何が変更された！？〜中小企業の情報セキュリティ対策ガイドラインの改訂

中小企業の情報セキュリティ対策ガイドラインとは

セキュリティ対策の資料は正直なかなか読む気になれないというのが多くの方の本音だと思います。特に中小企業では、セキュリティに費用をかけられるわけではないですし、支援者の方も、セキュリティの相談にのることは稀だと思います。

しかし、生成AIの普及により利用者側のセキュリティリスクは一層高まっています。このままセキュリティ対策を何もせずに事業を進めると、いつか取り返しのつかないセキュリティ事故を起こす可能性は高まっています。

そこで、この対策ガイドラインは、経営者編と、実践編に分かれておりますので、まずは最低限、経営者編だけでも目を通していただけると幸いです。

中小企業の情報セキュリティ対策ガイドライン　第4.0版
https://www.ipa.go.jp/security/guide/sme/ug65p90000019cbk-att/sme_guideline_v4.0.pdf

ガイドライン改訂の背景

今回の第4.0版は3年ぶりの改訂になりますが、なぜ改訂されたかの背景として以下の3つの理由が挙げられています。

①ランサムウェアの被害の拡大
ランサムウェアによる被害の顕在化により、企業におけるサイバーセキュリティに関する被害は情報漏えいにとどまらず、企業の事業活動の停止にまで影響が拡大しています。昨年もみなさんがご存知の大企業でさえ複数の企業がランサムウェアの被害にあって、事業活動に大きな影響がでていました。

②サプライチェーンを介した被害の拡大
国内外でのサプライチェーンを介したサイバーセキュリティ関連被害の拡大を踏まえ、サプライチェーン全体としての対策推進の必要性が高まっています。
前述のランサムウェアの原因としても、サプライチェーン経由での攻撃が増加しています。

③セキュリティ対策人材の不足
中小企業等の内部でセキュリティ対策を推進する人材が著しく不足しています。特に中小企業ではデジタル人材そのものが不足している中、セキュリティに詳しい人材を確保するのは至難の業と言えるでしょう。

ガイドライン改訂内容

先程の改訂の背景を受けて、以下の3つが改訂内容の中心ですので、確認します。

①「バックアップを取ろう!」を追加し情報セキュリティ6か条へ

はじめに取り組んでほしい情報セキュリティ5か条に「バックアップを取ろう!」が新たに追加され、情報セキュリティ6か条となりました。

情報セキュリティの6か条
https://www.ipa.go.jp/security/security-action/download/infosec6to-dos.pdf

セキュリティ対策の基本のキとして、5か条があったわけですが、そこにバックアップも追加されたわけです。これは、背景にあったランサムウェアの影響が大きいでしょう。ランサムウェアで自社のデータが全て暗号化されてしまった場合、事業は継続できるでしょうか?

自社の商品情報だけではなく、お客様の情報も全て突然見られなくなったら、と考えるとゾッとしますね。そのためにバックアップの重要性が高まっています。

しかし、バックアップを取るだけでよいわけではありません。自社サーバを自動バックアップしている事業者もいらっしゃると思いますが、ランサムウェアの怖いところは、バックアップも暗号化されるリスクがあるためです。

そのため、ガイドラインではバックアップについては以下の取組をするように掲載されています。

なかなか実行するにはハードルが高い内容になっていますね。手動で実施する場合には毎晩バックアップをとって、外部メディアに保存して別の場所に置いておけばよいわけですが、日々やり切るのは困難でしょう。やはり何らかのバックアップの仕組みの導入は必須になりそうです。

例えばDropboxのようなオンラインバックアップサービスを利用すると、30日前に巻き戻しすることが可能ですし、一定のプラン以上では、ランサムウェアの疑いのある不審なファイルの検知、警告の対応が可能です。

②「サプライチェーン強化に向けたセキュリティ対策評価制度」の基本的な考え方を取り込む

経済産業省および内閣官房国家サイバー統括室が検討を進める「サプライチェーン強化に向けたセキュリティ対策評価制度（SCS評価制度）」の基本的な考え方に沿った内容に改訂されています。

SCS評価制度は、2026年度下期の制度開始を目指して整備が進められています。今までは★1、★2という自己チェックの仕組みがありましたが、SCS評価制度としては、★3、★4のように外部からの客観的な評価が求められ、こちらも対応するにはコストが発生することになるでしょう。

★3、★4相当のサイバーセキュリティ対策を行うことで、サプライチェーン強化に向けた対策を実施済みの企業として自社が認知されることになります。その結果、高いセキュリティレベルと運用力を客観的に示すことができ、取引先・顧客からの信頼向上、 取引機会の拡大にも繋がるとされています。

逆に考えるとこういったセキュリティに対応できないと、取引してもらえなくなるリスクがあると言えます。

③「中小企業のための人材確保・育成の実践ガイドブック」を付録として追加

まとめ

最近のニュースではClaude Mythos(クロード・ミュトス)がよく取り挙げられています。AIの性能が上がりすぎたため、一般ユーザへの公開が見送られて、金融機関などリスクの高い業界で先行して検証が行われています。

こういったニュースは、まだ中小企業に関係なさそうにも聞こえますが、脅威はすぐそこまで来ています。

当社は中小企業だから攻撃されないというのは幻想でしかありません。さらに攻撃を受ける前に社内の操作ミスによりAIで機密情報が漏洩する事件も多数起きることになるでしょう。

セキュリティガイドラインを読むだけでセキュリティ対策が完了するわけではありませんが、セキュリティ事故の過半は人的なミスから発生しています。そのため、経営者や支援者が、こういったガイドラインを読んで、セキュリティへの意識を高めるだけでも一定の効果はあると言えます。

ぜひ、今回の改訂のタイミングを良い機会として、社内の、そして支援先のセキュリティ対策に取り組んでほしいと思います。

Claude Mythos(クロード・ミュトス)：高性能な生成AIの一例（高度なAIはリスク管理の観点から一般公開されない場合もある）

• 一覧に戻る

関連おすすめ

• 特集
  
  2022.07.05.

  情報セキュリティに対応しよう！
• 特集
  
  2025.05.09.

  2025年の情報セキュリティ10大脅威が発表されました 〜 初選出のセキュリティ脅威とは！？ 〜
• 特集
  
  2025.10.16.

  Windows 10 サポート終了〜中小企業はどのように対応していく？