デジタル変革(DX)を学ぶ

2026.06.03 07:00

更新!情報セキュリティ対策ガイドライン第4.0版
さらに実践的な内容に進化した中小企業が倣うべき体系的教科書

お気に入り記事に登録

 独立行政法人情報処理推進機構(以下、IPA)が公開している「中小企業の情報セキュリティ対策ガイドライン」が、2026年3月に従来の3.1版から“第4.0版”へとアップデートされました。

 同ガイドラインは、小企業の経営者や実務担当者が情報セキュリティ対策の必要性を理解し、自社の情報を安全に管理するための具体的な指針や手順などを示したもの。サイバーセキュリティなどに対する備えに体系的に取り組めていない中小企業が参考とすべき教科書的な存在です。

 年々、サイバー攻撃による被害規模が拡大している状況下、デジタルシフトやDXを安全に推進していくには情報セキュリティ対策が欠かせません。「DX with Security」ともいわれているように、中小企業といえどもセキュリティ対策への取り組みは必要であり、具体的にどう進めていくかを理解して実践するための指針として使うべきガイドラインなのです。

 特に、2026年度下期には経済産業省などが「サプライチェーン強化に向けたセキュリティ対策評価制度(以下、SCS評価制度)」の運用をスタートさせる方針を示しており、従来以上にセキュリティへの関心が高まっています。

 そうした中、同ガイドラインがアップデートされたわけです。改訂の背景と目的は、第3.1版が公開された2023年4月以降、サイバーセキュリティ対策を取り巻く環境が変化したことを受けて、内容を実情に合わせること。従来以上に実践的なガイドラインへと進化しました。

 具体的な背景としては、「ランサムウェア被害の深刻化」「サプライチェーン対策の重要性」「セキュリティ人材の不足」の三つが挙げられています。

 記憶にも新しい2025年後半の災害級のランサムウェア被害は情報漏えいだけでなく、事業活動の停止にまで拡大しました。その攻撃の端緒はサプライチェーンを介したものであり、自社のみならずサプライチェーンを構成する全体でのセキュリティ対策の推進が必要となってきています。とはいえ、中小企業では対策を推進する人材が著しく不足していることが課題視されています。

 こうした大きな変化を踏まえ、内容が見直されました。以下、最新の第4.0版では何が変わったのか――ガイドラインの全体を俯瞰しながら変更点とポイントについて解説していきましょう。

従来版から第4.0版への具体的な変更点

 第4.0版も、ガイドライン全体の基本構成は従来と同じです。本編は第1部の「経営者編」と第2部の「実践編」の二部構成で、これに「付録」を加えた大きく三つのカテゴリーから成り立っています。

ガイドライン第4.0版の全体構成(出典:「中小企業の情報セキュリティ対策ガイドライン 第4.0版(P5)」から抜粋)

 第1部の「経営者編」は、情報セキュリティについて、経営者が認識し自身の責任として考えるべき項目が解説されています。この経営者編では軸となる内容の更新はありません。

 「経営者が認識すべき“3原則”を理解し、“重要7項目”の取り組みを進める」ことが最も重要なポイントです。特に、実行すべき“重要7項目”は、どのように情報セキュリティ対策を進めていくかを解説した第2部の実践編とも深く関係しており、確実に理解しておくことが求められます。
 

認識すべき“3原則”
原則1:情報セキュリティ対策は経営者のリーダーシップで進める
原則2:委託先の情報セキュリティ対策まで考慮する
原則3:関係者とは常にセキュリティに関するコミュニケーションをとる
 
●実行すべき“重要7項目”
項目1:情報セキュリティに関する組織全体の対応方針を定める
項目2:情報セキュリティ対策のための予算や人材などを確保する
項目3:必要と考えられる対策を検討させて実行を指示する
項目4:情報セキュリティ対策に関する適宜の見直しを指示する
項目5:緊急時の対応や復旧のための体制を整備する
項目6:委託や外部サービス利用の際にはセキュリティに関する責任を明確にする
項目7:情報セキュリティに関する最新動向を収集する

 今回の更新で大幅に見直されたのは、第2部「実践編」と「付録」です。特に、実践編では従来の「情報セキュリティ5か条」に1項目追加されて6か条になるなど、中小企業の実態調査結果やSCS評価制度などを踏まえ、内容が全面的に刷新されました。

 また、付録とは情報セキュリティ対策を進めていくために必要なドキュメントのひな形やサンプル(情報セキュリティハンドブックや情報セキュリティ関連規定など)です。ひな型やサンプルをベースに自社に適した内容にカスタマイズすることで、情報セキュリティ対策向けのドキュメントを作成できるようになっており、利便性が高いツールといえます。

 第4.0版では、各付録の見直しと整理が行われました。新たに「中小企業のためのセキュリティ人材確保・育成の実践ガイドブック(付録1)」が追加されました。改訂の背景と目的でも言及したとおり、セキュリティ人材の不足は中小企業にとって大きな課題です。付録1では、セキュリティ対策に必要な役割の整理や組織内部における人材育成、外部専門家の活用方法などが示されています。

 「5分でできる!情報セキュリティ自社診断(付録3)」や「ハンドブック(付録4)」、「情報セキュリティ関連規定のサンプル(付録5)」は、全面改訂された実践編に合わせて見直しや整合性が取られています。付録6の「資産管理台帳のサンプル」も見直され、管理性が向上しました。

人材育成の他、「クラウドサービス安全利用の手引き」や「セキュリティインシデント対応の手引き」といった解説書、基本方針や関連規定を策定するためのひな形やサンプルなど。数々の付録は、本編同様にIPAのサイトからダウンロードできる

第4.0版の実践編~基本から全社展開~

 ここからは、アップデートされた第4.0版の「実践編」をもとに、どうセキュリティ対策を進めていくべきか、その流れについて改訂ポイントを押さえながら見ていきましょう。

 従来版では、情報セキュリティ対策の実践について4つのSTEPが示されていました。第4.0版も大枠は同様です。ただし、従来版では段階的に進めていくことにフォーカスされていましたが、改訂版では「企業の成熟度や目指すレベルなど、その立ち位置に合わせて取り組めるようになった」という点で、より実情に合わせて進めることが可能になったといえます。

セキュリティの成熟度や目指すレベルに応じて取り組むことが可能。ただし上位段階に取り組むには、前段階までの対策を講じていることが前提となる(出典:「中小企業の情報セキュリティ対策ガイドライン 第4.0版」のP6)
 
各STEPで取り組むべき概要と想定企業(出典:「中小企業の情報セキュリティ対策ガイドライン 第4.0版」のP7)

STEP 1:土台づくり(必要最低限の対策)

 業種や企業の規模などに関わらず、すべての企業において実施されるべき基本的な取り組みがSTEP 1です。必要最低限のセキュリティ対策としての土台づくりの段階といえます。

 具体的には、必ず実行すべき項目として、「情報セキュリティ6か条」が示されています。従来版では5項目でしたが、ランサムウェアなどによるデータ消失の被害が広がっていることから、新たにバックアップに関する項目が追加されました。

拡充され項目が増えた「情報セキュリティ6か条」(出典:「中小企業の情報セキュリティ対策ガイドライン 第4.0版」をもとに編集部にて作成)

 この情報セキュリティ6か条は、「SECURITY ACTION(セキュリティ・アクション)」制度の「一つ星(★1)」自己宣言の要件ともなっています。同制度は、中小企業が情報セキュリティ対策に取り組むことを自己宣言する制度で、取り組み段階に応じてロゴマークを無料で使用でき、対外的なPRや顧客・取引先との信頼関係構築に役立ちます。

 準拠すべき要件が更新されたことで、新たに自己宣言する場合はもちろん、すでに自己宣言している企業も、改訂された6か条の内容に則した取り組みが求められます。

STEP 2:自社の弱み把握と基本的対策(組織的な取り組みの開始)

 情報セキュリティ対策を、「個人的な努力(主にSTEP 1)」から「組織的な対策」へと引き上げる取り組みがSTEP 2です。前述のSECURITY ACTIONにおける「二つ星(★2)」自己宣言には、ここで実行すべき対策が要件となります。

 取り組むべき大枠は従来版通りであり、「情報セキュリティ基本方針の作成と周知」「実施状況の把握」「対策の決定と周知」という構成です。

(1)情報セキュリティ基本方針の作成と周知
 経営者が規定した情報セキュリティの基本方針を、社内に知らせる取り組みです。「情報セキュリティ基本方針のサンプル(付録2)」を活用してドキュメントを作成し、従業員が従うべき指針や関係者への方針表明として周知します。

(2)実施状況の把握
 基本方針が定まったら、次に実施状況の把握です。「5分でできる!情報セキュリティ自社診断(付録3)」を利用して自社セキュリティの現状を把握します。質問項目は25項目と変更ありませんが、項目内容は実効性を高めるためにSTEP 2の更新に合わせて改訂されています。

(3)対策の決定と周知
 上記の結果を踏まえ、自社診断の解説編を参考に自社にとっての情報セキュリティ対策を検討します。対策が決定したら、「情報セキュリティハンドブックのひな形(付録4)」を活用して社内ルール化し、従業員が実行すべきものとして全社に周知します。

第4.0版の実践編~本格展開、より強固に~

 STEP 1とSTEP 2で組織的なセキュリティ対策への取り組み体制が整ったら、あるいはすでに整備済みであれば、組織的体制の強化と具体的なセキュリティポリシー(組織における情報セキュリティ対策の方針や行動指針)などにもとづいた防御対策に取り組みます。特に、以降の実践はSCS評価制度における「三つ星(★3)」や「四つ星(★4)」とも関連してくるだけに、サプライチェーンに関わる中小企業にとっては、取り組むべき対策といえるでしょう。

STEP 3:組織的な取組強化と防御対策(本格的な取り組み)

 情報セキュリティ対策に関する管理体制(担当者の任命など)を整備し、組織的な体制を強化する段階がSTEP 3です。

 自社組織にとってのリスク(事故発生時に事業へ損害を与える危険性)を考えて、懸念される重大事故や関連業務などを踏まえながら、ビジネスに損害を与える事故を防ぐ対策を決定し、具体的な情報セキュリティ対策の規定を作成していきます。

 また、必要に応じて外部専門家の知見を活用しながら、資産管理や技術的な防御策としてID管理やバックアップ運用、ネットワーク分離などの導入を検討し実装します。

 第4.0版では従来から大きく見直され、取り組むべき具体的なアクションとして「情報セキュリティ基本方針の作成」や「情報セキュリティ対策の規定の作成」、「攻撃等の検知」など10項目が示されています。

(1)情報セキュリティ基本方針の作成
 責任の所在や行動指針を明確にして、組織全体で一貫したセキュリティ対策を推進するために不可欠な基本方針を作成します。

(2)体制の整備
 リスク管理体制(セキュリティ担当設置/定期的な経営層への報告/社内ルールの策定・周知/他)を構築します。対策に必要な人材確保などでは、「中小企業のためのセキュリティ人材確保・育成の実践ガイドブック(付録1)」が役立ちます。

(3)情報セキュリティ規定の策定
 組織や担当者の経験と判断によってリスクを分析し、自社に必要なセキュリティ対策を追加しながら情報セキュリティの規定を作成。すべてのリスクに対応することは高コストや仕事の非効率につながる場合もあり、リスクの大小を検討し重大度の高いリスクを優先した対策がポイントです。また、規定の作成にあたっては、「情報セキュリティ関連規定のサンプル(付録5)」を活用します。

(4)資産管理
 情報漏えいや不正アクセスなどのリスクを最小化するため、自社のIT基盤や資産といったデジタルリソースの現状把握、情報の分類・保護を実施します。

(5)攻撃等の防御
 資産や情報をサイバー攻撃などの脅威から保護するための防御策を実施します。ツールやソリューションなどの導入、従業員の教育など総合的に対策し、攻撃や事故などのリスクを最小化します。

(6)攻撃等の検知
 被害の拡大防止や迅速なリスク対応を実現するため、システムやネットワーク、機器を継続的に監視・分析し、異常やサイバー攻撃の予兆を早期に発見する仕組みを導入します。

(7)点検と改善
 情報セキュリティ対策が機能しているかどうかを点検し、その結果を経営者に報告する体制を整えます。経営者の意図どおりに実現されているかどうかの確認と評価により、必要に応じて対策を見直します。

(8)インシデント対応体制等の整備
 セキュリティ事故が発生した場合の対応手順や復旧手順を整備します。業務中断や個人情報の不正利用、社会的な信用失墜といった深刻な影響を回避することが目的です。ここでは、「中小企業のためのセキュリティインシデント対応の手引き(付録8)」が参考となります。

(9)取引先/外部情報サービスの管理
 取引先とのルール設定やセキュリティ対策状況の把握、機密性の高いデータを扱うクラウド環境などの外部サービスの利用状況や安全性を把握し、セキュリティのリスク低減に取り組みます。

(10)情報収集と共有
 セキュリティの脅威やサイバー攻撃の手口に関する情報を知り社内で共有することで、組織のセキュリティ対策レベルを向上させます。社内だけでなく、社外関係者とも共有し、社会全体でセキュリティレベルを向上させることも推奨されています。

STEP 4:高度で広範囲な技術的・包括的な取組(対策を強固にする方策)

 STEP 1からSTEP 3までは多様な脅威に備えるための汎用的な対策といえますが、STEP 4は特定のリスクに対して高度なテクノロジーと包括的な視点でセキュリティ対策を講じる最高レベルの段階です。

 情報資産ごとに「資産価値」「脅威」「脆弱性」を識別して対策する資産ベースのリスク分析により固有のリスクを特定し、その結果に基づいてEDR(エンドポイント端末での検知と対応)やログ管理といったツールやソリューションを導入して技術的な対策の強化を図り、包括的なセキュリティ管理を実施します。

 ここでも、STEP 3と同様、必要に応じて外部専門家の知見を活用しながら取り組みを進めます。

 具体的なアクションについて、従来版では八つの項目から解説されていましたが、改訂により第4.0版では見直しを通じて7項目構成に。変化する脅威に対して、必要な対策を適時実施することが重要としています。

STEP 4で取り組むべき7項目の具体的なアクション(出典:「中小企業の情報セキュリティ対策ガイドライン 第4.0版」のP42以降をもとに編集部で作成)

 以上、中小企業の情報セキュリティ対策ガイドライン第4.0版の全体像を確認しながら、変更点について解説しました。ここまで見てきたとおり、大きな改訂は「情報セキュリティ6か条」、実践編のSTEP 3/STEP 4と、それに伴う付録の見直しです。

 ある意味、STEP 3/STEP 4の改訂により、対策への取り組み難易度はやや上がったようにも見えます。とはいえ、これは巧妙化するサイバー攻撃やサプライチェーン被害の増加を鑑みれば必然的ともいえるでしょう。今後、さらにデジタルシフトやDXが進み、SCS評価制度の運用が開始されれば、情報セキュリティ対策に取り組んでいるかどうかがビジネスの命運を左右しかねません。

 実践的なガイドラインへとアップデートされた第4.0版を用いて、早期に情報セキュリティ対策に着手しレベルを向上させていくべきではないでしょうか。
 

ここがポイント!
●IPA公開の「中小企業の情報セキュリティ対策ガイドライン」が改訂により第4.0版にアップデート。
●セキュリティを取り巻く環境変化や中小企業の実情に合わせて、従来よりも実践的な取り組みへと進化。
●基本的な情報セキュリティ対策にデータバックアップが追加され「6か条」に拡充。
●本編の「第2部 実践編」は全面改訂。それに伴い「付録」も見直され、利便性や参考度が向上。
1

関連記事

2026年度運用開始、「セキュリティ対策評価制度」とは 中小企業セキュリティの第一歩! SECURITY ACTION宣言 刷新!セキュリティ対策自己宣言「SECURITY ACTION」

外部リンク

IPAの「中小企業の情報セキュリティ対策ガイドライン」 SECURITY ACTION公式サイト
一覧へもどる

BCN WEB会員は登録無料で情報満載!

無料会員のメリット

- Merit 1 -

企業向けIT活用事例情報のPDFデータをダウンロードし放題!

- Merit 2 -

本サイト「中小企業×DX」をはじめ、BCNのWEBメディア(「週刊BCN+」「BCN+R」など)の会員限定記事が読み放題!

- Merit 3 -

メールマガジンを毎日配信(土日祝を除く)※設定で変更可能

- Merit 4 -

イベント・セミナー情報の告知が可能!自社イベント・セミナーを無料でPRできる

- Merit 5 -

企業向けIT製品の活用事例の掲載が可能!自社製品の活用事例を無料でPRできる

登録時間 約1分
新規会員登録

無料会員登録で自社製品の事例をPR!

企業向けIT製品の活用(導入)事例情報を無料で登録可能!

「事例登録の流れ」はこちら

新規で会員登録される方は会員登録ページ、(すでに会員の方は、会員情報変更ページ)より、会員登録フォーム内の「ITベンダー登録」欄で「申請する」にチェックを入れてください。

未会員の方はこちら

登録時間 約1分
新規会員登録

会員特典 自社主催のセミナーをPRできる!

セミナー情報登録

デジタル活用・DX推進関連のセミナー・イベントを無料で告知することができます! 「中小企業×DX」が、貴社セミナー・イベントの集客をサポートします。

新規会員登録はこちら