なぜ今、ガイドラインが改訂されたのか
IPA(独立行政法人情報処理推進機構)は2026年3月27日、「中小企業の情報セキュリティ対策ガイドライン」の第4.0版を公開しました。前バージョンの第3.1版が2023年4月に登場して以来、約3年ぶりの大幅改訂です。
なぜこのタイミングで改訂されたのか。理由は明快で、この3年間で企業を取り巻く脅威の環境が大きく変化したからです。ランサムウェア(業務データを暗号化して身代金を要求するマルウェア)の被害は中小企業にまで着実に広がっており、「うちの規模は狙われない」という思い込みはとうに崩れています。加えて、大企業の取引先や委託先を踏み台にして侵入する「サプライチェーン攻撃」も後を絶ちません。セキュリティ対策が弱い中小企業が、大企業へ至るための入口として狙われる時代です。
こうした環境変化を受けて、IPAは3年ぶりにガイドラインを大幅に刷新しました。今回の改訂で最も注目すべき変更は、「情報セキュリティ5か条」が「6か条」へと拡充されたことです。
何が追加され、私たちに何が求められているのか。この記事を読むだけで第4.0版の要点がつかめるよう、一つひとつ丁寧に解説します。
「情報セキュリティ6か条」を一気に理解しよう
中小企業がまず取り組むべき基本事項として定められた6つの条文を、背景の理由とセットで解説します。ガイドラインを読む時間がない方も、この章だけで要点を把握できるよう整理しました。
第1条:OSやソフトウェアは常に最新の状態にしよう
Windowsのアップデートや業務ソフトのバージョン管理を後回しにしていませんか。攻撃者の多くは既知の脆弱性(セキュリティ上の欠陥)を突いて侵入します。OS・ブラウザ・Office製品・業務システムをすべて最新に保つことは、コストをかけずにできる最も効果の高い基本対策です。「後で更新しよう」のその隙を攻撃者は狙っています。
第2条:ウイルス対策ソフトを導入しよう
マルウェアの検知・駆除を自動で行うウイルス対策ソフトは必須ですが、ここで一点注意が必要です。ウイルス対策ソフトは「完全な盾」ではありません。
攻撃者は市販のセキュリティ製品を自ら購入して、検知を回避する手法を日々研究しています。実際に国内の著名企業でも「対策ソフトが存在したにもかかわらず侵害が成功した」事例は後を絶ちません。導入したから安心ではなく、「対策の一つ」として位置づけることが大切です。
第3条:パスワードを強化しよう
パスワードの使い回しと安易な設定は、攻撃者にとって「鍵のかかっていない扉」と同じです。10文字以上、大文字・小文字・数字・記号を組み合わせた推測されにくいパスワードを設定し、複数のサービスへの使い回しは絶対に避けてください。
というのも、多くの侵害事案の入口がパスワードの脆弱さにあるからです。パスワードマネージャー(パスワードを安全に一元管理する専用ツール)の導入も合わせて検討してみてください。
第4条:共有設定を見直そう
意外と見落とされがちなのが、ファイルサーバやクラウドストレージの共有設定です。テレワーク導入時に急ぎで設定した共有フォルダが、気づかないうちに社外からアクセスできる状態になっているケースがあります。「必要な人に、必要な範囲だけ」という原則を徹底し、定期的な棚卸しを習慣にしてください。
第5条:脅威や攻撃の手口を知ろう
IPAや警察庁などの公的機関が公開する最新の脅威情報を定期的に確認しましょう。フィッシングメールの手口やランサムウェアの侵入経路は日々進化しており、「知らない」こと自体が最大のリスクになります。情報収集そのものが立派な対策であり、コストをかけずに今日から始められることです。
第6条(今回新たに追加):バックアップを取ろう!
そして今回の改訂の目玉が、独立した条文として新設された「バックアップ」です。なぜバックアップがここまで重視されるようになったのか。次のセクションで実際のクライアント事例とともに解説します。
新第6条「バックアップ」が重要な理由
ランサムウェアに感染すると、社内の業務データがすべて暗号化されてアクセスできなくなります。攻撃者は「元に戻してほしければ身代金を払え」と要求してきます。このとき、バックアップがあるかどうかで被害の深刻さがまったく変わってきます。
私たちが支援しているクライアント企業の一社が、実際にランサムウェア被害に遭いました。そのお客様はクラウド環境でシステムを構築しており、日常的にバックアップを取得されていました。感染が判明した際は全員が青ざめましたが、クラウドのバックアップから業務システムを復旧するまでの時間は、当初の想定よりもはるかに短く済みました。
「バックアップがあったおかげで本当に助かった。こんなにスムーズに戻せるとは思っていなかった」というのが、そのお客様の率直な言葉です。
一方、バックアップがなかった場合を想像してみてください。業務停止が何週間にも及び、身代金の支払いを迫られる最悪の事態に陥っていたかもしれません。その意味で、バックアップは「万が一の保険」ではなく、ランサムウェア時代の「必須インフラ」と言えます。
ここで重要なのが、バックアップの「取り方」です。社内のサーバーと同じネットワーク上にバックアップを保存している場合、ランサムウェアがバックアップも一緒に暗号化してしまうリスクがあります。クラウド環境のバックアップ機能を活用すれば、本番環境から切り離した安全な場所にデータを保管でき、復旧時の検証環境もすぐに構築できます。これがクラウド環境のバックアップが持つ強みのひとつです。
バックアップで押さえるべきポイントは3つあります。①本番環境から切り離した場所に保管すること、②定期的に(最低でも週1回以上)取得すること、そして③定期的に「復元テスト」を実施して実際に戻せることを確認することです。「バックアップはあったはずなのに復元できなかった」というケースも珍しくありません。復旧テストまでやって初めて、本当の意味でのバックアップ対策と言えるのです。
第4.0版のその他の活用ポイントと今すぐのアクション
6か条以外にも、今回の改訂にはいくつかの重要な追加があります。
まず活用してほしいのが、「5分でできる!情報セキュリティ自社診断」です。現状の対策レベルをチェックリスト形式で手軽に確認できるツールで、今回の改訂で新たに「外部から内部ネットワークへの不要な通信を遮断しているか」「ウェブサイトを安全に運用しているか」の2項目が追加されました。特に前者は、社内のサーバーや機器がインターネットに直接さらされていないかを確認する重要なポイントです。「穴があいているかもしれないが、どこから手をつければいいかわからない」という方は、ここから始めてみてください。
また今回の版では、サプライチェーン対策の視点が明確に取り込まれています。
経済産業省が推進する「SCS評価制度(サプライチェーン強化に向けたセキュリティ対策評価制度)」の考え方に沿った内容となっており、大手企業との取引がある中小企業の情シス担当者の方は特に意識しておきたいポイントです。
さらに、セキュリティ人材の確保・育成に関する付録も新たに追加されました。「専任のセキュリティ担当者を置く余裕がない」という中小企業向けに、外部リソースの活用方法や実践的な取り組み事例が紹介されています。経営層にセキュリティ投資を説明する際の参考資料としても活用できる内容です。
ガイドライン第4.0版はIPA公式サイトから無料でダウンロードできます。まずは「6か条」のチェックリストを手元に置き、自社の現状と照らし合わせるところから始めてみてください。特にバックアップの整備がまだという方は、今日の業務終わりに一度、現状を確認してみることをお勧めします。
