2026年3月27日、IPA(独立行政法人 情報処理推進機構)が「中小企業の情報セキュリティ対策ガイドライン」第4.0版を公開しました。最大のポイントは、基本対策の合言葉「情報セキュリティ5か条」に「バックアップを取ろう!」を加えて『6か条』に拡充したことです。自社のセキュリティの土台を見直す良い機会であり、取引先からの要求(サプライチェーン対策)にも関わる内容です。
この記事でわかること
- 第4.0版で何が変わったのか(主な改訂点)
- 情シス担当者が押さえるべきポイント
- ガイドラインの入手先と使い方
第4.0版での主な改訂点
今回の改訂は、最近の脅威動向(特にランサムウェアとサプライチェーン)を反映した内容です。主な変更は次のとおりです。
- 「情報セキュリティ5か条」→「6か条」へ:合言葉に「バックアップを取ろう!」を追加。
- 自社診断の項目を追加:「外部から内部ネットワークへの不要な通信を遮断する」「ウェブサイトを安全に運用する」などを新規追加。
- サプライチェーン対策の反映:取引関係を通じた対策評価の考え方を取り込み。
- ランサムウェア対策の記載を拡充。
- 新付録:「中小企業のための人材確保・育成の実践ガイドブック」を追加。
情シス担当者が押さえるべきポイント
注目は「サプライチェーン」と「6か条」です。自社が大企業の取引先である場合、近年は取引先からセキュリティ対策状況の提出を求められる場面が増えています。ガイドラインに沿って自社の状況を整理しておけば、こうした要求にも答えやすくなります。また、6か条はそのまま社内教育・啓発の教材として使えるシンプルさが利点です。難しい言葉を並べるより、まずこの6か条を全社で徹底するほうが効果的です。
現場目線:「読んで終わり」にしないために
この手のガイドラインは、ダウンロードして満足してしまいがちです。70ページ前後あり、最初から通読しようとすると挫折します。おすすめは、付録の「5分でできる!情報セキュリティ自社診断」から始めることです。まず現状を点数化し、弱いところから手を付ける——この順番なら、限られた時間でも前に進められます。完璧な計画より、診断という小さな一歩のほうが現場では機能します。
入手先
- IPA 中小企業の情報セキュリティ対策ガイドライン(本編・付録一式):本編と各種付録(自社診断ツール、規程サンプル、資産管理台帳など)が無償で入手できます。
まとめ
- 第4.0版の目玉は「5か条→6か条」(バックアップを取ろう!を追加)。
- サプライチェーン対策の考え方が反映。取引先からの要求対応にも使える。
- まずは自社診断ツールで現状把握。「読んで終わり」にしないことが肝心。
出典
- IPA プレスリリース「『中小企業の情報セキュリティ対策ガイドライン』第4.0版を公開」 https://www.ipa.go.jp/pressrelease/2025/press20260327.html
コメント