2026-04-14
独立行政法人情報処理推進機構(IPA)は、3月27日、中小企業向けに情報セキュリティ対策の考え方や、段階的に実現するための方策を紹介する「中小企業の情報セキュリティ対策ガイドライン」を改訂し、第4.0版を公開した。
「中小企業の情報セキュリティ対策ガイドライン」(以下「本ガイドライン」)は、情報セキュリティ対策に取り組む際の、(1)経営者が認識し実施すべき指針、(2)社内において対策を実践する際の手順や手法をまとめたもので、経営者編と実践編から構成されており、個人事業主、小規模事業者を含む中小企業(以下「中小企業等」)の利用が想定されている。
第4.0版への改訂では、基本的な構成を維持しつつ、最新の環境変化を反映し、企業が適切な認識と実践的な対策を進められるよう、記載内容の見直しが行われている。
今回の改訂の主なポイントは以下のとおりである。
1.「バックアップを取ろう!」を追加し情報セキュリティ6か条へ
はじめに取り組んでほしい情報セキュリティ5か条に「バックアップを取ろう!」を新たに追加し、情報セキュリティ6か条とし、また「5分でできる!情報セキュリティ自社診断」の診断項目に、「外部から内部ネットワークへの不要な通信を遮断する」、「ウェブサイトを安全に運用する」を新たに追加する等が行われた。
2.「サプライチェーン強化に向けたセキュリティ対策評価制度」の基本的な考え方を取り込む
経済産業省および内閣官房国家サイバー統括室が検討を進める「サプライチェーン強化に向けたセキュリティ対策評価制度(以下、SCS評価制度)」の基本的な考え方に沿った内容となった。
3.「中小企業のための人材確保・育成の実践ガイドブック」を付録として追加
2025年5月に公表された「中堅・中小企業が実施するセキュリティ対策に応じた人材確保・育成の実践的方策ガイドβ版」(経済産業省「サイバーセキュリティ人材の育成促進に向けた検討会」で提示)を踏まえ、中小企業のセキュリティ人材の確保・育成を支援する方策および取組事例が付録として追加された。
本ガイドラインでは、各企業が目指しているセキュリティレベル(成熟度)により、4つのSTEP(STEP1必要最低限の対策、STEP2自社の弱み把握と基本的対策、STEP3組織的な取り組み教徒防御対策、STEP4高度で広範囲な技術的・包括的取組)が定められており、各企業の方針等により目指すべき取組の範囲を選択できるようになっている。また、各STEPについて、「取組の目安」や「想定している企業の例」が記載されているため、自社の現在の立ち位置を見極め、目指すべき姿を決めたうえで、取り組むSTEPを選択して、実施することができるようになっている。
(参考)中小企業の情報セキュリティ対策ガイドライン
