近年の動向反映し実践的な対策促す
独立行政法人情報処理推進機構(IPA)は2026年3月、中小企業向けに情報セキュリティ対策の考え方や、段階的に実現するための方策を紹介する「中小企業の情報セキュリティ対策ガイドライン」を改訂し、第4.0版を公開した。今回の改訂では、ガイドライン本編2部と付録から成る基本的な構成を維持しつつ、近年のサイバー攻撃の動向や政府の取り組みなどを反映し、中小企業が適切な認識と実践的な対策を進められるよう、記載内容の見直しを行っている。
改訂の主なポイントは以下の通り。
①「バックアップを取ろう!」を追加し、必須の対策示した「情報セキュリティ5か条」は6か条へ
企業規模にかかわらず、始めに取り組んでほしい「情報セキュリティ5か条」に「バックアップを取ろう!」を新たに追加し、「情報セキュリティ6か条」とした。また、自社の対策状況を把握するためのツール「5分でできる!情報セキュリティ自社診断」の診断項目に、「外部から内部ネットワークへの不要な通信を遮断する」「ウェブサイトを安全に運用する」を新たに追加するなどの見直しが行われている。これらの変更に伴い、「SECURITY ACTION(セキュリティアクション)自己宣言」制度の基準の見直しも行われている。
②「サプライチェーン強化に向けたセキュリティ対策評価制度」の基本的な考え方を取り込む
経済産業省および内閣官房国家サイバー統括室が検討を進める「サプライチェーン強化に向けたセキュリティ対策評価制度」(以下、SCS評価制度)の基本的な考え方をガイドライン本編に取り込むとともに、付録「情報セキュリティ関連規程(サンプル)」などの見直しが行われている。
SCS評価制度については、27年3月より制度開始を予定しているが、制度開始に向けて準備を進める上で参考になると考える。
人材確保に向けた方策ガイド付き
③「中小企業のための人材確保・育成の実践ガイドブック」を付録として追加
経済産業省より25年5月に公表された「中堅・中小企業が実施するセキュリティ対策に応じた人材確保・育成の実践的方策ガイドβ版」を基に、日本商工会議所など中小企業支援組織へのヒアリングを行い、社内のセキュリティ人材の確保・育成の考え方や、外部人材や支援サービスの活用方法について分かりやすく整理するとともに、中小企業の取り組み事例をまとめ、付録「中小企業のための人材確保・育成の実践ガイドブック」として追加している。
実践に役立つ考え方やヒントが紹介されており、中小企業が自社の実情に応じた人材確保・育成に取り組む上で参考になると考える。
企業の持続的な成長を実現するためには、サイバーセキュリティ対策も欠かせない要素である。IPAでは、本ガイドラインを活用して中小企業が着実に情報セキュリティ対策を進めることで、中小企業自身の信頼性向上に寄与するとともに、経済社会全体のサイバーリスク低減につながることを期待している。
(独立行政法人情報処理推進機構・江島将和)
「中小企業の情報セキュリティ対策ガイドライン」についてはこちらを参照
