ガイドライン第4.0版の概要
IPA(独立行政法人 情報処理推進機構)は2026年3月27日、「中小企業の情報セキュリティ対策ガイドライン」の第4.0版を公開しました。前版の第3.1版(2023年4月公開)から約3年ぶりの改訂です。
改訂の背景には、ランサムウェア被害の深刻化(単なる情報漏洩にとどまらず事業停止にまで影響が拡大)、サプライチェーンを介したサイバー攻撃の増加、そして中小企業におけるセキュリティ人材の著しい不足があります。
基本的な構成(経営者編+実践編+付録)は維持しつつ、最新の脅威環境を反映した実践的な対策が強化されています。
第3.1版→第4.0版 主な変更点の比較
| 項目 | 第3.1版(2023年4月) | 第4.0版(2026年3月) |
|---|---|---|
| 基本項目 | 情報セキュリティ5か条 | 情報セキュリティ6か条(「バックアップを取ろう!」追加) |
| 自社診断 | 25項目 | 「外部からの不要な通信遮断」「ウェブサイトの安全運用」を新規追加 |
| SCS評価制度 | 未対応(制度が未整備) | STEP3にSCS★3(25項目)・★4(44項目)の要求事項に対応する対策指針を新設 |
| 人材育成 | 記載なし | 付録「中小企業のための人材確保・育成の実践ガイドブック」を新設 |
| 規程類サンプル | 基本的なサンプル提供 | SCS評価制度に対応する形で拡充 |
| ランサムウェア対策 | 一般的な記述 | バックアップの6か条への昇格、事業継続の観点を強化 |
| サプライチェーン | 言及あり | SCS評価制度との連携でセキュリティ水準の可視化を支援 |
情報セキュリティ6か条(5か条からの変更)
第4.0版の最も分かりやすい変更点が、5か条→6か条への拡充です。
| # | 項目 | 内容 | 変更 |
|---|---|---|---|
| 1 | OSやソフトウェアは常に最新の状態にしよう! | Windows Update、アプリのアップデート、修正パッチの適用 | 継続 |
| 2 | ウイルス対策ソフトを導入しよう! | ウイルス定義ファイルの自動更新設定 | 継続 |
| 3 | パスワードを強化しよう! | 10文字以上、大小英字・数字・記号を含める、使い回さない | 継続 |
| 4 | 共有設定を見直そう! | クラウドサービスやNASの共有範囲制限、異動時の設定変更 | 継続 |
| 5 | バックアップを取ろう! | 定期的なバックアップの実施、復元テストの確認 | 新規追加 |
| 6 | 脅威や攻撃の手口を知ろう! | セキュリティ機関の情報把握と社内共有 | 継続(旧5条→6条に変更) |
近年のランサムウェア攻撃では、データの暗号化により事業活動そのものが停止するケースが急増しています。IPAはバックアップを「被害を最小化するための最も基本的かつ重要な対策」と位置づけ、全中小企業が最初に取り組むべき項目として6か条に組み込みました。
4つのSTEPとSCS評価制度の対応
実践編のSTEP構成は維持されていますが、第4.0版ではSCS評価制度(セキュリティ対策評価制度)との対応関係が明確化されました。
| STEP | 内容 | 対応する認定・評価 |
|---|---|---|
| STEP 1 | まず始める(情報セキュリティ6か条の実践) | SECURITY ACTION ★一つ星 |
| STEP 2 | 組織的な取り組みを開始する(自社診断+基本方針策定) | SECURITY ACTION ★★二つ星 |
| STEP 3 | 本格的に取り組む(リスク分析+管理体制構築) | SCS評価 ★3(25項目)・★4(44項目)取得準備 |
| STEP 4 | より強固にする(PDCAサイクルの確立) | SCS評価 ★4以上・ISMS認証への橋渡し |
STEP 3で新たに追加されたSCS評価制度の要求事項への対応は、今後サプライチェーンの取引条件としてセキュリティ評価が求められる中小企業にとって、特に重要な変更です。
自社診断の拡充
「5分でできる!情報セキュリティ自社診断」に以下の2項目が新規追加されました。
| 新規項目 | 背景 | 具体的な対策例 |
|---|---|---|
| 外部からの不要な通信の遮断 | VPN装置の脆弱性を突いたランサムウェア攻撃が急増 | UTM/ファイアウォールの設定見直し、不要なポートの閉鎖、VPN装置のファームウェア更新 |
| ウェブサイトの安全な運用 | CMSの脆弱性を突いた改ざん・マルウェア配布の増加 | CMSのアップデート、管理画面のアクセス制限、WAFの導入、SSL/TLS証明書の管理 |
新付録:人材確保・育成の実践ガイドブック
第4.0版の目玉の一つが、付録として新設された「中小企業のための人材確保・育成の実践ガイドブック」です。2025年5月に公表された「中堅・中小企業が実施するセキュリティ対策に応じた人材確保・育成の実践的方策ガイドβ版」を踏まえた内容で、以下をカバーしています。
- 人材確保の方策:社内育成、外部委託(アウトソーシング)、兼任体制のメリット・デメリット
- 育成のステップ:経営層のコミットメント→担当者の選任→教育・研修→OJT→資格取得支援
- 取組事例:中小企業のセキュリティ人材育成の具体的な成功事例
- 外部リソースの活用:IPA「お助け隊サービス」、JPCERT/CC、警察サイバー相談窓口等の紹介
サプライチェーン・SCS評価制度との連携
経済産業省と内閣官房が推進する「サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)」の基本的な考え方がガイドラインに組み込まれました。
- SCS ★3:25項目の基本的なセキュリティ対策(中小企業の最低基準)
- SCS ★4:44項目の発展的なセキュリティ対策
- 規程類サンプルの拡充:SCS評価制度の要求事項に対応するセキュリティポリシー・運用規程のサンプルが提供
取引先から「SCS ★3を取得してほしい」と求められる前に、ガイドラインに沿って対策を進めておくことが重要です。
中小企業が今すぐ取るべきアクション
- 6か条の確認:新たに追加された「バックアップを取ろう!」を含む6か条が実践できているか確認
- 自社診断の実施:新しい自社診断ツールで現状を把握。特に「不要な通信の遮断」「ウェブサイトの安全運用」を確認
- バックアップの見直し:3-2-1ルール(3つのコピー、2種類のメディア、1つはオフサイト)で運用しているか確認。復元テストも定期的に実施
- SECURITY ACTION宣言:まだ宣言していない場合は★一つ星(6か条の実践)を宣言。IT導入補助金の申請要件にもなる
- SCS ★3の準備:取引先からの要請に備え、25項目の対策状況を確認。ガイドラインSTEP 3の規程類サンプルを活用
- 人材確保・育成の検討:新付録を参考に、自社のセキュリティ人材の育成計画またはアウトソーシング先を検討
Microsoft 365での実装例
6か条の多くはMicrosoft 365の標準機能で対応可能です。
| 6か条 | M365での対応 |
|---|---|
| OSを最新に | Intune更新リングでWindows Updateを一元管理 |
| ウイルス対策 | Microsoft Defender for Business(Business Premiumに含まれる) |
| パスワード強化 | Entra IDのパスワードポリシー+MFA必須化 |
| 共有設定見直し | SharePoint/OneDriveの外部共有ポリシー設定 |
| バックアップ | Microsoft 365 Backup(2024年GA)で自動バックアップ |
| 脅威を知る | Microsoft Defender脅威レポート、Secure Score活用 |
まとめ
第4.0版の改訂は「5か条→6か条」というシンプルな変更に見えますが、その本質はランサムウェア対策の強化とSCS評価制度への対応にあります。特にSCS評価制度は今後、サプライチェーンの取引条件として普及が見込まれるため、中小企業は早めの対応が重要です。
ガイドラインはIPAのウェブサイトから無料でダウンロードでき、規程類サンプルやひな型もそのまま活用できます。まずは6か条の実践から始め、段階的にSTEP 2→3→4へとセキュリティレベルを引き上げていきましょう。