「セキュリティ対策って、結局なにから手をつければいいの？」

中小企業の経営者やIT担当者から、筆者がもっとも多く聞く質問がこれです。2026年3月27日、その答えを国が用意してくれました。IPA（独立行政法人 情報処理推進機構）が**「中小企業の情報セキュリティ対策ガイドライン」第4.0版**を公開したのです。

記事タイトル	発行メディア	発行日
中小企業の情報セキュリティ対策ガイドライン	IPA 独立行政法人 情報処理推進機構	2026年3月27日

このガイドラインは無料でダウンロードでき、PDF 70ページの本編＋実用的な8つの付録がセットになっています。正直な話、中小企業のセキュリティ対策において、この1冊を超える「教科書」は存在しないと筆者は考えています。

本記事では、忙しい経営者やIT担当者の「代わりに」このガイドラインを読み込み、明日から使えるアクションとして整理しました。

想定読者

• 中小企業の経営者・役員の方
• ひとり情シス・IT担当者の方
• セキュリティ対策を「何から始めれば良いか」悩んでいる方
• 取引先からセキュリティ対策の強化を求められている方
• SECURITY ACTIONやSCS評価制度への対応を検討中の方

---

そもそも「中小企業の情報セキュリティ対策ガイドライン」とは？

IPAが策定した、中小企業（個人事業主・小規模事業者を含む）が情報セキュリティ対策に取り組むための公式ガイドブックです。

graph TD
    A["📘 中小企業の情報セキュリティ対策<br/>ガイドライン 第4.0版"] --> B["第1部<br/>経営者編"]
    A --> C["第2部<br/>実践編"]
    A --> D["付録<br/>（8種類）"]
    B --> B1["経営者の3原則"]
    B --> B2["重要7項目"]
    C --> C1["STEP1<br/>まず始める"]
    C --> C2["STEP2<br/>組織的に取り組む"]
    C --> C3["STEP3<br/>本格的に取り組む"]
    D --> D1["自社診断シート"]
    D --> D2["規程サンプル"]
    D --> D3["人材育成ガイド"]

    style A fill:#1a5276,stroke:#5dade2,color:#ecf0f1
    style B fill:#1e8449,stroke:#58d68d,color:#ecf0f1
    style C fill:#b9770e,stroke:#f4d03f,color:#ecf0f1
    style D fill:#7d3c98,stroke:#c39bd3,color:#ecf0f1
    style B1 fill:#1e8449,stroke:#58d68d,color:#ecf0f1
    style B2 fill:#1e8449,stroke:#58d68d,color:#ecf0f1
    style C1 fill:#b9770e,stroke:#f4d03f,color:#ecf0f1
    style C2 fill:#b9770e,stroke:#f4d03f,color:#ecf0f1
    style C3 fill:#b9770e,stroke:#f4d03f,color:#ecf0f1
    style D1 fill:#7d3c98,stroke:#c39bd3,color:#ecf0f1
    style D2 fill:#7d3c98,stroke:#c39bd3,color:#ecf0f1
    style D3 fill:#7d3c98,stroke:#c39bd3,color:#ecf0f1

ポイントは、「経営者向け」と「実務担当者向け」の2部構成になっていること。セキュリティは「ITの問題」ではなく「経営の問題」だという強いメッセージが込められています。

---

第4.0版（2026年3月改訂）で何が変わった？

第4.0版は、前版（第3.1版、2023年4月公開）から約3年ぶりの大幅改訂です。改訂の背景には、3つの深刻な環境変化があります。

改訂の背景となった3つの環境変化

graph TD
    A["改訂の背景"] --> B["🔒 ランサムウェア被害の<br/>深刻化"]
    A --> C["🔗 サプライチェーン<br/>攻撃の拡大"]
    A --> D["👤 セキュリティ人材の<br/>著しい不足"]
    B --> B1["被害が情報漏洩だけでなく<br/>事業停止にまで拡大"]
    C --> C1["被害企業の約7割が<br/>取引先にも影響"]
    D --> D1["中小企業の内部で<br/>対策を推進する人材が不足"]

    style A fill:#922b21,stroke:#e74c3c,color:#ecf0f1
    style B fill:#1a5276,stroke:#5dade2,color:#ecf0f1
    style C fill:#1a5276,stroke:#5dade2,color:#ecf0f1
    style D fill:#1a5276,stroke:#5dade2,color:#ecf0f1
    style B1 fill:#2c3e50,stroke:#7f8c8d,color:#ecf0f1
    style C1 fill:#2c3e50,stroke:#7f8c8d,color:#ecf0f1
    style D1 fill:#2c3e50,stroke:#7f8c8d,color:#ecf0f1

特に、ランサムウェアの被害は「データが漏れる」だけの問題ではなくなりました。暗号化されて業務が完全に止まる ── これが中小企業にとっての現実です。ランサムウェア対策の具体策は「ランサムウェア被害の6割は中小企業 ── 今すぐできる5つの防御策」で詳しく解説しています。

第4.0版の3大改訂ポイント

改訂ポイント	内容	中小企業への影響
情報セキュリティ6か条	従来の5か条に「バックアップを取ろう!」を追加	バックアップが「当たり前の基本」に格上げ
SCS評価制度への対応	サプライチェーン強化に向けたセキュリティ対策評価制度の考え方を組み込み	取引先からの要求に備える必要性がより明確に
人材育成ガイドブック追加	セキュリティ人材の確保・育成方策と取組事例を付録として追加	ひとり情シスでも人材育成の道筋が見える

---

【第1部 経営者編】社長が押さえるべき「3原則」と「重要7項目」

ガイドライン第1部は、すべての経営者に読んでほしい内容です。「セキュリティのことはITに任せている」という姿勢がいかに危険か、はっきり書かれています。

経営者が認識すべき「3原則」

graph TD
    A["経営者の3原則"] --> B["原則1<br/>リーダーシップで進める"]
    A --> C["原則2<br/>委託先まで考慮する"]
    A --> D["原則3<br/>関係者と<br/>コミュニケーションをとる"]
    B --> B1["現場任せにしない<br/>経営者が主導する"]
    C --> C1["委託先が原因の事故でも<br/>経営者の管理責任が問われる"]
    D --> D1["取引先・株主への<br/>説明責任を果たす"]

    style A fill:#1a5276,stroke:#5dade2,color:#ecf0f1
    style B fill:#1e8449,stroke:#58d68d,color:#ecf0f1
    style C fill:#b9770e,stroke:#f4d03f,color:#ecf0f1
    style D fill:#922b21,stroke:#e74c3c,color:#ecf0f1
    style B1 fill:#2c3e50,stroke:#7f8c8d,color:#ecf0f1
    style C1 fill:#2c3e50,stroke:#7f8c8d,color:#ecf0f1
    style D1 fill:#2c3e50,stroke:#7f8c8d,color:#ecf0f1

原則1：情報セキュリティ対策は経営者のリーダーシップで進める

現場の社員は日々の業務に追われており、セキュリティ対策に自発的に労力を割くのは難しいのが現実です。「社長が言うから、やる」── これが中小企業の正しいセキュリティ推進の姿です。

筆者の経験からも、セキュリティ対策がうまく進んでいる企業には共通点があります。それは「社長自身がセキュリティの重要性を理解し、予算と人を確保している」ことです。

原則2：委託先の情報セキュリティ対策まで考慮する

業務委託先やクラウドサービスの提供元が原因でセキュリティ事故が起きた場合でも、委託元の経営者に管理責任が問われる可能性があります。「うちはベンダーに任せているから大丈夫」は通用しません。

同時に、自社が委託先の立場であれば、委託元からのセキュリティ要求に適切に応じる必要もあります。これがまさに、今回の改訂で強化されたサプライチェーン対策の考え方です。

原則3：関係者とは常に情報セキュリティに関するコミュニケーションをとる

取引先や株主から「御社のセキュリティ対策はどうなっていますか？」と聞かれたとき、経営者自身が明確に答えられるかどうか。これは信頼関係に直結します。

3原則のうち、中小企業の現場で 最も抜けやすいのが、この原則3 です。目先の経営成績や業務目標には経営者の関心が向きやすい一方で、セキュリティは インシデントが発生しない限り、自然と優先順位が下がっていく という傾向が現場では強く出ます。だからこそ、月次会議に「セキュリティ短報」の枠を1つ固定する、四半期ごとに取引先との対話を経営者自身の言葉で行う、といった コミュニケーションの “型” を強制的に運用に組み込む ことが、原則3を実効化する具体的な打ち手になります。

経営者が実行すべき「重要7項目」

3原則を理解したうえで、具体的に何をすればよいのか。それが重要7項目です。

No.	重要7項目	具体的なアクション例
1	対応方針を定める	情報セキュリティ基本方針を策定・社内に周知する
2	予算・人材を確保する	セキュリティ対策の年間予算を確保する
3	対策を検討し実行を指示する	リスク評価を行い、優先順位をつけて対策を進める
4	適宜見直しを指示する	年1回以上、対策状況を棚卸しする
5	緊急時の体制を整備する	インシデント発生時の連絡先・対応フローを決めておく
6	委託時の責任を明確にする	委託契約書にセキュリティ要件を盛り込む
7	最新動向を収集する	IPAの10大脅威やニュースを定期的にチェックする

セキュリティポリシーの策定方法は「中小企業向け情報セキュリティポリシーの作り方」で、インシデント対応体制は「インシデント対応マニュアルの作り方」でそれぞれ詳しく解説しています。

---

【第2部 実践編】3つのSTEPで段階的に進める

実践編は、自社の現在のレベルに合わせて3段階で取り組める構成になっています。「いきなり完璧を目指さなくてよい」というのが、このガイドラインの優れた点です。

graph TD
    A["STEP1<br/>まず始める<br/>──────<br/>情報セキュリティ6か条<br/>に取り組む"] --> B["STEP2<br/>組織的に取り組む<br/>──────<br/>自社診断＋<br/>基本方針策定"]
    B --> C["STEP3<br/>本格的に取り組む<br/>──────<br/>SCS評価制度対応の<br/>本格的な対策"]
    A -.- A1["SECURITY ACTION<br/>★1 宣言"]
    B -.- B1["SECURITY ACTION<br/>★2 宣言"]
    C -.- C1["SCS評価<br/>★3 / ★4 取得"]

    style A fill:#1e8449,stroke:#58d68d,color:#ecf0f1
    style B fill:#b9770e,stroke:#f4d03f,color:#ecf0f1
    style C fill:#922b21,stroke:#e74c3c,color:#ecf0f1
    style A1 fill:#2c3e50,stroke:#58d68d,color:#ecf0f1
    style B1 fill:#2c3e50,stroke:#f4d03f,color:#ecf0f1
    style C1 fill:#2c3e50,stroke:#e74c3c,color:#ecf0f1

STEP1：まず始める ── 情報セキュリティ6か条

対象：これからセキュリティ対策を始める企業 目標：SECURITY ACTION ★1（一つ星）の宣言

STEP1は、とにかく「最低限の基本」を押さえるフェーズです。第4.0版で新たに追加された「バックアップ」を含む6か条に取り組みます。

情報セキュリティ6か条

graph TD
    A["情報セキュリティ<br/>6か条"] --> B["1⃣ OSやソフトウェアは<br/>常に最新の状態にしよう!"]
    A --> C["2⃣ ウイルス対策ソフトを<br/>導入しよう!"]
    A --> D["3⃣ パスワードを<br/>強化しよう!"]
    A --> E["4⃣ 共有設定を<br/>見直そう!"]
    A --> F["5⃣ 脅威や攻撃の手口を<br/>知ろう!"]
    A --> G["6⃣ バックアップを<br/>取ろう!<br/>🆕 v4.0で追加"]

    style A fill:#1a5276,stroke:#5dade2,color:#ecf0f1
    style B fill:#1e8449,stroke:#58d68d,color:#ecf0f1
    style C fill:#1e8449,stroke:#58d68d,color:#ecf0f1
    style D fill:#1e8449,stroke:#58d68d,color:#ecf0f1
    style E fill:#1e8449,stroke:#58d68d,color:#ecf0f1
    style F fill:#1e8449,stroke:#58d68d,color:#ecf0f1
    style G fill:#d4ac0d,stroke:#f4d03f,color:#1a1a2e

6か条	IT初心者向けの解説	明日できるアクション
1. OS・ソフトウェアを最新に	Windows UpdateやiOSのアップデートをすること。古いままだと攻撃者が侵入する「穴」が放置される	Windows Updateの自動更新をONにする
2. ウイルス対策ソフトを導入	パソコンに常駐してウイルスを検知・駆除するソフト。Windows標準の「Microsoft Defender」でもOK	Defenderが有効になっているか確認する
3. パスワードを強化	同じパスワードの使い回しは厳禁。推測されにくい長いパスワードを設定する	重要なサービスにはパスワードマネージャーを導入する
4. 共有設定を見直す	ファイルサーバーやクラウドの「誰がアクセスできるか」を確認する。退職者のアカウントが残っていないか要チェック	社内共有フォルダのアクセス権限を棚卸しする
5. 脅威や攻撃の手口を知る	フィッシングメール（偽メールで個人情報を盗む手口）やランサムウェア（データを暗号化して身代金を要求する攻撃）など、最新の手口を知っておく	IPAの「情報セキュリティ10大脅威」を社内で共有する
6. バックアップを取る 🆕	万が一ランサムウェアに感染してもデータを復旧できるよう、定期的にデータのコピーを別の場所に保存する	「3-2-1ルール」に沿ってバックアップ環境を構築する

6か条目のバックアップが追加されたのは、ランサムウェア対策として「被害を最小化するための最も基本的かつ重要な対策の1つ」と位置づけられたためです。筆者としても、バックアップは「最後の砦」として絶対に外せない対策だと実感しています。

STEP2：組織的に取り組む ── 自社診断＋基本方針策定

対象：STEP1を完了した企業 目標：SECURITY ACTION ★2（二つ星）の宣言

STEP2では、付録の「5分でできる！情報セキュリティ自社診断」を使って自社の現状を数値化し、基本方針を策定します。

5分でできる！自社診断の活用法

自社診断は25の設問に答えるだけで、自社のセキュリティ対策の状況を可視化できるツールです。

採点方式：

• 実施している → 4点
• 一部実施 → 2点
• 未実施 → 0点
• 分からない → -1点

「分からない」がマイナスになるのがポイントです。「把握すらしていない」状態が最もリスクが高いという考え方が反映されています。

第4.0版では新たに以下の2項目が追加されました：

• 外部から内部ネットワークへの不要な通信を遮断する（ファイアウォール・UTMの確認）
• ウェブサイトを安全に運用する（自社サイトの脆弱性対策）

💡 実践のコツ：まずは経営者とIT担当者が一緒に診断シートに取り組んでみてください。「分からない」項目が多い部分が、そのまま自社のリスクポイントです。

基本方針の策定については、「情報セキュリティポリシーの作り方」で付録のサンプルを活用した具体的な手順を解説しています。

STEP3：本格的に取り組む ── SCS評価制度への対応

対象：STEP2を完了し、さらに高度な対策を目指す企業 目標：SCS（サプライチェーン強化に向けたセキュリティ対策評価制度）★3・★4の取得

STEP3は、第4.0版で大きく強化されたセクションです。経済産業省と内閣官房が推進するSCS評価制度の考え方が組み込まれ、取引先から求められる水準のセキュリティ対策を実装していきます。

レベル	要求事項数	対応する規程サンプル
SCS ★3	25項目	付録5に対応サンプルあり
SCS ★4	44項目	付録5に対応サンプルあり

SCS評価制度の詳細は「SCS評価制度とは？中小企業が知るべき全体像」をご覧ください。

実践編は「自社規程の漏れチェック」にも使える

実践編は、これからセキュリティ対策を始める企業だけでなく、すでに情報セキュリティ要則・指針などを整備済みの企業 にとっても強力なチェックリストになります。実践編に列挙された対策と自社規程を1項目ずつ突き合わせ、漏れている対策を洗い出す という使い方は、既存規程を最新化するための最も効率的なアプローチの1つです。第4.0版では「バックアップ」が6か条に追加されたほか、自社診断にも「外部から内部ネットワークへの不要な通信遮断」「ウェブサイトの安全な運用」が新規追加されており、既存規程の更新トリガー としても明確に活用できます。

---

付録を120%活用する ── 8つの実践ツール

このガイドラインの真価は、実は付録にあるといっても過言ではありません。規程のサンプルや診断シートなど、そのまま自社で使えるツールが揃っています。

付録	内容	ページ数	形式	活用シーン
付録1	セキュリティ人材確保・育成ガイドブック 🆕	14ページ	PDF	人材育成計画の策定時
付録2	情報セキュリティ基本方針（サンプル）	1ページ	Word	ポリシー策定の雛形として
付録3	5分でできる！情報セキュリティ自社診断	8ページ	PDF	現状把握と改善計画に
付録4	情報セキュリティハンドブック	17ページ	PPT	従業員教育の資料として
付録5	情報セキュリティ関連規程（サンプル）	59ページ	Word	社内規程の整備に
付録6	情報資産管理台帳	9シート	Excel	IT資産の棚卸しに
付録7	クラウドサービス安全利用の手引き	8ページ	PDF	クラウド導入・契約時に
付録8	セキュリティインシデント対応の手引き	8ページ	PDF	インシデント対応フロー策定時に

付録1（新規追加）：人材育成ガイドブックの活用

第4.0版で新たに追加された付録1は、「中小企業のための人材確保・育成の実践ガイドブック」です。

ひとり情シスの企業でも実践できる内容で、以下のアプローチが示されています：

• 外部専門家の活用方法（サイバーセキュリティお助け隊サービスなど）
• 既存社員のスキルアップ方策
• 実際の取組事例

実践編のSTEP3「本格的に取り組む」までは、中小企業であっても 網羅的に実施すべきレベル です。ただし現実的な課題になるのが、それを担う人材の確保・育成 です。実践編の対策は対策ひとつひとつが極端に高度というわけではなく、日々進化する脅威・技術にキャッチアップし続ける ことが要求される性質のものが多く、汎用的なIT担当者の片手間運用ではすぐに追いつかなくなります。情報システム部門の中に 「セキュリティ専任者」を1名でも置く ことが、STEP3を継続的に運用するための実質的な最低条件です。専任化が難しい段階では、「サイバーセキュリティお助け隊サービス」など外部の専門サービスを併用する のが、現実的な落としどころとなります。

セキュリティ人材の育成方法については「セキュリティ教育年間計画の作り方」でも実践的な計画テンプレートを紹介しています。

付録の活用ロードマップ

graph TD
    A["現状把握<br/>──────<br/>付録3: 自社診断<br/>で現状スコアを算出"] --> B["方針策定<br/>──────<br/>付録2: 基本方針サンプル<br/>をカスタマイズ"]
    B --> C["規程整備<br/>──────<br/>付録5: 関連規程サンプル<br/>を自社用に編集"]
    C --> D["従業員教育<br/>──────<br/>付録4: ハンドブック<br/>で社内研修実施"]
    D --> E["資産管理<br/>──────<br/>付録6: 管理台帳<br/>でIT資産を棚卸し"]
    E --> F["体制強化<br/>──────<br/>付録1: 人材育成<br/>付録8: インシデント対応"]

    style A fill:#1e8449,stroke:#58d68d,color:#ecf0f1
    style B fill:#1e8449,stroke:#58d68d,color:#ecf0f1
    style C fill:#b9770e,stroke:#f4d03f,color:#ecf0f1
    style D fill:#b9770e,stroke:#f4d03f,color:#ecf0f1
    style E fill:#922b21,stroke:#e74c3c,color:#ecf0f1
    style F fill:#922b21,stroke:#e74c3c,color:#ecf0f1

---

SECURITY ACTION とSCS評価制度の関係

ガイドラインの実践STEPは、国の制度と密接に連動しています。この関係を理解しておくと、「なぜ取り組むべきか」の説得材料にもなります。

graph TD
    A["SECURITY ACTION ★1<br/>──────<br/>情報セキュリティ6か条に<br/>取り組むことを自己宣言"] --> B["SECURITY ACTION ★2<br/>──────<br/>自社診断を実施し<br/>基本方針を策定・公開"]
    B --> C["SCS ★3<br/>──────<br/>25項目の要求事項<br/>に対応"]
    C --> D["SCS ★4<br/>──────<br/>44項目の要求事項<br/>に対応"]

    A -.- A1["費用: 無料<br/>審査: なし（自己宣言）<br/>対応: STEP1"]
    B -.- B1["費用: 無料<br/>審査: なし（自己宣言）<br/>対応: STEP2"]
    C -.- C1["サプライチェーン<br/>取引で求められる<br/>水準<br/>対応: STEP3"]
    D -.- D1["より高度な<br/>セキュリティ水準<br/>対応: STEP3"]

    style A fill:#1e8449,stroke:#58d68d,color:#ecf0f1
    style B fill:#b9770e,stroke:#f4d03f,color:#ecf0f1
    style C fill:#922b21,stroke:#e74c3c,color:#ecf0f1
    style D fill:#7d3c98,stroke:#c39bd3,color:#ecf0f1
    style A1 fill:#2c3e50,stroke:#58d68d,color:#ecf0f1
    style B1 fill:#2c3e50,stroke:#f4d03f,color:#ecf0f1
    style C1 fill:#2c3e50,stroke:#e74c3c,color:#ecf0f1
    style D1 fill:#2c3e50,stroke:#c39bd3,color:#ecf0f1

SECURITY ACTION（セキュリティアクション）とは、中小企業が自らのセキュリティ対策への取り組みを自己宣言する制度です。費用は無料で審査もありません。宣言すると、IT導入補助金（中小企業省力化投資補助金）の申請要件を満たすこともできるため、ぜひ活用しましょう。

補助金を活用したセキュリティ対策については「中小企業が使えるセキュリティ補助金・助成金まとめ」で網羅的にまとめています。

---

ユースケース別：ガイドラインの使い方

ケース1：「何から始めればいいか分からない」製造業の社長

状況：従業員30名の金属加工業。IT担当は総務の兼任。大手取引先から「セキュリティ対策の状況を教えてほしい」と言われた。

おすすめの進め方：

1. まず**付録3（自社診断）**を社長と総務担当で実施（所要時間：約5分）
2. 結果をもとに情報セキュリティ6か条の未対応項目を洗い出す
3. SECURITY ACTION ★1を宣言（取引先への回答にもなる）
4. 6か条の具体策は「IT担当者が最低限やるべきセキュリティ対策15選」を参考に実行

ケース2：「ひとり情シス」がセキュリティ体制を整えたい

状況：従業員80名のサービス業。情シスは1名体制。社長から「セキュリティポリシーを作ってくれ」と指示があった。

おすすめの進め方：

1. **付録2（基本方針サンプル）**をベースにセキュリティポリシーを策定
2. **付録5（関連規程サンプル）**から自社に必要な規程を選んでカスタマイズ
3. **付録4（ハンドブック）**を使って全社員向け教育を実施
4. SECURITY ACTION ★2を宣言
5. CSIRT体制の構築は「少人数で回すCSIRT構築ガイド」を参考に

ケース3：取引先からSCS評価制度への対応を求められた

状況：従業員150名の部品メーカー。大手完成品メーカーから「SCS ★3レベルの対応を求める」と通達があった。

おすすめの進め方：

1. STEP3のSCS対応セクションを精読
2. 付録5のSCS ★3対応規程サンプル（25項目）を自社用にカスタマイズ
3. 不足項目はサイバーセキュリティお助け隊サービス（新類型）を活用
4. 技術面は「ゼロトラストセキュリティ入門」「MFA導入ガイド」「EDR導入ガイド」を参照

ケース4：セキュリティ事故が起きた後の立て直し

状況：フィッシングメールにより従業員のアカウントが乗っ取られた。今後の再発防止策を講じたい。

おすすめの進め方：

1. まず**付録8（インシデント対応の手引き）**に沿って事後対応を完了
2. **付録3（自社診断）**で弱点を再確認
3. **付録4（ハンドブック）**で従業員再教育を実施
4. フィッシング対策は「フィッシング・BEC対策ガイド」を参照
5. 中長期のIT-BCP（事業継続計画）は「IT-BCP策定ガイド」を参考に策定

ケース5：生成AIを業務に導入したいがセキュリティが心配

状況：業務効率化のため生成AIの導入を検討中だが、情報漏洩リスクが気になる。

おすすめの進め方：

1. ガイドラインのSTEP2で基本的なセキュリティ体制を構築
2. 生成AIの利用ルールは「生成AI利用ガイドラインの作り方」を参照
3. AIエージェント導入時のリスクは「AIエージェント導入前に知るべきセキュリティ対策」をチェック

---

「明日から始める」アクションチェックリスト

ガイドラインの内容を、優先度順にアクションリストとしてまとめました。

今日やること（所要時間：30分）

• ガイドライン本編（PDF）をダウンロード
• 付録3「5分でできる！自社診断」を経営者とIT担当者で実施
• 診断結果で「0点」「-1点」の項目を赤字でマーキング

今週やること

• 情報セキュリティ6か条の対応状況を確認
• Windows Updateの自動更新が全PCで有効か確認
• 退職者のアカウントが残っていないか確認
• バックアップの実施状況を確認（「3-2-1ルール」が参考になります）

今月やること

• 付録2を参考に情報セキュリティ基本方針を策定
• SECURITY ACTION ★1を宣言
• 付録4のハンドブックを使って全社員への周知を実施

3か月以内にやること

• 付録5を参考にセキュリティ関連規程を整備
• 付録6の管理台帳でIT資産を棚卸し
• インシデント対応フローを策定（「インシデント対応マニュアル」を参照）
• SECURITY ACTION ★2を宣言

---

よくある質問（FAQ）

Q1. うちは従業員5名の小さな会社ですが、このガイドラインは必要ですか？

はい、必要です。 このガイドラインは個人事業主・小規模事業者も対象に含んでいます。むしろ小さな会社ほど、1台のPCがウイルスに感染しただけで全業務が止まるリスクがあります。まずはSTEP1の6か条だけでも取り組みましょう。

Q2. 第3.1版を使っていましたが、第4.0版に切り替えるべきですか？

はい、切り替えをおすすめします。 第4.0版ではバックアップの追加、SCS評価制度への対応、人材育成ガイドブックなど、3年間の環境変化を反映した重要な改訂が行われています。特にサプライチェーン対策は、取引先からの要求が今後ますます強まることが予想されます。

Q3. SECURITY ACTIONの宣言にはお金がかかりますか？

無料です。 SECURITY ACTIONは自己宣言制度であり、費用はかかりません。また、IT導入補助金（中小企業省力化投資補助金）の申請要件にもなっているため、宣言しておくことで補助金活用の道も開けます。

Q4. ガイドラインを読む時間がありません。最低限どこを読めばいいですか？

最低限、以下の3つだけ目を通してください：

1. 経営者の3原則（本編 第1部 冒頭部分）
2. 情報セキュリティ6か条（本編 第2部 STEP1）
3. 付録3「5分でできる！自社診断」

これだけで約15分です。本記事の内容を事前に読んでいただいていれば、さらに短時間で理解できるはずです。

Q5. 社内にIT担当者がいません。外部に頼れるサービスはありますか？

IPAが認定する**「サイバーセキュリティお助け隊サービス」**があります。中小企業向けに、相談窓口・セキュリティ監視・インシデント対応支援をパッケージにしたサービスです。第4.0版では新類型も追加され、SCS評価の未達成項目をカバーする支援も受けられるようになりました。補助金の活用については「中小企業が使えるセキュリティ補助金・助成金まとめ」をご覧ください。

Q6. SCS評価制度は義務ですか？

現時点では義務ではありませんが、大手企業を中心にサプライチェーン全体でのセキュリティ水準確保を求める動きが加速しています。特に製造業やインフラ関連では、取引条件としてSCS ★3レベルの対応を求められるケースが増えてきています。「対応しておいて損はない」というのが筆者の見解です。

Q7. このガイドラインだけでセキュリティ対策は十分ですか？

ガイドラインはあくまで**「出発点」**です。自社の業種・規模・リスクに応じて、より深い対策が必要になる場合もあります。ただし、まずはこのガイドラインに沿って基礎を固めることが最優先です。IPA「情報セキュリティ10大脅威」や、「Gartner 2026年セキュリティトレンド」なども参照しながら、自社に必要な対策を見極めていきましょう。

---

まとめ：「知っている」を「やっている」に変える

IPA「中小企業の情報セキュリティ対策ガイドライン」第4.0版は、中小企業がセキュリティ対策を「知る」ための教科書であると同時に、「実行する」ためのツールキットです。

graph TD
    A["第4.0版の<br/>3大ポイント"] --> B["🛡️ 情報セキュリティ6か条<br/>バックアップが基本に追加"]
    A --> C["🔗 SCS評価制度対応<br/>サプライチェーン全体の<br/>セキュリティ強化"]
    A --> D["👥 人材育成ガイド<br/>ひとり情シスでも<br/>実践できる育成方法"]

    style A fill:#1a5276,stroke:#5dade2,color:#ecf0f1
    style B fill:#1e8449,stroke:#58d68d,color:#ecf0f1
    style C fill:#b9770e,stroke:#f4d03f,color:#ecf0f1
    style D fill:#7d3c98,stroke:#c39bd3,color:#ecf0f1

セキュリティ対策は「完璧を目指して何もしない」よりも、「60点でもいいから始める」ことが大切です。まずは付録3の自社診断から始めてみてください。5分で自社の現在地が分かります。

そして、このガイドラインの最も重要なメッセージを、筆者なりの言葉で言い換えるなら ──

「セキュリティ対策は、IT部門の仕事ではなく、経営者の仕事です。」

経営者がリーダーシップを発揮し、「うちの会社はこうやって情報を守る」と宣言することから、すべてが始まります。無料でダウンロードできるこのガイドラインを、ぜひ経営会議の場に持ち込んでみてください。

---

関連記事

• IT担当者が最低限やるべきセキュリティ対策15選 ── ガイドラインの6か条をさらに具体化した実践リスト
• 情報セキュリティポリシーの作り方 ── 付録2のサンプルを使った策定手順
• IPA「情報セキュリティ10大脅威」を中小企業目線で読み解く ── 脅威を知ることが対策の第一歩
• ランサムウェア被害の6割は中小企業 ── 今すぐできる5つの防御策 ── バックアップが6か条に入った背景を理解する
• データバックアップ 3-2-1ルール実践法 ── 新6か条の「バックアップ」を実現する具体策
• 中小企業のCSIRT構築ガイド ── 重要7項目の「緊急時の体制整備」を実現する
• セキュリティ教育年間計画の作り方 ── 付録4ハンドブックの活用に最適
• 中小企業が使えるセキュリティ補助金まとめ ── SECURITY ACTION宣言で補助金の道が開ける