Link T&B 編集部
IPAガイドラインは第4.0版に更新された
中小企業がまず参照すべき基準は、IPAの「中小企業の情報セキュリティ対策ガイドライン」です。第4.0版は2026年3月27日に公開され、従来の「5か条」に「バックアップを取ろう!」が加わって「6か条」になりました。あわせて「5分でできる!情報セキュリティ自社診断」には、外部から内部ネットワークへの不要な通信の遮断や、ウェブサイトの安全運用に関する観点が追加され、SCS評価制度の考え方や人材確保・育成の付録も盛り込まれています。つまり最新版は、単なる啓発資料ではなく、「何をどこまでやるか」を段階的に決めやすい実務書に進化しています。(出典: IPA「プレス発表『中小企業の情報セキュリティ対策ガイドライン』第4.0版を公開」、IPA「中小企業の情報セキュリティ対策ガイドライン」)
VPN機器は依然として重要な侵入口
「VPN機器が感染経路の63%」という表現を見かけますが、警察庁が公表している詳細値では、有効回答102件のうち63件がVPN機器経由で、割合は62%です。加えて、警察庁の2024年公表資料では、不正アクセス事案206件の原因の23.3%が「古いバージョンの利用や修正プログラム・必要なプラグイン等の未導入」でした。2025年の警察庁注意喚起でも、VPN機器等のソフトウェア更新と強固なパスワードの確保が繰り返し求められています。更新の後回しは、最も避けたい入口を自分で残す行為だと考えるべきです。(出典: 警察庁「令和5年警察白書」、警察庁「サイバー警察局便りR7Vol.4」、警察庁「令和6年3月14日公表資料」)
サプライチェーンの弱点にならないことが取引条件になる
IPAの2024年度調査では、1割強の企業が取引先から情報セキュリティ対策の要請を受けています。また、セキュリティ体制を整備している企業の約6割、第三者認証を取得している企業の約7割が「取引につながった」と回答しました。IPAの「情報セキュリティ10大脅威 2026」でも、「サプライチェーンや委託先を狙った攻撃」は組織向け脅威の2位です。中小企業の対策不足は、自社だけの問題ではなく、取引停止や受注機会の損失につながる経営課題になっています。(出典: IPA「2024年度 中小企業における情報セキュリティ対策に関する実態調査」、IPA「情報セキュリティ10大脅威 2026」)
中小企業が取るべき実践策
最初の一歩はSECURITY ACTION
何から始めるか迷うなら、IPAのSECURITY ACTIONが実用的です。★一つ星は「情報セキュリティ6か条」にこれから取り組む宣言で、対策実施前でも申し込めます。★★二つ星は、25項目の「5分でできる!情報セキュリティ自社診断」を行い、情報セキュリティ基本方針を作成して外部公開したうえで取り組む宣言です。まず一つ星で着手し、社内ルールと対外説明が整ったら二つ星へ進む流れが、初学者の会社には無理がありません。(出典: IPA「SECURITY ACTION『一つ星』」「SECURITY ACTION『二つ星』」)
IPAの第4.0版は、実践編を4つのSTEPで整理しています。以下はその考え方を参考に、中小企業が使いやすいよう3段階に要約した対策表です。(出典: IPA「中小企業の情報セキュリティ対策ガイドライン 第4.0版」)
| レベル | 主な対策 | ねらい |
|---|---|---|
| 初級 | パスワード管理(使い回し禁止、長文化、できればMFA)、OS・ソフトの更新、オフラインを含むバックアップ | 侵入されにくくし、侵入されても業務停止を短くする |
| 中級 | UTM(通信をまとめて監視・制御する機器)の導入、ログ監視、情報セキュリティ基本方針・規程整備、ISMS(情報セキュリティ管理の仕組み)準備 | 担当者依存を減らし、取引先説明と継続運用をしやすくする |
| 上級 | SOC(監視センター。外部委託も可)の活用、ペネトレーションテスト(擬似攻撃で弱点を洗い出す検査)、インシデント対応計画と訓練 | 復旧時間を短縮し、重要顧客や監査への説明責任に備える |
ポイントは、いきなり高価な製品から入らないことです。初級の3点だけでも、警察庁が繰り返し注意喚起している「更新不足」「認証の弱さ」「復旧不能」の主要リスクをかなり減らせます。兼任担当者の会社は、中級でログの見方と報告先を決めるだけでも、被害の見逃しや初動遅れを大きく減らせます。(出典: 警察庁「サイバー警察局便りR7Vol.4」、IPA「中小企業の情報セキュリティ対策ガイドライン 第4.0版」)
補助金・支援制度は「人手不足の穴埋め」に使う
最新の公的支援では、中小企業庁が2026年3月10日に「デジタル化・AI導入補助金2026」の公募要領を公開しました。これは旧IT導入補助金の後継で、AIを含むITツールの導入を支援する制度です。中小企業庁の案内では、補助額は最大450万円、補助率は1/2〜4/5で、セキュリティ対策推進枠も用意されています。まずは「守るための運用」を外部の力で補う費用として検討するのが現実的です。(出典: 中小企業庁「デジタル化・AI導入補助金2026の公募要領を公開しました」、中小企業庁「デジタル化・AI導入補助金2026 概要」)
人材が足りない企業には、IPAの「サイバーセキュリティお助け隊サービス」も有力です。ネットワーク監視、端末監視、その併用を選べるワンパッケージ型で、UTMやEDRのような監視機能をまとめて利用できます。また、IPAの企業組織向けサイバーセキュリティ相談窓口では、インシデント発生時の初動相談、必要な応急処置、専門業者や報告先の案内を受けられます。人を増やせない会社ほど、外部支援を前提に設計した方が早く安全になります。(出典: IPA「サイバーセキュリティお助け隊サービス」、IPA「サイバーセキュリティ相談・届出窓口一覧」)
まとめ
中小企業のセキュリティ対策は、難しい技術よりも「基本を止めずに回すこと」が出発点です。最新版のIPAガイドライン第4.0版は、バックアップを含む6か条、段階的なSTEP、ひな形や自社診断までそろっており、最初の一歩を踏み出しやすくなりました。まずはSECURITY ACTIONを宣言し、パスワード・更新・バックアップ・報告先の4点を固めること。そこまでできれば、次にUTM、ログ監視、規程整備へと無理なく進めます。セキュリティはコストではなく、取引継続と信頼維持の土台です。(出典: IPA「中小企業の情報セキュリティ対策ガイドライン 第4.0版」、IPA「SECURITY ACTION『一つ星』」)
無料診断のご案内
自社の対策レベルがどこにあるか分からない場合は、まず現状把握から始めるのが近道です。セキュリティ無料診断で課題を可視化し、優先順位を整理しませんか。ご相談はお問い合わせフォームから受け付けています。