中小企業の経営者が第4.0版ガイドラインを今すぐ確認すべき改訂背景と狙い

中小企業の経営者が第4.0版ガイドラインを今すぐ確認すべき改訂背景と狙い

IPA（独立行政法人情報処理推進機構）は2026年3月27日、「中小企業の情報セキュリティ対策ガイドライン」の第4.0版を公開しました。本ガイドラインは、中小企業の経営者や実務担当者が情報セキュリティ対策の必要性を理解し、具体的な手順を段階的に実行するための指針として位置づけられています。前版にあたる第3.1版の公開から約3年が経過するなかで、ランサムウェア被害の深刻化やサプライチェーン攻撃の増加、セキュリティ人材不足の常態化といった環境変化が急速に進みました。こうした現状を反映し、第4.0版ではサイバーセキュリティ対策に関する記載が大幅に拡充されています。中小企業を取り巻く脅威の実態と、ガイドライン改訂の狙いを正確に理解することが、自社の対策を見直す第一歩となります。

ランサムウェア被害が事業停止に直結する中小企業の深刻なセキュリティ実態

近年、ランサムウェアによる被害は情報漏えいにとどまらず、企業の事業活動そのものを停止させるケースが顕在化しています。警察庁の報告によると、ランサムウェアの感染経路はVPN機器やリモートデスクトップなどネットワーク経由が約8割を占めており、中小企業が利用する比較的安価なネットワーク機器の脆弱性が狙われやすい構造になっています。大企業と比べてセキュリティ投資が限られる中小企業では、ファームウェアの更新が行われないまま運用されている機器も少なくありません。

データの暗号化だけでなく、暗号化前にデータを窃取し「身代金を支払わなければ情報を公開する」と脅迫する二重恐喝型の攻撃が主流となっているため、被害は金銭的損失にとどまらず、取引先や顧客からの信頼喪失にまで及びます。製造業では生産ラインの停止、サービス業では顧客データの流出による業務継続不能など、業種を問わず深刻な影響が発生しています。こうした現実を踏まえ、第4.0版では「バックアップを取ろう」を基本対策に追加し、ランサムウェアへの備えを最優先事項として位置づけました。

サイバー攻撃の被害企業の約7割が取引先にも影響を及ぼした調査結果の意味

IPAが2024年度に実施した中小企業実態調査では、サイバー攻撃の被害に遭った中小企業の約7割が「取引先にまで影響が及んだ」と回答しています。この数字は、中小企業のセキュリティ対策がもはや自社だけの問題ではなく、サプライチェーン全体のリスクに直結することを明確に示しています。実際に2022年には大手自動車メーカーのサプライチェーンがサイバー攻撃を受け、部品供給元の被害が原因で国内工場の生産ラインが一時停止する事態が発生しました。

こうした事例を受け、大手企業が取引先に対してセキュリティ対策の水準を求める動きが加速しています。複数の発注元企業からそれぞれ異なるセキュリティ基準を要求されることで、中小企業側の対応負担が増大するという課題も生じています。第4.0版では、経済産業省が検討を進めるSCS評価制度（サプライチェーン強化に向けたセキュリティ対策評価制度）の考え方を取り込むことで、統一的な基準に沿った対策の実施を支援する構成に改訂されました。取引先からの信頼を維持するうえでも、ガイドラインへの対応は経営戦略上の重要課題といえます。

第3.1版公開から約3年で急変したサプライチェーン攻撃と人材不足の現状

第3.1版が公開された2023年4月以降、サイバーセキュリティを取り巻く環境は大きく変化しました。IPAが毎年発表する「情報セキュリティ10大脅威」では、「サプライチェーンや委託先を狙った攻撃」が2026年版で組織編の第2位に選出されており、8年連続でランクインする結果となっています。攻撃者は防御が堅固な大企業を直接狙うのではなく、取引先や委託先などセキュリティ対策が手薄な中小企業を経由して侵入を試みる手法が常套手段となりました。

同時に、中小企業の内部でセキュリティ対策を推進する人材の不足が深刻な状態にあります。専任の情報セキュリティ担当者を配置できる中小企業はごく限られており、総務部門や情報システム担当者が他業務と兼任するケースが大半です。限られたリソースのなかで何をどの順番で進めるべきかを明確に示すガイドラインの重要性が、これまで以上に高まっています。第4.0版では、新たに付録として「セキュリティ人材確保・育成の実践ガイドブック」が追加され、人材不足への具体的な対応策も提示されました。

経営者編と実践編の2部構成で段階的に進められるガイドラインの全体設計

第4.0版のガイドラインは、「第1部 経営者編」と「第2部 実践編」の2部構成で設計されています。経営者編では、情報セキュリティ対策を怠ることで企業が被る不利益として、金銭の損失、顧客の喪失、事業の停止、従業員への影響の4つを明示したうえで、経営者自身が認識すべき「3原則」と実行すべき「重要7項目の取組」を解説しました。実践編では、企業の現在のセキュリティレベルに応じて4つのSTEPが設定されており、自社の状況に合った段階から対策を開始できる構成です。

この2部構成の特長は、経営層と実務担当者の役割を明確に分離している点にあります。経営者はまず経営者編を読んで対策の全体像を把握し、実践にあたっては担当者に実践編を参照させるという流れが想定されています。中小企業では経営者自身が実務に携わるケースも多いため、両方を通読することでセキュリティ対策の全体設計を一人で把握することも可能です。個人事業主から小規模事業者、従業員数百人規模の中小企業まで幅広い組織が対象となっており、自社の規模や業種に関係なく活用できる柔軟な設計が特長です。

全70ページの本編と8種類の付録で構成される第4.0版の活用対象と想定読者

第4.0版の本編は全70ページで構成されており、IPAのウェブサイトからPDF形式で無料ダウンロードできます。本編に加え、8種類の付録が用意されており、情報セキュリティ基本方針のサンプル、自社診断シート、ハンドブックのひな形、関連規程のサンプル、資産管理台帳、クラウドサービス安全利用の手引き、インシデント対応の手引き、そして第4.0版で新規追加されたセキュリティ人材確保・育成方策がそれぞれ含まれています。これらの付録はWord形式やExcel形式でも提供されるため、自社の環境に合わせてカスタマイズして利用できる点が実務上大きなメリットです。

想定読者は、個人事業主や小規模事業者を含む中小企業の経営者、および社内で情報セキュリティ対策の実務を担当する方々です。ITに詳しくない経営者でも理解できるよう、専門用語をできる限り排した説明が採用されています。また、ガイドラインの内容に取り組むことを対外的に宣言する「SECURITY ACTION」制度とも連携しており、自己宣言を通じて取引先や顧客に対するセキュリティへの取り組み姿勢を示すことも可能です。まずは本編の経営者編と情報セキュリティ6か条に目を通すところから始めるのが効果的といえます。

第3.1版から第4.0版で大きく変わった3つの改訂ポイントと対策強化の方向性

第4.0版への改訂では、基本的な構成を維持しつつ、3つの大きな変更が加えられました。1つ目は情報セキュリティ5か条に「バックアップを取ろう」が追加され6か条となった点、2つ目はSCS評価制度の基本的な考え方が実践編に反映された点、3つ目はセキュリティ人材の確保・育成に関する付録が新規追加された点です。これらの改訂はいずれも、ランサムウェア被害の拡大、サプライチェーン攻撃の増加、人材不足の深刻化という3つの環境変化に対応したものであり、中小企業が直面する具体的なリスクに即した内容となっています。

情報セキュリティ5か条に「バックアップ」を追加して6か条へ変更した理由と背景

第3.1版までの「情報セキュリティ5か条」は、OSやソフトウェアの最新化、ウイルス対策ソフトの導入、パスワードの強化、共有設定の見直し、脅威や攻撃の手口を知るという5項目で構成されていました。第4.0版ではこれに「バックアップを取ろう！」が加わり、「情報セキュリティ6か条」に拡充されています。この変更の背景にあるのは、ランサムウェア被害の急増です。データが暗号化されても、適切なバックアップがあれば業務の復旧が可能になるため、バックアップは事業継続の最後の砦として位置づけられています。

バックアップの追加が示す意味は、従来の「侵入を防ぐ」対策だけでは不十分であり、「被害を受けた後の復旧力」が重要だという考え方への転換です。実際のランサムウェア被害事例では、バックアップが存在しても、同じネットワーク上に保存されていたために暗号化されてしまったケースが多数報告されています。ガイドラインでは、バックアップデータをネットワークから切り離した場所に保管することや、定期的に復旧テストを実施することの重要性が強調されています。費用をかけずに実施できる対策であるため、6か条の中でも優先的に取り組むべき項目です。

実践編を全面改訂しSCS評価制度の考え方を反映した構成変更の具体的内容

第4.0版で最も大きな変更が加えられたのが「第2部 実践編」です。経済産業省および内閣官房国家サイバー統括室が検討を進めるSCS評価制度（サプライチェーン強化に向けたセキュリティ対策評価制度）の基本的な考え方に沿った内容へと全面改訂されました。具体的には、実践編のSTEP3「本格的な対策」において、SCS評価制度で求められる要求事項を踏まえた対策の考え方が整理されています。中小企業がガイドラインに沿って段階的に対策を進めることで、SCS評価制度の★取得に向けた準備が自然と進む構造になっているのが特長です。

SCS評価制度は2026年度末頃の制度開始が予定されており、サプライチェーンを構成する企業のIT基盤を対象として、セキュリティ対策の段階を★3から★5の3段階で評価する仕組みです。ガイドラインとの関係でいえば、★1と★2はSECURITY ACTIONの自己宣言に対応し、★3以上がSCS評価制度の対象となります。第4.0版では、付録として掲載されている規程類のサンプルやひな型もSCS評価制度に対応する形で拡充されているため、ガイドラインの付録を活用するだけで制度対応の準備を進められる点が実務上の大きなメリットとなっています。

自社診断シートとハンドブックをSTEP2に合わせて見直した付録改訂の変更点

付録3「5分でできる！情報セキュリティ自社診断」と付録4「情報セキュリティハンドブック（ひな形）」は、実践編のSTEP2「組織的基本対策」に合わせて内容が見直されました。自社診断シートには新たに「外部から内部ネットワークへの不要な通信を遮断する」「ウェブサイトを安全に運用する」という診断項目が追加されています。これらは近年のサイバー攻撃の傾向を反映した変更であり、VPN機器やファイアウォールの設定状況、自社ウェブサイトの脆弱性管理状況を自己点検できるようになりました。

ハンドブックのひな形についても、テレワーク環境やクラウドサービスの利用を前提とした記載が強化されています。第3.1版のハンドブックでは触れられていなかったクラウドストレージの利用ルールや、在宅勤務時のWi-Fi接続に関する注意事項など、現在の働き方に即した内容へ更新されました。付録5「情報セキュリティ関連規程（サンプル）」もあわせて改訂されており、SCS評価制度の要求事項に対応した規程のひな型が提供されています。これらの付録は相互に連携する設計となっているため、STEP2の段階で一括して導入することで効率的に運用を開始できます。

セキュリティ人材の確保・育成を支援する付録1の新規追加とその実務的な価値

第4.0版で新たに追加された付録1「中小企業のためのセキュリティ人材の確保・育成方策」は、全14ページの実践的なガイドブックです。2025年5月に経済産業省の「サイバーセキュリティ人材の育成促進に向けた検討会」で提示された「中堅・中小企業が実施するセキュリティ対策に応じた人材確保・育成の実践的方策ガイドβ版」を踏まえて作成されています。従来のガイドラインでは「人材を確保しましょう」という方針は示されていたものの、具体的にどのような人材をどう育成するかという実務レベルの指針が不足していました。

この付録では、中小企業においてセキュリティ対策を推進するために必要な人材像と、限られたリソースのなかで育成を進めるための具体的なステップが示されています。専任のセキュリティ担当者を置けない場合でも、既存の情報システム担当者や総務担当者に必要なスキルを段階的に習得させる方法や、外部の支援サービスと社内人材を組み合わせて対策を回す方法が取り上げられています。取組事例も含まれているため、自社と近い規模や業種の企業がどのように人材育成に取り組んでいるかを参考にできる構成です。セキュリティ対策を一過性の取り組みで終わらせず、継続的に運用するためには対策を推進・維持できる人材の確保が不可欠であり、この付録の追加は第4.0版の改訂における重要な柱の一つとなっています。

第3.1版の利用企業が第4.0版へ移行する際に確認すべき差分と対応の優先順位

すでに第3.1版に基づいて情報セキュリティ対策を進めている企業が第4.0版へ移行する場合、すべてを最初からやり直す必要はありません。第4.0版は基本的な構成を維持しつつ改訂されているため、既存の対策をベースに差分を確認して対応するのが効率的です。最優先で確認すべきは、情報セキュリティ6か条への対応です。具体的には、バックアップの実施状況を点検し、バックアップデータがネットワークから隔離された安全な場所に保管されているかを確認します。

次に優先すべきは、自社診断シートの更新です。新たに追加された診断項目に沿って自己点検を実施し、特に外部から内部ネットワークへの不要な通信が遮断されているか、ウェブサイトの安全な運用が行われているかを確認しましょう。その後、付録5の情報セキュリティ関連規程のサンプルを参照し、自社の規程にSCS評価制度の考え方が反映されているかを照合します。最後に、付録1のセキュリティ人材確保・育成ガイドブックを活用して、中長期的な人材育成計画の見直しを行うという順序が推奨されます。すべてを同時に対応する必要はなく、まず6か条の確認から着手し、段階的に進めることが重要です。

経営者が理解すべき「3原則」と「重要7項目」の具体的な取り組み内容

ガイドラインの第1部「経営者編」は、すべての中小企業の経営者に読んでいただきたい内容として位置づけられています。情報セキュリティ対策を怠ることで企業が被る不利益として、金銭の損失、顧客の喪失、事業の停止、従業員への影響の4つが明示されています。そのうえで、経営者が認識すべき「3原則」と実行すべき「重要7項目の取組」が具体的に解説されています。これらは経営者自身が判断し意思決定すべき事項であり、担当者任せにせず経営者がトップダウンで推進することが求められています。

経営者が認識すべき3原則の1つ目「情報セキュリティは経営課題」の実務的意味

3原則の1つ目は「情報セキュリティ対策は経営者のリーダーシップで進める」です。現場の従業員は、業務効率の維持を優先する傾向があり、利便性が低下したり面倒な手順が増えたりするセキュリティ対策には抵抗感を示しがちです。そのため、対策の実行には経営者の明確な意思決定と指示が欠かせません。セキュリティ対策を「IT担当者の仕事」として現場に丸投げしている企業では、予算の確保も対策の優先順位づけも進まず、結果として形だけの対策に終わりがちです。

経営者がリーダーシップを発揮するとは、具体的には対策の方針を自ら決定し、必要な予算と人員を割り当て、定期的に進捗を確認することを意味します。中小企業の場合、経営者と従業員の距離が近いため、経営者の一言が組織全体の行動に直結しやすいという強みがあります。この強みを活かし、情報セキュリティ対策を経営課題として位置づけ、全社的な取り組みとして推進することが第1原則の実務的な意味です。セキュリティ対策にかかる費用は、被害が発生した場合の損失と比較すれば、極めて合理的な経営投資であるという認識が出発点となります。

「対策の不備は経営者の責任」とする3原則の法的リスクと経営判断への影響

3原則の2つ目は「委託先の情報セキュリティ対策まで考慮する」、3つ目は「関係者とは常に情報セキュリティに関するコミュニケーションをとる」です。この2つの原則が示すのは、セキュリティ対策の責任が自社の範囲にとどまらないという点です。業務の一部を外部に委託する際、委託先が適切なセキュリティ対策を講じていなければ、情報漏えいが発生した場合に委託元としての管理責任を問われかねません。個人情報保護法では委託先に対する必要かつ適切な監督義務が規定されており、これを怠れば法的責任を免れない可能性があります。

また、セキュリティインシデントが発生した場合、顧客や取引先に対する説明責任も経営者が負うことになります。対策方針や現在の取り組み状況を関係者に開示しておくことは、インシデント発生時の信頼回復を迅速に進めるうえで極めて重要です。ガイドラインでは、情報セキュリティ基本方針を策定して社内外に公開することを推奨しており、付録2にはサンプル文書が用意されています。経営者はこの3原則を単なる理念として捉えるのではなく、法的リスクの回避と事業継続の観点から、経営判断に直接組み込むべき実務要件として認識する必要があります。

重要7項目のうち最優先で取り組む「方針の策定と周知」の進め方と判断基準

経営者が実行すべき重要7項目の取組は、情報セキュリティ対策の方針策定から最新動向の収集まで広範にわたります。7項目すべてに同時に着手するのは現実的ではないため、まず最優先で取り組むべきは「取組1：情報セキュリティに関する組織全体の対応方針を定める」です。対応方針の策定にあたっては、自社の経営において最も懸念される事態は何かを明確にすることが出発点です。顧客情報の漏えいなのか、業務システムの停止なのか、あるいは知的財産の流出なのか、自社にとって最もダメージの大きいシナリオを想定し、そこから逆算して対策の重点領域を決定しましょう。

方針を策定したら、従業員への周知を徹底します。方針の内容が従業員に伝わっていなければ、日常業務における情報の取り扱いルールが曖昧になり、人的ミスによるインシデントの発生リスクが高まるでしょう。付録2の「情報セキュリティ基本方針（サンプル）」を活用すれば、わずか1ページの方針書を自社用にカスタマイズして短期間で策定可能です。方針の策定と周知が完了した時点でSECURITY ACTIONの「二つ星」宣言が可能になるため、対外的な信頼獲得の面でも早期に着手する価値があります。

予算と人材の確保から委託先管理まで重要7項目を網羅する実務チェック観点

重要7項目の残り6つの取組は、方針策定を起点として段階的に実施します。「取組2：予算や人材などの確保」では、セキュリティ対策を実行するための最低限のリソースを確保する判断が求められるでしょう。外部のセキュリティサービスを利用する場合の費用や、従業員への研修にかかる工数も含めて計画します。「取組3：対策の検討と実行指示」「取組4：対策の適宜の見直し指示」は、実践編のSTEPに沿って具体的な対策を決定し、定期的に効果を検証するプロセスにあたります。

「取組5：緊急時の体制整備」は、インシデント発生時に誰が意思決定し、どの順序で対応するかを事前に定めておく取り組みです。「取組6：委託先管理」では、外部委託契約にセキュリティに関する条項を盛り込み、委託先の対策状況を確認する仕組みを構築します。「取組7：最新動向の収集」は、IPAのセキュリティ情報や業界団体の注意喚起を定期的にチェックする習慣の定着を意味します。7項目すべてを完璧に実施する必要はなく、まず自社にとって最もリスクの高い領域から着手し、年度ごとに対象を広げていくのが実践的なアプローチです。

経営者が陥りやすい「対策を現場任せにする失敗」とトップダウンの成功事例

中小企業のセキュリティ対策で最もよく見られる失敗パターンは、経営者が対策を「IT担当者の仕事」として現場に任せきりにすることです。このパターンでは、担当者がセキュリティ製品の導入提案をしても経営者の決裁が下りず、必要な予算が確保されないまま時間だけが経過します。結果として、ウイルス対策ソフトのライセンスが期限切れになっている、OSのアップデートが数年間放置されているといった事態が発生し、攻撃者にとって格好の標的となります。

一方、経営者がトップダウンで対策を推進している企業では、セキュリティ方針が明確で従業員の意識も高く、インシデントの発生率が低い傾向にあるのが実態です。ある製造業の中小企業では、経営者自らがガイドラインの経営者編を読み、朝礼で情報セキュリティの重要性を従業員に直接伝えたうえで、月1回のセキュリティチェックの結果を経営会議の議題に組み込む運用を開始しました。投資額は年間数十万円程度であっても、経営者のコミットメントがある組織では対策の実効性が格段に向上します。重要なのは、大がかりなシステム投資ではなく、経営者の「やる」という意思決定と継続的な関与にあります。

5か条から6か条へ刷新された情報セキュリティ基本対策の実務での進め方

第4.0版で「情報セキュリティ6か条」に拡充された基本対策は、中小企業がまず最初に取り組むべき最低限のセキュリティ対策です。専門知識がなくても実行できる内容で構成されており、費用もほとんどかかりません。6か条を確実に実施するだけで、サイバー攻撃の多くを未然に防ぐことが可能です。ここでは各項目の具体的な実施内容と、中小企業の現場で実際に取り組む際のポイントを解説します。

OSやソフトウェアの最新化とウイルス対策を確実に実施するための社内運用ルール

情報セキュリティ6か条の第1条「OSやソフトウェアは常に最新の状態にしよう」と第2条「ウイルス対策ソフトを導入しよう」は、セキュリティ対策の中で最も基本的かつ効果の高い施策です。OSやソフトウェアの脆弱性を悪用した攻撃は依然として多く、修正プログラムを適用するだけで防げる攻撃が相当数あります。しかし、中小企業の現場では「業務中にアップデートが始まると作業が止まる」「古いソフトウェアでしか動かない業務アプリがある」といった理由で更新が後回しにされるケースが多く見られます。

こうした問題を解消するには、アップデートの実施タイミングを業務時間外に設定する、あるいは週に一度「セキュリティメンテナンスの時間」を設けるといった社内ルールの策定が有効です。WindowsであればWindows Updateの自動更新設定、macOSであればソフトウェア・アップデートの自動適用を有効にすることで、担当者の手間を最小限に抑えられます。ウイルス対策ソフトについては、ウイルス定義ファイルが自動更新される設定になっているか、ライセンスが有効期限内かを月1回のチェック項目として管理台帳に組み込む運用が推奨されます。テレワーク用の端末についても同様のルールを適用し、社外に持ち出された端末がセキュリティ上の穴にならないよう注意が必要です。

パスワード強化と共有設定の見直しで防げる不正アクセス被害の典型的な失敗例

第3条「パスワードを強化しよう」と第4条「共有設定を見直そう」は、人的な運用面での対策です。パスワードに関する典型的な失敗例としては、全社で同じパスワードを使い回している、初期設定のパスワードを変更していない、「password123」のような推測されやすい文字列を設定しているといったケースが挙げられます。IPAのガイドラインでは、パスワードは10文字以上で大文字・小文字・数字・記号を含めた複雑なものを設定し、複数のサービス間で使い回さないことが推奨されています。

共有設定の見直しに関しては、クラウドストレージのファイル共有リンクが「リンクを知っている全員」に設定されたまま放置されている事例が最も多い失敗です。本来は社内の特定メンバーだけがアクセスできればよいファイルが、URLさえ知っていれば誰でも閲覧可能な状態になっていることは珍しくありません。また、ネットワーク接続の複合機やNAS（ネットワーク接続型ストレージ）が初期設定のまま運用されており、外部からアクセス可能になっているケースもあります。こうした設定の不備は、高度な攻撃手法を使わずとも情報漏えいを引き起こすため、定期的な棚卸しと見直しを実施する仕組みが必要です。

新たに追加された「バックアップを取ろう」の具体的な実施手順とランサムウェア対策

第4.0版で新規追加された第6条「バックアップを取ろう！」は、ランサムウェア被害からの復旧手段として最も重要な対策の一つです。バックアップを効果的に機能させるためには、単にデータをコピーするだけでなく、いくつかの重要なポイントを押さえる必要があります。まず、バックアップの対象として、業務データだけでなくシステムの設定情報や各種アカウント情報も含めることが推奨されます。データだけを復元しても、業務システムの設定が失われていれば業務再開までに大幅な時間を要するためです。

1. バックアップ対象の特定：業務データ、システム設定、アカウント情報を洗い出す
2. 保管場所の決定：ネットワークから物理的に切り離せる外付けHDDやクラウドストレージを選定する
3. バックアップ頻度の設定：業務データは毎日、システム設定は変更時に実施する
4. 復旧テストの実施：四半期に1回、バックアップデータからの復元が正常に行えるか検証する
5. 運用ルールの文書化：担当者、実施手順、保管期間を明文化して共有する

最も重要なのは、バックアップデータの保管場所です。ランサムウェアはネットワーク上のすべてのドライブを暗号化するため、常時接続されたNASやファイルサーバーにバックアップを保存していても意味がありません。バックアップ取得後に外付けHDDをネットワークから切断する、あるいはクラウドバックアップサービスでバージョニング機能（世代管理）を有効にしておくことで、暗号化前の正常なデータに復旧できる状態を維持します。費用面では、1TBの外付けHDDが1万円前後で購入できるため、中小企業にとっても十分に現実的な投資額です。

6か条すべてを従業員50人以下の企業が無理なく実践するための優先順位と工数目安

従業員50人以下の小規模企業では、セキュリティ専任の担当者が不在であることがほとんどです。そのような環境で6か条すべてを実践するには、優先順位を明確にし、段階的に導入を進めるアプローチが不可欠です。最優先は第1条のOS・ソフトウェア最新化と第2条のウイルス対策で、自動更新設定の確認だけであれば1台あたり数分で完了します。全端末の設定確認は、10台程度の環境であれば半日程度の作業です。

第6条のバックアップは2番目に着手すべき項目です。対象データの洗い出しと保管場所の準備に半日から1日程度、運用ルールの策定に半日程度を見込みます。第3条のパスワード強化は、パスワードポリシーを決めて全従業員に通知するだけなので比較的短時間で完了しますが、従業員の協力が不可欠なため朝礼や社内連絡で周知の時間を確保します。第4条の共有設定見直しは、利用しているクラウドサービスやネットワーク機器の数に応じて工数が変動するため、まず棚卸しから始めるのが効率的です。6か条すべての初期設定を完了するまでの期間は、50人以下の企業であれば1〜2週間が目安となります。

自社診断シートの新規診断項目「ネットワーク不要通信遮断」の確認手順と対応方法

付録3の「5分でできる！情報セキュリティ自社診断」に新たに追加された「外部から内部ネットワークへの不要な通信を遮断する」という診断項目は、VPN機器やルーターの設定が適切であるかを確認するものです。近年のランサムウェア攻撃の多くがVPN機器の脆弱性を足がかりにしている実態を踏まえた追加項目です。確認手順としては、まず自社で使用しているルーターやファイアウォールの管理画面にアクセスし、外部からの接続を許可しているポートやサービスを一覧化します。

業務上必要のないポートが開放されていたり、使用していないリモートアクセス機能が有効になっていたりする場合は、速やかに無効化する必要があります。特にVPN機器については、ファームウェアが最新バージョンであるかの確認が重要です。メーカーのサポートが終了した古い機器を使い続けている場合、脆弱性の修正パッチが提供されないため、機器の買い替えを検討する判断が求められます。もう一つの新規項目「ウェブサイトを安全に運用する」については、自社のウェブサイトで使用しているCMS（コンテンツ管理システム）のバージョンが最新であるか、管理画面へのアクセスが制限されているかを確認します。WordPressなどのCMSはプラグインの脆弱性が攻撃対象になりやすいため、不要なプラグインの削除と定期的なアップデートが不可欠です。

実践編4つのSTEPで実現する自社に合ったセキュリティレベル別の対策手順

ガイドラインの第2部「実践編」は、中小企業が目指しているセキュリティレベル（成熟度）に応じて4つのSTEPを定めています。すべての企業が最初からSTEP4を目指す必要はなく、自社の現状に合致したSTEPから対策を開始し、段階的にレベルアップしていく構成が採用されています。第4.0版では実践編が全面的に改訂され、SCS評価制度の考え方が反映されたことで、ガイドラインに沿って対策を進めるだけで評価制度への対応が自然と進む設計になっています。

STEP1「セキュリティ基本対策」で最初に取り組むべき情報セキュリティ6か条の実施要領

STEP1は「できるところから始める」をコンセプトとした段階であり、情報セキュリティ6か条の実施が中心的な取り組みとなります。この段階で求められるのは、専門的な知識や高額な投資ではなく、経営者のトップダウンによる実行の開始にほかなりません。6か条をすべて実施したら、SECURITY ACTIONの「一つ星」を自己宣言することが推奨されています。SECURITY ACTIONは、中小企業自らがガイドラインに示した情報セキュリティ対策に取り組むことを対外的に宣言する制度であり、IPAが運営する仕組みです。

STEP1の実施にあたっては、経営者が全従業員に対して「当社は情報セキュリティ対策に取り組む」という方針を明確に伝えることが最初のアクションとなります。そのうえで、6か条の各項目について実施状況を確認し、未対応の項目を特定します。6か条は技術的な難易度が低く、IT部門が存在しない企業でも取り組める内容で構成されているため、対策開始のハードルは高くありません。重要なのは、6か条の実施を一時的なイベントとして終わらせず、継続的な運用として定着させることでしょう。月1回の確認タイミングを設け、各端末のアップデート状況やバックアップの実施記録をチェックする仕組みの構築が求められます。

STEP2「組織的基本対策」における自社診断とハンドブック整備の具体的な進め方

STEP2は「組織的な取り組みを開始する」段階です。付録3の「5分でできる！情報セキュリティ自社診断」を使って自社の対策状況を把握し、付録4の「情報セキュリティハンドブック（ひな形）」を活用して従業員向けのセキュリティルールを策定します。自社診断は診断項目に回答する形式で、各項目を4段階で評価する仕組みです。合計点数によって自社の現在のセキュリティレベルが可視化されるため、改善すべき領域の特定に役立ちます。

ハンドブックの整備では、付録4のひな形をベースに自社の業務内容に合わせたカスタマイズを行います。テレワークを実施している企業であれば、在宅勤務時のセキュリティルール（利用可能なWi-Fi環境、私用端末の取り扱い、オンライン会議時の画面共有に関するルールなど）を盛り込みましょう。ハンドブックは全従業員に配布し、入社時のオリエンテーションでも活用する運用が効果的です。STEP2が完了した時点でSECURITY ACTIONの「二つ星」宣言が可能になります。二つ星の取得はデジタル化・AI導入補助金（旧IT導入補助金）の申請における加点要素にも関連しているため、補助金活用を検討している企業にとっては実務的なメリットが大きい段階です。

STEP3「本格的な対策」でリスク分析と情報セキュリティ関連規程を策定する手順

STEP3は「本格的に取り組む」段階であり、第4.0版ではSCS評価制度の★3に対応する内容として大幅に改訂された箇所です。この段階では、情報資産の洗い出しとリスク分析を実施し、分析結果に基づいた情報セキュリティ関連規程を策定します。リスク分析とは、自社が保有する情報資産（顧客データ、取引情報、技術資料など）を一覧化し、それぞれの資産に対する脅威の大きさと対策の現状を評価するプロセスです。付録6の「資産管理台帳（サンプル）」を使って情報資産の棚卸しを行い、リスクの高い領域から優先的に対策を実施しましょう。

規程の策定には付録5の「情報セキュリティ関連規程（サンプル）」を活用します。全59ページにわたるサンプルには、情報セキュリティポリシー、対策基準、実施手順の3階層で構成された規程のひな型が含まれています。第4.0版では、SCS評価制度の要求事項に対応する形でサンプルが拡充されているため、このサンプルに沿った規程策定がSCS評価制度★3の取得準備に直結する構造です。STEP3の完了には通常3〜6か月程度を見込む必要があり、外部のセキュリティコンサルタントや「サイバーセキュリティお助け隊サービス」の支援を受けながら進めることも選択肢の一つです。

STEP4「より強固な対策」を目指す企業がISMS認証取得に向けて準備すべき要件

STEP4は「より強固にするための方策」として位置づけられ、ISMS（情報セキュリティマネジメントシステム）認証の取得や、SCS評価制度の★4に相当するレベルの対策実施を目指す段階です。STEP3で策定した規程やリスク分析の結果をベースに、PDCAサイクル（計画・実施・点検・改善）を組織的に回す仕組みの構築が求められる段階です。ISMS認証（ISO/IEC 27001）の取得を目指す場合、認証審査に合格するためには規程の整備だけでなく、規程に従った運用実績と内部監査の実施も欠かせません。

SCS評価制度の★4については、★3が自己評価（セキュリティ専門家の確認を経たもの）であるのに対し、★4では第三者評価機関による評価が実施されます。技術検証を含む審査に合格する必要があるため、脆弱性診断の実施や侵入テストの計画が求められるケースもあります。STEP4に取り組む企業は、STEP3までの対策が十分に定着していることが前提となるため、まずはSTEP3の運用を1年以上安定して実施したうえでSTEP4への移行を検討するのが現実的なスケジュールです。中小企業の多くにとっては、STEP3の完了が当面の目標となるため、STEP4は中長期的な計画として位置づけることが適切です。

自社の現状レベルを正確に把握してSTEPを選択する際の判断基準と3つの確認観点

4つのSTEPのうちどこから着手すべきかを判断するために、自社の現状を3つの観点から確認します。第1の観点は「6か条の実施状況」です。情報セキュリティ6か条のすべてが確実に実施され、継続的な運用が定着しているかを確認します。6か条に未対応の項目がある場合はSTEP1から開始します。第2の観点は「組織的な管理体制の有無」です。セキュリティに関する担当者が指名されている、従業員向けのハンドブックが整備されている、自社診断を実施した実績があるといった組織的な取り組みが存在するかを確認します。これらが整っていない場合はSTEP2から着手しましょう。

第3の観点は「文書化された規程の存在」です。情報セキュリティに関する規程が文書化されており、情報資産の台帳が管理され、リスク分析の結果に基づいた対策が実施されているかを確認します。規程が存在しない、あるいは形骸化している場合はSTEP3から取り組む必要があるでしょう。付録3の自社診断シートの合計点数も判断材料として活用可能です。合計点数が高得点であればSTEP3以降に進む準備が整っていると考えられますが、低得点の項目が多い場合はSTEP1またはSTEP2から見直すことが推奨されます。自社の現状を過大評価せず、客観的な診断結果に基づいて適切なSTEPを選択することが、対策を着実に進める鍵となります。

SCS評価制度との連動を見据えたサプライチェーン対策とガイドライン活用法

第4.0版の大きな特長の一つが、経済産業省および内閣官房国家サイバー統括室が構築を進めるSCS評価制度（サプライチェーン強化に向けたセキュリティ対策評価制度）との連動を意識した改訂が行われた点です。2026年度末頃の制度開始が予定されているSCS評価制度は、今後の企業間取引においてセキュリティ対策の水準を可視化する仕組みとして広がることが見込まれます。ガイドラインに沿った対策を進めることが、そのまま制度対応の準備につながる構造を理解しておくことが重要です。

経済産業省が2026年に構築方針を公表したSCS評価制度の概要と★取得の仕組み

SCS評価制度は、サプライチェーンを構成する企業のセキュリティ対策状況を客観的に評価・可視化するための制度です。経済産業省は2025年12月に制度構築方針案を公表して意見募集を実施し、2026年3月27日に正式な構築方針を公表しました。制度の対象は、サプライチェーンを構成する企業等のIT基盤（クラウド環境を含む）であり、製造環境等のOTシステムや製品そのものは直接の対象には含まれていません。

評価レベルは★3から★5までの3段階で設計されています。★1と★2はIPAが運営するSECURITY ACTIONの自己宣言に対応しており、★3以上がSCS評価制度の本格的な評価対象となります。★3では、対策状況評価シートの記入、セキュリティ専門家による確認・助言、経営層による適合宣言、登録機関への評価結果提出という4つのプロセスを経て取得する仕組みです。★4では第三者評価機関による審査が行われ、技術検証を含むより厳格な評価を受けなければなりません。★5は現在検討中であり、2026年度以降に具体化される予定です。★3と★4については2026年度末頃に制度運用が開始される見込みです。

ガイドラインに沿った段階的対策がSCS評価の★取得に直結する構造と理由

第4.0版のガイドラインは、SCS評価制度との連携を明確に意識して改訂されています。具体的には、実践編のSTEP3において、SCS評価制度で求められる要求事項を踏まえた対策の考え方が整理されました。中小企業がガイドラインのSTEP1からSTEP3まで段階的に対策を進めると、STEP1でSECURITY ACTION ★1相当、STEP2で★2相当、STEP3で★3取得の準備が整うという対応関係になっています。

この連動構造の最大のメリットは、ガイドラインと評価制度を別々に対応する必要がない点にあります。ガイドラインに沿って対策を進めれば、評価制度への対応が自然と進む設計であるため、限られたリソースの中小企業でも二重の負担が発生しません。付録5の情報セキュリティ関連規程サンプルもSCS評価制度に対応する形で拡充されており、このサンプルをベースに自社の規程を整備すれば、★3の要求事項を満たすための基盤が構築できます。特に、複数の取引先からそれぞれ異なるセキュリティ基準を求められている中小企業にとっては、SCS評価制度という統一基準に沿って対策を進められることが業務効率化の面でも大きな利点となります。

サプライチェーン上の取引先から求められるセキュリティ水準と具体的な対応事例

大手製造業を中心に、サプライチェーンを構成する取引先に対してセキュリティ対策の実施状況を確認する動きが広がっています。2022年の大手自動車メーカーのサプライチェーン攻撃事案以降、発注元企業が取引先に対して独自のセキュリティチェックシートへの回答を求めるケースが増加しました。しかし、各発注元企業のチェック項目が統一されていないため、複数の取引先を持つ中小企業は、似たような内容のチェックシートに何度も回答しなければならないという負担が生じています。

SCS評価制度の★を取得していれば、発注元企業に対して統一的な基準でセキュリティ対策の実施状況を示すことができます。具体的な対応事例として、ある金属加工メーカーでは、主要取引先3社から個別にセキュリティ対策の確認を求められていた状況を改善するため、ガイドラインに沿ったSTEP3の対策を実施しました。情報セキュリティ関連規程の整備、資産管理台帳の作成、従業員教育の実施記録を体系的に整えることで、3社からの問い合わせに対して統一的な資料で回答できるようになりました。SCS評価制度の正式運用が開始されれば、★の取得証明を提示するだけで対策状況を説明できるため、対応の効率がさらに向上します。

SECURITY ACTIONの自己宣言制度を活用した対外的な信頼性向上の具体的手順

SECURITY ACTIONは、中小企業自らがガイドラインに示した情報セキュリティ対策に取り組むことを自己宣言する制度です。IPAが運営しており、宣言は無料で行えます。宣言には「一つ星」と「二つ星」の2段階があり、一つ星は情報セキュリティ6か条に取り組むことの宣言、二つ星は自社診断を実施して情報セキュリティ基本方針を定め対外的に公開することの宣言にあたります。SCS評価制度では、★1がSECURITY ACTIONの一つ星、★2が二つ星に対応する位置づけです。

1. IPAの「SECURITY ACTION自己宣言者サイト」にアクセスする
2. 一つ星の場合：情報セキュリティ6か条の実施状況を確認し、取り組みを宣言する
3. 二つ星の場合：付録3の自社診断を実施し、付録2の基本方針を策定して公開したうえで宣言する
4. 宣言完了後、SECURITY ACTIONのロゴマークが使用可能になる
5. ロゴマークを名刺やウェブサイトに掲載し、取引先や顧客に対する信頼性を示す

SECURITY ACTIONの二つ星宣言は、デジタル化・AI導入補助金（旧IT導入補助金）の申請における加点要素にもなっています。補助金を活用してセキュリティ対策サービスを導入する場合、二つ星宣言が完了していることで申請が有利になるため、補助金活用を検討している企業は早期に宣言を行うメリットがあります。宣言自体は30分程度で完了する手続きですが、実態を伴わない宣言は信頼性を損なうため、必ず6か条の実施や自社診断の実施を完了させたうえで宣言することが重要です。

SCS評価制度の★1〜★3に対応するために必要なガイドラインの該当STEPと要件

SCS評価制度の各段階とガイドラインのSTEPの対応関係を整理しておくことで、自社がどの段階まで対策を進めればよいかの見通しが立てやすくなります。★1はSECURITY ACTIONの一つ星に対応し、ガイドラインのSTEP1（情報セキュリティ6か条の実施）が該当します。★2はSECURITY ACTIONの二つ星に対応し、STEP2（自社診断の実施と基本方針の策定・公開）が該当する段階です。★3はSCS評価制度の本格的な評価対象であり、STEP3（リスク分析と関連規程の策定）に取り組むことで準備が整います。

中小企業がまず目指すべきは★3の取得であり、これに向けた準備としてガイドラインのSTEP1からSTEP3までを着実に実施していくことが推奨されるところです。★3の取得には、対策状況評価シートへの記入とセキュリティ専門家による確認が必要ですが、「サイバーセキュリティお助け隊サービス」の新類型として★3取得を支援するサービスの提供も予定されています。2026年春頃から実証事業が開始される見込みであり、中小企業が安価かつ簡便に★3を取得できる仕組みの整備が進行中です。制度の正式運用開始を待つのではなく、今からガイドラインに沿った対策を進めておくことで、制度開始直後に速やかに★を取得できる体制を構築しておくことが競争優位につながります。

付録ツール8種類を活用した情報セキュリティ体制構築の具体的な手順と優先順位

第4.0版のガイドラインには、本編の解説に加えて8種類の付録ツールが用意されています。これらの付録は、Word形式やExcel形式でダウンロードできるため、自社の状況に合わせて編集・活用できる実務的なツール群です。すべてを一度に導入する必要はなく、自社が取り組んでいるSTEPに応じて必要な付録から順番に活用していくのが効率的です。各付録の内容と活用のポイントを押さえ、優先順位をつけて導入を進めましょう。

付録2「情報セキュリティ基本方針」サンプルを自社用にカスタマイズする実務手順

付録2の「情報セキュリティ基本方針（サンプル）」は、わずか1ページの文書であり、最も導入しやすい付録です。基本方針は、自社が情報セキュリティ対策に組織的に取り組む姿勢を従業員や関係者に対して表明するための文書です。サンプルには、基本的な記載項目として対策の目的、適用範囲、管理体制、点検・改善の方針などが含まれています。自社用にカスタマイズする際は、業種や事業内容に固有のリスクを反映させることがポイントです。

たとえば、個人情報を多く取り扱う企業であれば個人情報保護に関する方針を明記し、製造業であれば製品設計データの保護について言及するなど、自社にとって最も重要な情報資産が何であるかを明確にします。カスタマイズの作業自体は1〜2時間で完了できる分量です。完成した基本方針は、社内の掲示板やイントラネットに掲載するとともに、自社のウェブサイトにも公開することが推奨されます。対外的に公開することでSECURITY ACTIONの二つ星宣言の要件を満たすことができ、取引先からの信頼獲得にもつながります。基本方針は年に1回以上の見直しを行い、事業環境の変化や新たな脅威の出現に応じて内容を更新する運用が望ましいです。

付録3「5分でできる自社診断」の診断項目で自社の弱点を可視化する活用方法

付録3の自社診断シートは、複数の設問に「実施している」「一部実施している」「実施していない」「わからない」の4段階で回答することで、自社のセキュリティ対策状況を点数化できるツールです。第4.0版では新規項目が追加され、第3.1版の25項目からさらに拡充されました。合計点が低い領域を特定することで、優先的に改善すべき項目が明確になります。第4.0版では、前述のとおり「外部から内部ネットワークへの不要な通信を遮断する」「ウェブサイトを安全に運用する」の項目が新たに追加されています。

自社診断を効果的に活用するためのポイントは、経営者と実務担当者がそれぞれ別々に回答し、結果を突き合わせることです。経営者は「対策を指示した」と認識していても、現場では「指示は受けたが実際には運用されていない」というギャップが生じていることが少なくありません。両者の回答の差異を確認することで、方針と実態のズレを把握できます。また、診断は1回限りで終わらせるのではなく、半年に1回のペースで継続的に実施し、点数の推移を記録することで対策の進捗を定量的に管理できます。初回の診断で全項目が満点になることはまれであり、点数が低い項目を次の半年間の改善目標として設定し、着実にスコアを向上させていくアプローチが実践的です。

付録5「情報セキュリティ関連規程」サンプル59ページを効率的に導入する優先順位

付録5の情報セキュリティ関連規程サンプルは全59ページにわたる大部の文書であり、そのまま読み通すだけでも相当な時間を要します。すべてを一度に導入しようとすると挫折しやすいため、自社の対策状況と業務内容に応じた優先順位をつけて段階的に導入することが重要です。規程は「情報セキュリティポリシー（基本方針）」「対策基準」「実施手順」の3階層で構成されており、まずは基本方針と、自社にとって最もリスクの高い領域の対策基準から導入するのが効率的です。

具体的な優先順位としては、第一にアクセス管理に関する規程（パスワードポリシー、アカウント管理）、第二にインシデント対応に関する規程（報告手順、初動対応）、第三に外部委託管理に関する規程（委託先のセキュリティ要件、確認方法）の順で導入を進めることが推奨されます。第4.0版のサンプルはSCS評価制度の要求事項に対応する形で拡充されているため、★3の取得を目指す企業はこのサンプルを最大限活用できます。サンプルの文言をそのまま使用するのではなく、自社の組織体制や業務フローに合わせて具体的な手順や担当者名を書き込むことで、実効性のある規程として機能するでしょう。形式的に規程を整備するだけでは不十分であり、策定した規程が実際に運用されているかを定期的に確認する体制の構築が欠かせません。

付録7「クラウドサービス安全利用の手引き」で見落としがちな3つのチェック観点

中小企業においてもクラウドサービスの利用が当たり前になった現在、付録7の「中小企業のためのクラウドサービス安全利用の手引き」は実務上の重要度が高い付録です。全8ページの手引きでは、クラウドサービスを選定する際のチェックポイントと、安全に利用するための運用ルールが解説されています。多くの中小企業がクラウドサービスを導入する際に見落としがちな観点が3つあります。

• データの保管場所と法的管轄：海外のクラウドサービスを利用する場合、データが保管されるサーバーの所在国の法律が適用される可能性がある。個人情報を取り扱うサービスでは、データの保管先がどの国にあるかを確認し、自社の情報管理方針と整合するかを検証する
• サービス終了時のデータ移行手段：利用中のクラウドサービスが突然終了した場合に、データを別のサービスに移行できるかどうか、エクスポート機能が提供されているかを事前に確認しておく
• アクセス権限の管理体制：退職した従業員のアカウントが有効なまま残っていないか、共有アカウントが使用されていないか、多要素認証が利用可能であれば有効化されているかを定期的にチェックする

これらの観点は技術的に高度な内容ではないものの、日常業務に追われるなかで後回しにされやすいポイントであるため、年に1回の棚卸しタイミングを設けて確認する運用が推奨されます。

付録8「インシデント対応の手引き」で準備すべき初動対応体制の要件と確認項目

付録8の「中小企業のためのセキュリティインシデント対応の手引き」は、サイバー攻撃や情報漏えいが発生した場合の対応手順を「検知・初動対応」「報告・公表」「復旧・再発防止」の3段階に分けて解説しています。インシデントは発生しないに越したことはありませんが、どれほど対策を講じていても完全に防ぐことはできません。そのため、インシデントが発生した際に迅速かつ適切に対応できる体制を事前に整えておくことが不可欠となります。

初動対応で最も重要なのは「被害の拡大防止」と「証拠の保全」です。ランサムウェア感染が疑われる場合、感染端末をネットワークから速やかに切り離すことで、他の端末やサーバーへの感染拡大を防ぎます。このとき、端末の電源を切らずにネットワークケーブルを抜く（またはWi-Fiを無効化する）という操作が重要です。電源を切ってしまうと、メモリ上に残された攻撃の痕跡が消失し、原因の特定が困難になりかねません。初動対応の手順は、IT部門がない企業でも実行できるよう、具体的な操作手順と連絡先リストを一覧にした「インシデント対応カード」を作成し、各従業員のデスクや事務所の壁に掲示しておくことが効果的です。連絡先リストには、社内の報告先（経営者や担当者）、外部の相談先（IPAの情報セキュリティ安心相談窓口、警察のサイバー犯罪相談窓口、契約しているセキュリティサービスの緊急連絡先）を含めます。

セキュリティ人材が不足する中小企業が限られたリソースで対策を継続する方法

中小企業のセキュリティ対策において最も切実な課題の一つが人材不足です。専任のセキュリティ担当者を配置できる企業はごく限られており、多くの場合は情報システム担当者や総務担当者が本来の業務と兼任する形で対策を進めています。ガイドラインに沿った対策を「始める」ことは比較的容易ですが、「継続する」ことが最大の難関です。ここでは、限られたリソースのなかで対策を形骸化させずに運用を続けるための具体的な方法を解説します。

付録1「セキュリティ人材確保・育成ガイドブック」に示された人材像と育成ステップ

第4.0版で新たに追加された付録1「中小企業のためのセキュリティ人材の確保・育成方策」は、全14ページの実践的なガイドブックです。このガイドブックでは、中小企業においてセキュリティ対策を推進するために必要な人材像として、必ずしも高度な技術スキルを持つ専門家である必要はないという考え方が示されています。中小企業に求められるのは、セキュリティに関する基本的な知識を持ち、ガイドラインの内容を理解して社内の対策推進をリードできる「推進役」としての人材です。

育成ステップとしては、まずIPAが提供する無料の学習コンテンツ（映像で知る情報セキュリティ、情報セキュリティ教材）を活用して基礎知識を習得し、次に自社診断シートの実施やハンドブックの整備を通じて実務経験を積むという流れが推奨されています。技術的な対応が求められる場面では、外部の専門家やサービスと連携する判断ができることが重要であり、すべてを自力で解決する能力は必要ありません。ガイドブックには、業種や規模が異なる複数の中小企業における取組事例が掲載されているため、自社に近い事例を参考にすることで育成計画の具体化がしやすくなっています。情報処理安全確保支援士（登録セキスぺ）などの外部専門家による定期的なアドバイスを受けながら、社内の推進役が日常の運用を担うという分業体制が現実的な解決策です。

専任担当者を置けない従業員30人以下の企業が兼任体制で対策を回す実務モデル

従業員30人以下の小規模企業では、セキュリティの専任担当者を配置するだけの人的余裕はありません。こうした環境で現実的に対策を回すには、既存の業務担当者に「セキュリティ推進役」の役割を兼任させるモデルが有効です。最も一般的なのは、社内のITに比較的詳しい従業員（パソコンの設定変更やネットワーク機器の管理を担当している方）にセキュリティ推進役を任命するパターンです。推進役に求められる業務量は、月に2〜4時間程度を目安とします。

兼任体制の実務モデルとしては、月初めに30分程度で全端末のOSアップデート状況とウイルス対策ソフトの動作状況を確認し、月末にバックアップの実施記録を確認するというサイクルが基本です。四半期に1回は自社診断シートを使った点検を実施し、結果を経営者に報告します。この報告を経営者が確認し、改善すべき事項があれば指示を出すというフローが、STEP2レベルの対策を維持するために必要な最小限の運用です。推進役の負担を軽減するために、チェック項目をスプレッドシートで一覧化し、チェックボックスを入れるだけで記録が残る簡易な管理ツールを用意することも効果的です。推進役が一人で抱え込まず、経営者と定期的にコミュニケーションをとりながら対策を進める体制の維持が成功の鍵となります。

サイバーセキュリティお助け隊サービスなど外部支援を活用する際の選定基準と費用感

自社内のリソースだけでセキュリティ対策を進めることが難しい場合、外部の支援サービスを活用することが有効な選択肢です。IPAが認定する「サイバーセキュリティお助け隊サービス」は、中小企業のセキュリティ対策を包括的に支援するサービスとして、一定の品質基準を満たした民間事業者のサービスを認定する制度です。デジタル化・AI導入補助金（旧IT導入補助金）の対象にもなっており、費用負担を抑えてサービスを導入できる可能性があります。

外部支援サービスを選定する際の基準としては、3つの観点が重要です。第1に、自社の規模と業種に適合したサービス内容であるかどうかです。従業員10人程度の企業に大企業向けの高機能なセキュリティ監視サービスは過剰であり、費用対効果が合いません。第2に、インシデント発生時の対応体制が含まれているかどうかです。平常時の監視だけでなく、実際にインシデントが発生した際に緊急対応が受けられるサービスを選ぶことが重要です。第3に、導入後のサポート体制が充実しているかどうかも見逃せません。月次のレポート提供や定期的な改善提案が含まれるサービスであれば、自社の対策レベルを継続的に向上させることができます。SCS評価制度の★3や★4の取得支援を目的とした新類型のお助け隊サービスの提供も2026年度末頃に開始が予定されており、制度対応を視野に入れた支援サービスの選択肢が今後拡大する見込みです。

デジタル化・AI導入補助金のセキュリティ対策推進枠でコストを抑える申請手順の要点

セキュリティ対策にかかるコストは中小企業にとって大きな課題ですが、国の補助金制度を活用することで負担を軽減できる場合があります。2026年度から「デジタル化・AI導入補助金」に名称変更されたIT導入補助金の「セキュリティ対策推進枠」は、サイバーセキュリティお助け隊サービスの導入に対して最大2年分のサービス利用料を補助する制度です。補助額の上限は150万円（下限5万円）、補助率は中小企業が2分の1以内、小規模事業者が3分の2以内とされています。

申請手順の要点としては、SECURITY ACTIONの宣言を完了させることが前提条件です。次に、IPA認定のサイバーセキュリティお助け隊サービス一覧から自社に適したサービスを選定し、サービス提供事業者と導入計画を策定しましょう。申請はオンラインで行い、事業計画書の作成が必要です。事業計画書には、自社のセキュリティ上の課題と、サービス導入によって期待される効果を具体的に記載します。採択後はサービスの導入と利用を開始し、所定の期間内に実績報告を行うことで補助金が交付されます。補助金の公募期間や申請条件は年度ごとに変更される可能性があるため、中小企業基盤整備機構の事務局サイトやIPAのウェブサイトで最新の情報を確認したうえで申請を進めることが重要です。補助金の活用は対策開始のハードルを下げる効果が大きいため、利用条件に該当する企業は積極的に検討すべきです。

年1回の見直しサイクルで対策を形骸化させないPDCA運用と3つの定期確認項目

セキュリティ対策で最も避けるべきは、ガイドラインに沿って対策を導入したあと、そのまま放置して形骸化することです。サイバー攻撃の手口は常に進化しており、1年前に有効だった対策が現在も十分であるとは限りません。ガイドラインでは、年に1回以上の見直しを行い、PDCAサイクルを回すことが推奨されています。見直しのタイミングとしては、年度替わりの時期に合わせて実施するのが業務の流れに組み込みやすく効果的です。

年次見直しで確認すべき3つの定期確認項目は以下のとおりです。第1の項目は「脅威環境の変化の確認」にあたります。IPAの「情報セキュリティ10大脅威」の最新版を確認し、自社に関連する新たな脅威が出現していないかを検証しましょう。第2の項目は「対策の実施状況の棚卸し」です。自社診断シートを改めて実施し、前回の診断結果と比較して点数が向上しているか、新たに「実施していない」に該当する項目が発生していないかを確認しましょう。第3の項目は「規程と運用の整合性の検証」です。策定した規程の内容が現在の業務実態と合致しているか、規程で定めたルールが実際に遵守されているかを検証し、乖離がある場合は規程を改訂するか運用を是正します。これら3つの確認項目を年次のチェックリストとして管理し、結果を経営者に報告する仕組みを構築することで、対策の継続性と実効性を担保できます。