中小企業のセキュリティ対策、何から始めるか ── IPA「中小企業の情報セキュリティ対策ガイドライン」第4.0版の歩き方

· · 情報セキュリティ, セキュリティ対策, 中小企業, IPA, SECURITY ACTION, ランサムウェア, バックアップ, 業務改善, B2B

「取引先からセキュリティ対策についてのチェックシートが送られてきたが、何をどこまでやればよいのか分からない」

「セキュリティが大事なのは分かっているが、専任の担当者を置く余裕はない」

「対策と言われても、何にいくらかかるのか見当がつかず、手を付けられていない」

中小企業のセキュリティ対策の相談は、たいていこの形で始まります。

実は、この「何から、どこまで」に答えるための公的な手引きがあります。IPA(独立行政法人情報処理推進機構)が公開している中小企業の情報セキュリティ対策ガイドラインです。2026年3月27日には、約3年ぶりの大きな改訂となる第4.0版が公開されました。

この記事では、第4.0版の内容をもとに、専任の担当者がいない会社がセキュリティ対策をどの順番で進めればよいのかを整理します。

1.まず結論

ガイドライン第4.0版が示している進め方を先にまとめます。

  • 最初にやるのは高価な製品の導入ではなく、「情報セキュリティ6か条」。企業規模に関わらず必ず実行すべき基本対策で、大きな費用はかからない
  • 次に、付録の「5分でできる!情報セキュリティ自社診断」(25項目)で自社の現状を把握し、できていない項目から改善する
  • 取り組みを始めたら、IPAの「SECURITY ACTION」で自己宣言する(無料)。取引先への説明材料になり、公的支援制度の要件にもなっている
  • そのうえで、基本方針の作成、規程の整備、インシデント対応体制へと段階的に進む
  • 経営者には「対策は経営者のリーダーシップで進める」「委託先の対策まで考慮する」など、担当者に任せきりにしない役割がある

一言でいうと、「一気に完璧を目指さず、決められた順番で、できるところから段階的に」がこのガイドラインの設計思想です。

2.「中小企業の情報セキュリティ対策ガイドライン」とは

このガイドラインは、中小企業が重要な情報を漏えい・改ざん・消失などの脅威から守り、事業継続への影響を防ぐための考え方と手順をまとめた文書です。初版は2016年11月に公開され、以来、中小企業向けセキュリティ対策の事実上の標準として使われてきました。個人事業主や小規模事業者も対象に含まれています。

構成は大きく3つに分かれます。

対象読者 内容
第1部 経営者編 経営者 対策を怠ったときの不利益、経営者が負う責任、認識すべき3原則と重要7項目の取組
第2部 実践編 責任者・担当者 情報セキュリティ6か条から本格的な対策まで、段階的な実務の進め方
付録1〜8 実務担当者 自社診断シート、基本方針・規程・資産管理台帳のサンプル、クラウド利用・インシデント対応の手引きなど

本編は約70ページありますが、後述するとおり最初から通読する必要はありません。自社の段階に合った場所から使い始められる作りになっています。

第4.0版で何が変わったか

第4.0版への改訂では、第3.1版(2023年4月)以降の環境変化として、次の3点が挙げられています。

  • ランサムウェアによる被害が情報漏えいにとどまらず、事業活動の停止にまで拡大した
  • 国内外でサプライチェーンを介した被害が広がり、取引網全体で対策を進める必要性が高まった
  • 中小企業の内部でセキュリティ対策を推進する人材が著しく不足している

これを受けて、「情報セキュリティ5か条」に「バックアップを取ろう!」を加えた6か条への拡充、経済産業省と内閣官房国家サイバー統括室が検討を進めるSCS評価制度(サプライチェーン強化に向けたセキュリティ対策評価制度)を踏まえた組織的対策・技術的防御策の整理、セキュリティ人材の確保・育成を支援する実践ガイドブック(付録1)の追加などが行われました。

「バックアップ」と「サプライチェーン」という改訂の2本柱は、そのまま今の中小企業が直面している脅威を映しています。ランサムウェアと取引先経由の攻撃は、IPAが毎年公表する「情報セキュリティ10大脅威」の組織編でも、それぞれ11年連続・8年連続で上位に入り続けている脅威です(詳しくは情報セキュリティ10大脅威2026の解説記事をご覧ください)。

3.経営者編 ── 対策は「担当者の仕事」ではない

第1部の経営者編は、技術の話をほとんどしません。書かれているのは、対策を怠ると何を失うか(事業停止、信頼の失墜、損害賠償)、経営者がどんな法的責任を負うか(個人情報保護法の安全管理措置、会社法上の忠実義務など)、そして経営者は何をすべきか、です。

経営者が認識すべき3原則として、次が挙げられています。

  1. 情報セキュリティ対策は経営者のリーダーシップで進める
  2. 委託先の情報セキュリティ対策まで考慮する
  3. 関係者とは常に情報セキュリティに関するコミュニケーションをとる

そのうえで、実行すべき「重要7項目の取組」として、組織全体の対応方針を定める、予算や人材などを確保する、必要と考えられる対策を検討させて実行を指示する、対策の適宜の見直しを指示する、緊急時の対応や復旧のための体制を整備する、委託や外部サービス利用の際にセキュリティに関する責任を明確にする、最新動向を収集する、という経営者の仕事が示されています。

現場の従業員から見ると、セキュリティ対策は利便性が下がる面倒な作業に映りがちです。だからこそ「経営者が判断して意思決定し、主導する」ことが第一の原則に置かれています。担当者に「なにかやっておいて」と任せるだけでは機能しない、というのがこのガイドラインの一貫した立場です。

4.実践編 ── 3段階で進める

第2部の実践編は、「できるところから始める」→「組織的な取り組みを開始する」→「本格的に取り組む」という段階構成になっています。

段階1: できるところから始める
        情報セキュリティ6か条を実行する
        ↓
段階2: 組織的な取り組みを開始する
        情報セキュリティ基本方針を作って周知する
        「5分でできる!自社診断」(25項目)で実施状況を把握する
        できていない対策を決めて周知する
        ↓
段階3: 本格的に取り組む
        規程の作成、資産管理、攻撃の防御・検知、
        点検と改善、インシデント対応体制、取引先の管理
        ↓
さらに: より強固にするための方策
        リスク分析、ウェブサイト・クラウド・テレワークの対策など

重要なのは、段階1と段階2までは、特別な知識も大きな費用もほとんど必要ないことです。「予算が付かないから何もできない」ではなく、「予算がなくてもここまでは今日から始められる」という設計になっています。

5.情報セキュリティ6か条 ── 最初の一歩の中身

段階1の「情報セキュリティ6か条」は、企業の規模に関わらず必ず実行すべき基本対策です。

  項目 何をするか
1 OSやソフトウェアは常に最新の状態にしよう! 修正プログラムを適用する、または最新版を利用する。古いまま放置すると、解決済みの弱点を突かれる
2 ウイルス対策ソフトを導入しよう! 導入したうえで、ウイルス定義ファイルを常に最新に保つ
3 パスワードを強化しよう! 「長く」「複雑に」「使い回さない」。流出したID・パスワードの悪用による不正ログインを防ぐ
4 共有設定を見直そう! クラウドサービスやネットワーク複合機の設定を確認し、無関係な人が見られる状態をなくす
5 バックアップを取ろう! 故障・誤操作・ウイルス感染でデータが消えたり暗号化されたりしても、事業を継続できるようにする
6 脅威や攻撃の手口を知ろう! 攻撃の手口は年々変わる。IPAなどが発信する最新情報を知り、だまされない備えをする

第4.0版で加わった5番目の「バックアップ」については、取得(対象と間隔を決める)、保管(場所と世代管理と期間を決める)、復旧(計画を立て、正しく戻せることを確認する)の3点セットで運用することが示されています。ランサムウェアで元データもろとも暗号化されないよう本番環境から切り離して保管することと、「取ってあるはずのバックアップが実は戻せない」を防ぐ復旧確認まで含めて、初めて対策として成立します。

どの項目も、書いてしまえば当たり前に見えます。しかし実際の被害の多くは、この当たり前が徹底されていないところから起きています。まずこの6項目を、経営者のトップダウンで全社に徹底することが出発点です。

6.5分でできる自社診断と、二段階目からの組織的な取り組み

段階2の中心になるのが、付録3の「5分でできる!情報セキュリティ自社診断」です。25項目の設問に「実施している/一部実施している/実施していない/分からない」で答えていくだけで、自社の現状と弱点が見える化されます。

第4.0版では診断の対策例が見直され、「外部から内部ネットワークへの不要な通信を遮断する」「ウェブサイトを安全に運用する」といった、昨今の侵入経路を踏まえた項目も加わりました。VPN機器の弱点を突いた侵入や、放置されたWebサイトの改ざんは、実際に中小企業で被害が続いている経路です(Webサイト側の対策は、別記事IPA「安全なウェブサイトの作り方」の使い方で詳しく扱います)。

診断の結果は、点数を競うためのものではありません。「できていない項目のうち、自社の業務にとってリスクが大きいものから直す」という優先順位付けの材料として使います。

7.SECURITY ACTION ── 取り組みを「見える化」する無料の制度

取り組みを始めたら、あわせて活用したいのがSECURITY ACTIONです。中小企業が自ら情報セキュリティ対策に取り組むことを自己宣言する制度で、取り組み段階に応じて「一つ星」「二つ星」のロゴマークを無料で使用できます。

  宣言の内容
★ 一つ星 情報セキュリティ6か条に取り組むことを宣言する
★★ 二つ星 「5分でできる!自社診断」で自社の状況を把握したうえで、情報セキュリティ基本方針(付録2にサンプルあり)を定めて外部に公開し、対策に取り組むことを宣言する

自己宣言なので審査はありませんが、その分すぐに始められます。名刺やWebサイトにロゴを掲載すれば取引先への説明材料になりますし、IT導入補助金をはじめとする公的支援制度で宣言が申請要件とされることもあります。

取引先からセキュリティチェックシートを受け取って戸惑っている段階の会社にとっては、「ガイドラインに沿って6か条と自社診断から取り組んでいます。SECURITY ACTIONも宣言しています」と答えられる状態を作ることが、現実的で誠実な第一歩になります。

8.付録は「ひな形集」として使える

このガイドラインの実務的な価値は、付録にあると言ってもよいくらいです。第4.0版には次の8点が付属し、いずれもIPAのページから無償でダウンロードできます。

  • 付録1: 中小企業のためのセキュリティ人材確保・育成の実践ガイドブック(第4.0版で新規追加)
  • 付録2: 情報セキュリティ基本方針(サンプル)
  • 付録3: 5分でできる!情報セキュリティ自社診断
  • 付録4: 情報セキュリティハンドブック(ひな形)
  • 付録5: 情報セキュリティ関連規程(サンプル)
  • 付録6: 資産管理台帳(サンプル)
  • 付録7: 中小企業のためのクラウドサービス安全利用の手引き
  • 付録8: 中小企業のためのセキュリティインシデント対応の手引き

基本方針も規程も資産管理台帳も、ゼロから書く必要はありません。サンプルを自社に合わせて修正するのが前提の作りです。社内ルールの整備で止まっている会社は、付録2と付録5から手を付けると早く進みます。

なお、日々の運用に近いところでは、パスワード付きZIPをメールで送る、いわゆるPPAPの見直し(なぜPPAPはダメなのか)や、廃棄するPCからの情報漏えい対策(Windows PC廃棄前のチェックリスト)のような個別テーマも、このガイドラインの考え方と地続きです。

まとめ

IPA「中小企業の情報セキュリティ対策ガイドライン」第4.0版のポイントを整理します。

  • 2026年3月27日公開。ランサムウェアによる事業停止、サプライチェーン経由の被害、人材不足という環境変化を反映した改訂
  • 進め方は段階式。まず情報セキュリティ6か条、次に25項目の自社診断、そのうえで方針・規程・体制の整備へ
  • 6か条には「バックアップを取ろう!」が加わった。取得・保管・復旧確認までがバックアップ
  • 経営者には3原則と重要7項目の取組があり、担当者に任せきりにしない
  • SECURITY ACTIONの自己宣言(無料)で取り組みを見える化でき、公的支援制度の要件にもなっている
  • 付録8点はひな形集としてそのまま実務に使える

セキュリティ対策は「何をすればよいか分からない」が最大の障壁ですが、その部分は公的なガイドラインがすでに答えを用意してくれています。あとは、自社の環境に当てはめて実行する段階です。

自社の環境に当てはめる段階でお困りの方へ

6か条の「OSやソフトウェアを最新の状態に」を実行しようとすると、「古い業務アプリが新しいOSで動かないので更新できない」という壁に突き当たる会社が少なくありません。また、自社診断で見つかった課題をどの順番で直すかは、業務システムの構成によって変わります。

合同会社小村ソフトでは、Windows業務アプリやWebシステムの開発・保守の経験をもとに、更新の妨げになっている既存ソフトの改修や、対策の優先順位付けのご相談をお受けしています。「診断はやってみたが、ここから先は技術の話になって進まない」という段階でも、現状の確認からご相談いただけます。

同じタグを共有する最新の記事です。さらに近い話題で知識を深められます。

ホームページの発注側も知っておきたい ── IPA「安全なウェブサイトの作り方」をチェックリストとして使う

会社のホームページやWebシステムのセキュリティは、何を基準に確認すればよいのでしょうか。IPA「安全なウェブサイトの作り方」が取り上げる11の脆弱性と対策の考え方を、制作を発注する側・サイトを運営する側にも分かる言葉で解説し、発注・検収・運用での使い方を紹介します。

「何秒で動けば満足か」を決め忘れないために ── IPA「非機能要求グレード」で非機能要件を整理する

システム開発で「速度が遅い」「障害対応が想定外」と揉める原因の多くは、非機能要件の決め忘れです。IPAが公開する「非機能要求グレード」の6大項目、グレード表とモデルシステムの使い方、中小企業の業務アプリでの現実的な活用方法を、発注側にも分かりやすく解説します。

受託開発・運用保守の契約はどう結ぶべきか ── IPA「モデル取引・契約書」に学ぶ準委任と請負の使い分け

システム開発を外部に委託するとき、契約はどう結ぶべきでしょうか。IPAが公開する「情報システム・モデル取引・契約書」をもとに、多段階契約の考え方、準委任と請負の違い、運用保守契約で決めておくべきことを、発注側にも分かりやすく解説します。

このテーマと近いトピックページです。記事を起点に、関連するサービスや他の記事へ進めます。

この記事は次のサービスページにつながります。近い入口からご覧ください。

よくある質問

この記事のテーマについて、相談時によくある質問をまとめています。

情報セキュリティ6か条とは何ですか?
IPAの「中小企業の情報セキュリティ対策ガイドライン」第4.0版で示されている、企業の規模に関わらず必ず実行すべき基本対策です。①OSやソフトウェアは常に最新の状態にする、②ウイルス対策ソフトを導入する、③パスワードを強化する、④共有設定を見直す、⑤バックアップを取る、⑥脅威や攻撃の手口を知る、の6項目です。第3.1版までは5か条でしたが、ランサムウェア被害の拡大を踏まえて「バックアップを取ろう!」が加わり6か条になりました。
SECURITY ACTIONの一つ星と二つ星は何が違いますか?
一つ星は「情報セキュリティ6か条」に取り組むことを自己宣言するもので、これから対策を始める企業でもすぐに宣言できます。二つ星は、ガイドライン付録の「5分でできる!情報セキュリティ自社診断」で自社の状況を把握したうえで、「情報セキュリティ基本方針」を定めて外部に公開し、対策に取り組むことを宣言するものです。どちらもIPAへの自己宣言で、費用はかかりません。
専任のIT担当者がいない会社は、まず何から始めればよいですか?
ガイドラインの実践編は「できるところから始める」構成になっています。まず経営者のトップダウンで情報セキュリティ6か条を実行し、次に付録3「5分でできる!情報セキュリティ自社診断」の25項目で現状を把握して、できていない項目から改善する、という順番が示されています。6か条と自社診断は、いずれも特別な知識や大きな費用を必要としない内容です。
第4.0版は第3.1版から何が変わりましたか?
2026年3月27日に公開された第4.0版では、ランサムウェア被害による事業停止、サプライチェーンを介した被害の拡大、セキュリティ人材の不足という環境変化を踏まえた見直しが行われました。具体的には、「情報セキュリティ5か条」に「バックアップを取ろう!」を加えて6か条に拡充、経済産業省などが検討を進めるSCS評価制度(サプライチェーン強化に向けたセキュリティ対策評価制度)を踏まえた対策の整理、セキュリティ人材の確保・育成を支援する実践ガイドブックの付録追加などが行われています。

著者プロフィール

記事の著者プロフィールページです。

小村 豪

合同会社小村ソフト 代表

Windows ソフト開発、技術相談、不具合調査を中心に、既存資産が残る案件や原因が見えにくい障害調査に強みがあります。

ブログ一覧に戻る