ 点に注意が必要である。

8-4. 実務として取るべき対応の考え方

地政学的リスクに起因するサイバー攻撃は、発生の予測や完全な防止が困難であることが特徴である。

多くの事例では、

攻撃が突発的に発生し、短期間で集中的に行われる
政治的・社会的な背景により、対象が広範に及ぶ
技術的な脆弱性の有無とは別に攻撃が行われる

といった傾向が確認されている。

そのため、対策を検討する際には、 「攻撃を完全に防ぐ」ことよりも、「影響を受けた場合に業務を継続できるか」「停止時にどのように情報発信・対応するか」 といった観点が重要となる。

8-5. 本章のまとめ

地政学的リスクに起因するサイバー攻撃は、自組織のセキュリティ対策状況とは直接関係なく、外部要因によって突発的に発生する可能性がある脅威である。

一方で、業務継続の観点からあらかじめ想定を行い、代替手段や対応方針を整理しておくことで、影響を抑える余地は存在する。

自組織が「当事者ではないから無関係」と考えるのではなく、 事業を取り巻く環境変化の一つとして捉え、備えを検討しておくことが重要である。

第9章内部不正による情報漏えい等（7位）

9-1. 脅威の概要

内部不正による情報漏えい等とは、従業員や元従業員、委託先の担当者など、組織内部の立場にある者が権限を悪用し、情報の不正取得・持ち出し・破壊等を行う行為を指す。

外部からの攻撃とは異なり、内部不正は正規のアカウントや業務権限を利用して行われるため、技術的な防御だけで完全に防ぐことが難しい点が特徴である。

また、悪意を持った行為に限らず、規則の理解不足や安易な判断による行動が、結果として情報漏えいにつながるケースも含まれる。

9-2. 最近の傾向・主な事例

内部不正に関する事例では、次のような背景が確認されている。

退職予定者や異動者による情報の持ち出し
業務委託先や協力会社の担当者による不正利用
金銭的見返りを目的とした機密情報の提供

これらの事例では、 業務上正当と見える操作の中で不正が行われるため、発覚までに時間を要するケースが少なくない。

また、個人情報や営業秘密など、漏えい後に回収が困難な情報が対象となることが多く、被害の影響が長期化しやすい点も特徴である。

9-3. 中小企業への影響

中小企業においては、少人数で業務を分担していることから、一人の担当者に複数の権限が集中しやすい傾向がある。その結果、

顧客情報・取引先情報の漏えい
技術情報やノウハウの流出
社会的信用の低下や取引停止

といった影響が生じる可能性がある。

また、内部不正が外部に発覚した場合、 組織としての管理体制そのものが問われることから、経営面・対外的な影響も大きくなりやすい。

9-4. 実務として取るべき対応の考え方

内部不正への対応において重要なのは、 個人の問題として捉えるのではなく、組織の管理・運用の在り方として整理する視点である。

多くの事例では、

権限の付与範囲が適切に整理されていなかった
不要になったアカウントが残ったままになっていた
操作ログが取得・確認されていなかった

といった要因が重なり、不正行為を見逃す結果となっている。

そのため、対策を検討する際には、「誰が、どの情報に、なぜアクセスできるのか」 を整理し、権限管理や運用ルールを継続的に見直していくことが重要となる。

9-5. 本章のまとめ

内部不正による情報漏えい等は、外部攻撃と比べて発見が遅れやすく、被害の回復が困難なケースが多い脅威である。一方で、 権限管理や業務プロセスを整理し、不正が起こりにくく、起きても気付きやすい環境を整える ことにより、リスクを低減することは可能である。

内部不正を「特別な人だけが起こす問題」と捉えるのではなく、日常的な業務運用の中で対処すべきリスクとして位置付けることが重要である。

第10章リモートワーク環境や仕組みを狙った攻撃（8位）

10-1. 脅威の概要

リモートワーク環境や仕組みを狙った攻撃とは、 自宅や出先から業務システムへ接続する仕組みや、その周辺環境を攻撃対象とし、不正侵入や情報漏えいを図る攻撃を指す。

リモートワークの普及により、従来は社内ネットワーク内に限定されていた業務システムへのアクセスが、インターネット経由で広範に行われるようになった。

その結果、 VPN、リモートデスクトップ、クラウドサービスなどが新たな侵入経路として狙われやすくなっている点が、この脅威の特徴である。

10-2. 最近の傾向・主な事例

近年の事例では、リモートワーク環境を構成する機器や設定の不備を突いた攻撃が多く報告されている。具体的には、

VPN機器の脆弱性や設定不備を悪用した侵入
RDP（リモートデスクトップ）がインターネットに公開されていたことによる不正アクセス
私物端末（BYOD）を通じたマルウェア感染

などが確認されている。

これらの攻撃では、 導入当初の暫定的な設定がそのまま本運用に移行し、見直されないまま利用されていたケースが少なくない。

10-3. 中小企業への影響

中小企業においては、迅速な業務継続を優先するあまり、リモートワーク環境のセキュリティ対策が十分に検討されないまま運用されているケースが見られる。想定される影響としては、

認証情報の窃取による不正ログイン
社内ネットワークへの侵入
内部情報の漏えいや改ざん

などが挙げられる。

また、一度侵入を許した場合、 業務端末が社内ネットワークへの入口となり、被害が拡大するおそれもある点に注意が必要である。

10-4. 実務として取るべき対応の考え方

リモートワーク環境を狙った攻撃の多くは、技術的に高度というよりも、設定不備や運用の抜けに起因している点が共通している。事例を整理すると、

外部公開が不要なサービスが公開されたままになっていた
認証方式が簡易なままで利用されていた
利用端末や利用環境が十分に把握されていなかった

といった点が、被害の起点となっている。

そのため、対策を検討する際には、「リモートでどこへ、どのように接続しているか」「業務用端末と私物端末の扱いがどうなっているか」 といった構造を把握することが重要となる。

10-5. 本章のまとめ

リモートワーク環境や仕組みを狙った攻撃は、働き方の変化に伴って顕在化した脅威であり、今後も一定のリスクとして継続することが想定される。一方で、接続経路や利用ルールを整理し、定期的に設定や運用を見直すことにより、被害リスクを低減する余地は大きい。

リモートワークを一時的な対応として扱うのではなく、 恒常的な業務形態の一つとして位置付け、セキュリティの観点からも運用を整備していくことが重要である。

第11章 DDoS攻撃（9位）

11-1. 脅威の概要

DDoS攻撃（Distributed Denial of Service attack）とは、 多数の端末や機器から大量の通信を送り付けることで、Webサイトやネットワーク、オンラインサービスを利用不能な状態に陥らせる攻撃を指す。

この攻撃は、特定のシステムに不正侵入することを目的とするものではなく、 正規の利用者によるアクセスそのものを妨害する点が特徴である。

IoT機器などを悪用したボットネットが広く利用されており、比較的高度な技術を持たない攻撃者でも、大規模な攻撃を実行できる状況が続いている。

11-2. 最近の傾向・主な事例

近年のDDoS攻撃では、特定の組織やサービスに対して断続的に攻撃が繰り返される事例が多く確認されている。主な傾向としては、

Webサイトやメールサービスへの集中攻撃
特定のイベントや社会情勢に合わせた攻撃
政治的主張や抗議活動の一環として行われる攻撃

などが挙げられる。

これらの攻撃では、データの改ざんや情報窃取が発生していなくても、サービス停止そのものが業務に大きな影響を与えるケースが少なくない。

11-3. 中小企業への影響

中小企業においては、大規模なDDoS対策を想定した設計や運用が行われていない場合も多く、比較的短時間の攻撃であっても業務停止に直結するおそれがある。想定される影響には、次のようなものがある。

Webサイトや問い合わせ窓口の停止
メールの送受信不能による業務影響
利用者や取引先からの問い合わせ・苦情対応

特に、 Webやメールが主要な連絡手段となっている場合、 直接的なシステム被害がなくても、業務継続や対外的信用に影響が及ぶ点に留意が必要である。

11-4. 実務として取るべき対応の考え方

DDoS攻撃の特徴は、 攻撃そのものを完全に防ぐことが難しく、発生時の対応や影響の抑制が重要となる点にある。事例を整理すると、

突発的に大量の通信が発生し、短期間でサービスが停止した
攻撃が断続的に続き、復旧の判断が難航した
代替手段が準備されておらず、情報発信が滞った

といった課題が影響を拡大させている。

そのため、対策を検討する際には、 「攻撃を受けた場合に、どの業務が停止するのか」「利用者や取引先にどのように情報提供するのか」 といった観点から、業務継続を前提とした整理が重要となる。

11-5. 本章のまとめ

DDoS攻撃は、比較的単純な手法でありながら、 業務停止やサービス中断を通じて大きな影響を与える脅威である。一方で、事前に影響範囲を想定し、代替手段や対応の考え方を整理しておくことで、被害の感じ方や混乱を抑えることは可能である。

DDoS攻撃を技術的な問題だけとして捉えるのではなく、 業務継続や対外対応の観点から備えを検討することが重要である。

第12章ビジネスメール詐欺（BEC）（10位）

12-1. 脅威の概要

ビジネスメール詐欺（Business Email Compromise：BEC）とは、取引先、経営者、上司などになりすましたメールを用い、送金や重要な手続きを不正に行わせる詐欺行為を指す。BECは、マルウェア感染やシステム侵入を伴わない場合も多く、 メール内容と利用者の判断を起点として被害が成立する点が特徴である。
そのため、従来のウイルス対策やネットワーク防御だけでは検知が難しく、業務プロセスそのものが攻撃対象となる脅威といえる。

12-2. 最近の傾向・主な事例

近年のBECでは、実際の取引内容や請求業務の流れを把握したうえで、請求書の口座情報変更や緊急送金を装う手口が多く報告されている。

IPAの解説では、次のような流れが典型例として挙げられている。

メールアカウントへの不正ログイン等により、請求・支払に関するやり取りを把握
実際の請求書を模倣、または口座情報のみを書き換えたメールを送信
正規業務と誤認した担当者が送金を実行

近年は、生成AIの活用により日本語表現が自然になり、 不審点を見分けにくくなっている点も指摘されている。

12-3. 中小企業への影響

中小企業においては、 少人数で経理・総務業務を担当している場合が多く、確認プロセスが属人的になりやすい傾向がある。その結果、

不正送金による直接的な金銭被害
被害発生後の取引先・金融機関への対応
組織管理体制に対する信用低下

といった影響が生じる可能性がある。

また、一度送金が実行されると、被害回復が困難であるケースが多い点も、BECの大きな特徴である。

12-4. 実務として取るべき対応の考え方

BECの事例を整理すると、 メールの内容のみで送金や重要判断を完結させていたことが被害成立の大きな要因となっている。IPAの解説では、技術的対策に加え、業務手続きの中での確認プロセスが重要であることが示されている。具体的には、

口座変更や高額送金といった重要な手続きについて、複数人による確認や別経路での確認が行われていなかった
メール送信元の確認方法が整理されていなかった

といった点が、被害に直結している。

そのため、対策を検討する際には 「メールだけで完結させてよい業務は何か」「追加確認が必要な手続きは何か」 を業務プロセスとして整理する視点が重要となる。

12-5. 本章のまとめ

ビジネスメール詐欺（BEC）は、技術的な侵入を伴わない場合でも、業務判断を起点として深刻な被害を引き起こす脅威である。一方で、業務手続きや確認方法を見直し、属人的な判断に依存しない仕組みを整えることで、被害リスクを低減できる余地がある。

BECを「メールの問題」として限定的に捉えるのではなく、 業務プロセス全体に関わるリスクとして認識し、継続的に見直していくことが重要である。

第13章横断的に有効な共通対策― 複数の脅威に共通する考え方 ―

13-1. 本章の位置づけ

第3章から第12章では、組織を狙う10の脅威について、それぞれの特徴や影響を整理してきた。

一方、IPAが示しているように、これらの脅威は互いに無関係に発生しているものではなく、共通する要因や背景を持つものが多い。

本章では、 IPAが「複数の脅威に共通して有効」と整理している対策の考え方を基に、中小企業が脅威ごとに個別対応するのではなく、横断的に捉えるための視点を整理する。

13-2. 共通対策に共通する基本的な考え方

IPAの解説資料では、多くのサイバーインシデントについて、攻撃手法そのものよりも、管理や運用の不備が被害の起点となっているケースが多いことが示されている。具体的には、

認証情報の管理が不十分であった
脆弱性への対応が遅れていた
バックアップや復旧の準備が不十分であった
業務上の確認プロセスや報告体制が整理されていなかった

といった点が、複数の脅威に共通する背景として挙げられている。

これらを踏まえると、共通対策は個別の攻撃手法に対応するためのものではなく、 組織全体の管理・運用の在り方を見直すための基盤的な取り組み として位置付けられている。

13-3. 認証・アクセス管理に関する考え方

多くの脅威では、認証情報の不正利用や不適切な権限設定が被害の起点となっている。IPAの資料では、外部からアクセス可能なシステムやクラウドサービスを含め、誰が、どの情報やシステムにアクセスできるのかを把握・整理すること の重要性が示されている。

これは、特定の製品や方式を導入すること自体が目的ではなく、業務上必要な範囲と権限の在り方を継続的に見直すこと が重要であるという考え方に基づくものである。

13-4. 脆弱性対応・資産管理に関する考え方

IPAの解説では、システムの脆弱性を悪用した攻撃やランサム攻撃などにおいて、 利用している機器やソフトウェアを把握できていなかったことが被害につながった事例が多く紹介されている。

このことから、共通対策としては自組織がどのようなIT資産を利用しているかを把握し、更新や見直しが必要な対象を認識できる状態を保つこと が重要であると整理されている。

すべての脆弱性に即時対応することを前提とするのではなく、把握・優先付け・対応という流れを継続的に回すことが共通的な考え方として示されている。

13-5. バックアップと業務継続に関する考え方

ランサム攻撃やシステム障害の事例では、バックアップが存在していても、実際に復旧できなかったケースが問題として挙げられている。IPAの資料では、バックアップは単なるデータ保存ではなく、 業務を継続するための前提条件として位置付けられている。

そのため、共通対策としては、バックアップの有無だけでなく、どのような状態で保管され、どのように復旧できる想定になっているかを業務の観点から整理しておくことが重要であるとされている。

13-6. 業務プロセスと人の関与に関する考え方

IPAの10大脅威では、ビジネスメール詐欺（BEC）や内部不正、AIの利用をめぐるリスクなど、人の判断や行動が直接被害につながる脅威が複数含まれている。これらの事例から、共通対策としては、個人の注意力に依存するのではなく、業務プロセスとして確認・相談・報告が行われる仕組みを整えること の重要性が示されている。

13-7. 本章のまとめ

本章で整理した共通対策は、特定の脅威だけを対象としたものではなく、第3章から第12章で取り上げた複数の脅威に共通して関係する基盤的な考え方である。

IPAが示しているように、中小企業においては、個別の脅威ごとに対策を積み上げるよりも、 共通する要因や管理の在り方に着目し、継続的に見直していくことが重要である。

本章の内容は、第1部「要約」で示した整理の背景として位置付けられるものであり、具体的な優先順位や実施内容については、自組織の状況に応じて検討されたい。

第14章インシデント対応

― 被害発生時に求められる組織としての対応 ―

14-1. 本章の位置づけ

第3章から第12章で整理した各脅威は、いずれも事前の対策によって被害リスクを低減できる一方、完全にインシデントの発生を防ぐことは難しいことがIPAの資料でも示されている。

本章では、サイバーインシデントが発生した場合に、組織としてどのような対応が求められるかについて、
IPAが解説資料の中で示している考え方を基に整理する。

本章は、技術的な復旧手順の詳細を示すものではなく、 被害拡大を防ぎ、適切に対応するための体制や考え方を共有することを目的としている。

14-2. インシデント対応における基本的な考え方

IPAの解説では、サイバーインシデント発生時の被害の大きさは、 攻撃手法の巧妙さだけでなく、初動対応の遅れや判断の混乱によって拡大するケースが多い ことが指摘されている。具体的には、

異常に気付いても、報告先が分からず対応が遅れた
現場判断で対応を進め、全体像の把握が遅れた
外部への相談や報告のタイミングを逸した

といった点が、被害の拡大や長期化につながった事例として挙げられている。このため、インシデント対応においては、個々の判断に委ねるのではなく、あらかじめ整理された対応の枠組みを持っているかどうか が重要な要素となる。

14-3. 組織内における役割分担の整理

IPAの資料では、インシデント対応を円滑に行うためには、 組織内での役割分担を事前に整理しておくことが重要であるとされている。特に、

現場で異常に気付いた場合の報告先
報告を受けて状況を整理・判断する立場
組織としての対応方針を決定する立場

といった役割が曖昧な場合、対応の遅れや判断の錯綜が生じやすい。

専任の対応組織（CSIRT）を設置することが難しい場合であっても、最低限の役割分担や連絡経路を定めておくことが有効であると整理されている。

14-4. 報告・連絡・相談の重要性

IPAの解説では、サイバーインシデント対応において、 早期の報告・連絡・相談が被害抑制に大きく寄与することが繰り返し示されている。特に、

不審なメールや端末の異常動作
誤操作や判断ミスに気付いた場合
被害の有無が確定していない段階

であっても、早い段階で共有することが重要であるとされている。また、報告をためらわせる組織風土や、報告したこと自体を問題視する姿勢は、結果として被害の拡大につながる可能性があることにも留意が必要である。

14-5. 外部機関への相談・連携

IPAの資料では、組織内だけで対応が困難な場合に備え、外部の専門機関や公的窓口への相談・連携が重要であるとされている。具体的には、

技術的な調査や復旧支援
被害状況の整理や助言
法令上の報告や対応に関する相談

などについて、事前に相談先を把握しておくことが対応の遅れを防ぐ要素として挙げられている。

これらの連携は、被害発生後に初めて検討するのではなく、平時から把握・整理しておくことが望ましい と整理されている。

14-6. 本章のまとめ

サイバーインシデントは、発生そのものを完全に防ぐことが難しい一方で、 発生後の対応によって被害の大きさや影響が左右されるという特徴を持つ。

IPAが示しているように、インシデント対応は特別な対応ではなく、日常的な業務運用や組織体制の延長線上で整理されるべきものである。

第15章情報リテラシー・教育

― 人の判断と組織行動に関わる共通的な課題 ―

15-1. 本章の位置づけ

第3章から第12章で取り上げた脅威の中には、ランサム攻撃や標的型攻撃のように技術的な侵入を伴うものだけでなく、ビジネスメール詐欺（BEC）や内部不正、AIの利用をめぐるリスクなど、人の判断や行動が被害の起点となる脅威が含まれている。

IPAの資料では、これらの脅威について、技術的対策だけでは十分に防ぐことが難しく、情報リテラシーや組織としての教育・意識付けが重要な要素となる ことが示されている。

本章では、こうした人的要因に関わるリスクについて、組織としてどのように整理し、対応していくべきか という観点から考え方を整理する。

15-2. 人の判断が被害に直結する脅威の特徴

IPAの10大脅威には、メールやSNS、クラウドサービスの利用など、日常業務の延長線上で発生する脅威が複数含まれている。これらの脅威では、

正規の業務連絡や操作と区別がつきにくい
利便性や業務効率を優先する中で判断が行われる
その場の個人判断に結果が委ねられやすい

といった特徴が共通して見られる。

IPAの解説では、このような状況において、 個人の注意力や経験だけに依存する対応には限界がある ことが指摘されている。

15-3. 情報リテラシーを個人任せにしないという考え方

情報リテラシーという言葉は、しばしば個人の知識や意識の問題として捉えられがちである。

しかし、IPAの資料では、組織としてのルールや業務プロセスが整理されていない場合、個人に過度な判断を求める状況が生じやすい ことが示されている。

そのため、情報リテラシー向上の取り組みは、単に注意喚起や啓発を行うことではなく、 「どのような場面で、どのような判断が求められるのか」を業務として整理することが前提となる。

15-4. 教育・周知に関する考え方

IPAの解説では、教育や周知について、一度実施すれば十分というものではなく、継続的に行うことが重要であるとされている。特に、

新たな脅威や手口が登場した場合
業務内容や利用環境が変化した場合
人員の入れ替わりがあった場合

には、 情報の更新や再周知が必要となることが指摘されている。また、教育内容についても、技術的な詳細を伝えることより、 実際の業務の中でどのような点に留意すべきかを具体的にイメージできる形で整理することが有効であるとされている。

15-5. 組織風土と報告行動の関係

IPAの資料では、被害拡大の要因として、異常やミスに気付いても報告が遅れた、または行われなかったケースが挙げられている。この背景には、

報告すると責任を問われるのではないかという不安
判断に迷い、様子を見るという選択
報告先や手順が分からない状況

などがあるとされている。

そのため、情報リテラシーや教育を考える際には、報告しやすい環境や、早期共有を前提とした組織風土の重要性にも目を向ける必要がある。

15-6. 本章のまとめ

情報リテラシー・教育は、特定の脅威だけに対応するためのものではなく、 第3章から第12章で整理した多くの脅威に共通する基盤的な取り組みとして位置付けられる。

IPAが示しているように、人的要因に関わるリスクは、個人の注意力に依存するのではなく、組織としてのルール、業務プロセス、教育の在り方を通じて継続的に整理していくことが重要である。

第16章まとめ

― 要約で示した考え方の再整理 ―

16-1. 本章の位置づけ

本章は、第1部「要約」で示した整理と、第2部（第3章～第15章）で行った詳細解説とを結び付け、 本資料全体の位置づけを整理することを目的とする。本章では、新たな脅威や対策を追加するものではなく、
IPAが示した「情報セキュリティ10大脅威2026（組織編）」の考え方を、 全体としてどのように捉えるべきかを改めて確認する。

16-2. 10大脅威に共通して見られる特徴

第3章から第12章で整理した10の脅威は、手口や対象は異なるものの、 被害が発生する背景や構造には共通点が多いことが確認できる。IPAの資料では、多くの事例において、

認証や権限管理の不備
脆弱性対応や資産把握の遅れ
バックアップや復旧の準備不足
業務プロセスや報告体制の未整理

といった要因が、被害の起点または拡大要因となっていることが示されている。

これらは、特定の攻撃手法に固有の問題ではなく、組織の管理・運用全体に関わる課題として整理されている。

16-3. 横断的な視点の重要性

第13章では、複数の脅威に共通して有効とされる対策の考え方を整理した。

IPAが示しているように、中小企業においては、脅威ごとに個別の対策を積み重ねるよりも、共通する要因や背景に着目し、組織全体の在り方を見直す視点が重要となる。

この横断的な視点は、第1部「要約」で示した整理の根拠となるものであり、第3章から第15章で行った解説を通じて、その背景が具体化されている。

16-4. 人と組織の関与という観点

第14章および第15章では、インシデント対応や情報リテラシー・教育といった観点から、 人や組織の関与が被害の大きさに影響する点を整理した。

IPAの資料では、サイバーセキュリティは技術的な課題にとどまらず、 日常業務の運用、判断、報告といった組織行動と密接に関係していることが示されている。

この点は、10大脅威を理解するうえでの前提として、共通して認識されるべき事項である。

16-5. 本資料の活用に向けて

本資料は、IPAが公表した「情報セキュリティ10大脅威2026（組織編）」を基に、中小企業の立場から理解しやすい形で整理したものである。

第1部「要約」は、全体像や共通する考え方を把握するための入り口として、第2部（第3章～第15章）は、各脅威や共通的な課題を理解するための参考として活用されることを想定している。

具体的な対策や優先順位の検討にあたっては、本資料で整理した考え方を踏まえ、自組織の業務内容や利用環境に応じて整理を行うことが前提となる。

16-6. まとめ

IPAが示しているように、サイバー攻撃は特定の組織だけが直面する問題ではなく、組織の規模や業種を問わず、日常的な管理や運用の延長線上で発生し得るリスクである。

本資料で整理した10の脅威と共通的な考え方は、中小企業がサイバーセキュリティを検討する際の一つの基準として位置付けられる。

補足資料A

表1.4「複数の脅威に有効な対策」と本文対応関係

補足資料の位置づけ

本補足資料は、独立行政法人情報処理推進機構（IPA）が公表した表1.4「複数の脅威に有効な対策」 に記載されている各対策項目について、本資料本文（第13章～第15章）のどの箇所で解説しているかを整理したものである。本文では、可読性を重視し概念別に整理しているため、本補足資料により表1.4の網羅性を明示する。

表1.4 と本文の対応関係一覧

表1.4の対策項目（IPA）	本文該当箇所	解説の位置づけ
インシデント対応体制を整備し対応する	第13章 13-2 第14章全体	共通対策としての位置づけと、発生時対応の考え方
PCやサーバー、ネットワーク機器、Webサイト等に適切なセキュリティ対策を行う	第13章 13-3　第13章 13-4	技術対策ではなく、管理・運用の考え方として整理
適切な取得日時、頻度を検討し、バックアップ運用を行う	第13章 13-5	業務継続の観点からの整理
適切な報告・連絡・相談を行う	第13章 13-6 第14章 14-4	初動対応・被害抑制に関する共通的な考え方
情報リテラシー、モラルを向上させる	第13章 13-6 第15章全体	人的要因への対応として整理
認証を適切に運用する	第13章 13-3	認証方式ではなく、権限管理の考え方として整理
安易に添付ファイルの開封やリンク・URLのクリックをしない	第13章 13-6 第15章 15-2～15-4	個人依存ではなく、業務プロセス・教育の観点で整理

参考・引用資料（本文対応）

独立行政法人情報処理推進機構（IPA） 「情報セキュリティ10大脅威2026（組織編）」 （2026年3月公表）情報セキュリティ10大脅威 2026 | 情報セキュリティ | IPA 独立行政法人情報処理推進機構

※本書は上記IPA公開資料に基づき構成・再編集したものであり、
　記載内容は当該資料に示された範囲を逸脱しない。