一度セキュリティ対策を整えたあと、見直すタイミングがないまま来ている企業は少なくありません。担当者が本業と兼務している状況では、なおさらです。
大企業や官公庁との取引にあたってセキュリティ対策の証明を求められた、あるいはセキュリティチェックシートへの回答を迫られたことで、初めてガイドラインを調べ直したという企業も増えています。取引先からチェックシートが届いたときの基本的な対応の流れについては、こちらの記事もあわせてご参照ください。
独立行政法人 情報処理推進機構(IPA)が公開している「中小企業の情報セキュリティ対策ガイドライン」が、3年ぶりに改定され第4.0版になりました。これまで中小企業のセキュリティ対策の出発点として広く参照されてきた情報セキュリティ5か条が、6か条に変わっています。
この記事では、今回の改訂で何が変わったか、特に新たに加わったバックアップ対策とSCS評価制度の概要を整理します。個人情報保護法の安全管理措置との関連性も含め、中小企業として今確認しておくべきポイントをお伝えします。
今回の改訂で何が変わったか
第3.0版から4.0版への主な変更点
今回の改訂は、ここ数年でセキュリティを取り巻く環境が大きく変化したことへの対応として行われています。特に影響が大きかったのは、ランサムウェア被害の深刻化、業務でのクラウド利用の普及、そしてサプライチェーンを経由した攻撃の顕在化という三つの変化です。
IPAが毎年公開している「情報セキュリティ10大脅威」では、ランサムウェアによる被害が組織向け脅威の上位に複数年にわたって挙げられ続けています。また、大企業を直接狙うのではなく、セキュリティ対策が手薄になりやすい取引先の中小企業を経由してシステムに侵入するサプライチェーン攻撃も増加傾向にあります。こうしたサプライチェーンを経由した攻撃の実態については、こちらの記事で詳しく整理しています。
参考として、2026年版の組織向け10大脅威は以下のとおりです。
| 順位 | 脅威 | 初選出年 |
|---|---|---|
| 1 | ランサム攻撃による被害 | 2016年 |
| 2 | サプライチェーンや委託先を狙った攻撃 | 2019年 |
| 3 | AIの利用をめぐるサイバーリスク(※初選出) | 2026年 |
| 4 | システムの脆弱性を悪用した攻撃 | 2016年 |
| 5 | 機密情報を狙った標的型攻撃 | 2016年 |
| 6 | 地政学的リスクに起因するサイバー攻撃(情報戦を含む) | 2025年 |
| 7 | 内部不正による情報漏えい等 | 2016年 |
| 8 | リモートワーク等の環境や仕組みを狙った攻撃 | 2021年 |
| 9 | DDoS攻撃(分散型サービス妨害攻撃) | 2016年 |
| 10 | ビジネスメール詐欺 | 2018年 |
今回の改訂は、形式的な更新ではなく、被害が実際に増加している現状を踏まえた実態対応として理解しておく必要があります。
5か条から6か条への変更の概要
第3.0版まで中小企業の対策基準として広く知られていた情報セキュリティ5か条は、OSやソフトウェアを最新の状態に保つこと、ウイルス対策ソフトを導入すること、パスワードを強化すること、共有設定を見直すこと、そして脅威や攻撃の手口を知ることの5項目で構成されていました。
第4.0版ではこれらを継承しつつ、新たに「重要データのバックアップ」が独立した対策項目として加わりました。「すでに5か条は対応済み」という企業にとっても、追加の確認が必要になる理由はこの点にあります。5か条が不十分だったということではなく、脅威環境の変化に合わせて対策の基準が見直されたと捉えるのが適切です。
また、今回の第4.0版への改訂は、経済産業省および内閣官房国家サイバー統括室が検討を進めている「サプライチェーン強化に向けたセキュリティ対策評価制度」(SCS評価制度)の考え方を踏まえた内容となっています。詳しくは後述しますが、セキュリティ対策の取り組み状況を外部に示すための手段として位置づけられています。
6つ目に追加された「バックアップ」の意味
なぜバックアップが独立した対策項目になったか
バックアップは、セキュリティ対策の中でも「すでにやっている」と答える企業が多い項目のひとつです。しかし今回、独立した対策項目として明示されたのには理由があります。
ランサムウェアによる被害では、攻撃者がシステム内のファイルを暗号化するだけでなく、同じネットワーク上にあるバックアップデータも同時に暗号化・削除するケースが増えています。「バックアップは取っていたが、復旧できなかった」という事例が現実に積み重なっているわけです。
ここで重要なのは、バックアップを取ること(手段の有無)と、バックアップが機能すること(復旧可能な状態の維持)は、別の問題だという点です。設定だけして一度も復元テストをしていない状態では、実際にインシデントが起きたときに役立たない可能性があります。この区別が、今回バックアップが独立した項目として明示された背景といえます。
中小企業がおさえておくべきバックアップの要件
IPAのガイドラインでは、バックアップについていくつかの要件が示されています。ポイントとなるのは、オフライン環境での保管、世代管理、そして復旧テストの実施です。
よくある誤解のひとつが、クラウドストレージへの自動同期をバックアップと同一視するケースです。クラウドへの同期は、端末の紛失や誤削除に対しては有効ですが、ランサムウェアによる暗号化が発生した場合、同期先のデータも暗号化済みのファイルで上書きされます。
ただし、OneDriveやDropboxなど主要なクラウドサービスにはバージョン履歴機能があり、一定期間内であれば暗号化前の状態に戻すことが可能です。クラウド同期をバックアップとして頼る場合は、利用しているサービスのバージョン履歴の保持期間を事前に確認しておくことが重要です。
実務的な考え方として参考になるのが、「3-2-1ルール」と呼ばれる方法です。3つのコピーを、2種類の異なる媒体に保存し、そのうち1つはオフサイト(社外や別のネットワーク環境)に保管するというものです。中小企業にとってすべてを完璧に整備するのは容易ではありませんが、インターネットから切り離したバックアップを少なくとも1つ持つことが、ランサムウェア対策としての現実的な起点になります。
自社のバックアップは機能する状態か
以下のチェックポイントで、自社のバックアップの現状を確認してみてください。
- バックアップは定期的に自動取得されているか、また取得後に正常完了を確認しているか
- バックアップデータはインターネットやメインのシステムから切り離した場所に保管されているか
- 複数の時点のデータが保存されているか(世代管理ができているか)
- バックアップからの実際の復元を、一度でも試したことがあるか
「設定した」という事実が対応済みの認識に固まりやすいのが、中小企業のバックアップ管理の実態です。担当者が本業と兼務している状況では、設定後に見直す機会を確保すること自体が難しいこともあります。しかし、復元テストを一度も行っていないバックアップは、実際のインシデント時に機能しないおそれがあり、リスクの観点ではバックアップがない状態に近い場合もあります。
SCS評価制度の意味と活用
SCS評価制度の概要と位置づけ
既存のSECURITY ACTIONが中小企業の自己宣言型の取り組みとして広く知られていますが、SCS評価制度はそれとは異なる位置づけで検討されています。SECURITY ACTIONの一つ星・二つ星の違いと選び方については、こちらの記事で整理しています。
この制度が生まれた背景には、「取引先ごとにバラバラなセキュリティチェックシートが届き、対応に追われている」という中小企業の実態があります。SCS評価制度は、★マークを取得することで自社のセキュリティ対策状況を共通の基準で可視化し、発注元への説明や取引先からの要求への対応を効率化することを目的としています。
評価は段階別に設計されており、★1・★2は既存のSECURITY ACTIONに相当します。
新たに設けられる★3(Basic)はセキュリティ専門家による確認を経た自己評価で有効期間1年、★4(Standard)は第三者機関による審査で有効期間3年という構造です。
★3は基礎的な組織対策とシステム防御(83項目)、★4はインシデント対応や取引先管理を含む包括的な対策(157項目)が求められます。
(※最もハイレベルな★5については令和8年度以降検討予定)
なお、本制度は令和8年度下期の運用開始を目指して準備が進められており、記事執筆時点では制度構築方針(案)が公表されたところです。詳細な評価基準や申請手続きについては、今後経済産業省・IPAから情報が公開され次第ご案内いたします。
取引先への証明・チェックシート対応での活用可能性
大企業や官公庁との取引時に求められるセキュリティチェックシートでは、「情報セキュリティに関する認証・取り組みの有無」を問う設問が設けられていることがあります。ISMSやプライバシーマークを取得していない場合、「認証なし」としか記載できない状況が続いている企業も少なくありません。
SCS評価制度への参加実績は、こうした場面での回答の根拠として活用できる可能性があります。ISMSやプライバシーマークの取得には相応のコストと期間が必要ですが、SCS評価制度はそれらの取得前の段階として現実的な入口になりえます。あくまで「活用できる可能性がある」という段階であり、すべてのチェックシートで有効に機能するとは限らない点は留意が必要です。
個人情報漏洩が発生したとき、安全管理措置の証明として機能するか
ここは、セキュリティ対策の整備を「取引先への証明」という観点だけでなく、別の視点から捉え直してほしいポイントです。
個人情報保護法は、個人情報を取り扱う事業者に対して安全管理措置を義務づけています(法23条)。ただし、何をどこまでやれば義務を果たしたことになるかの具体的な基準は、事業者の規模や取り扱う情報の性質によって異なります。
問題が表面化するのは、多くの場合、情報漏洩等のインシデントが発生し、個人情報保護委員会への報告対応が求められる場面です。その際に「どのような安全管理措置を講じていたか」を説明する根拠として、IPAのガイドラインに基づく対応状況やSCS評価制度への参加実績が機能しうると考えられます。
つまり、こうした取り組みは取引先への事前の証明ツールとしてだけでなく、万が一インシデントが発生した際に安全管理措置を講じていたことを説明する根拠のひとつとして捉えられる側面もあります。「証明できる対策を整備していたかどうか」が問われる場面は、取引の開始時だけではないわけです。この点は、対策の断言としてではなく「こうした観点での活用が考えられます」という理解としてお持ちいただければと思います。
セキュリティ対策の消極的な経営者が法的にどのようなリスクを抱えうるかについては、こちらの記事でもまとめています。
自社の対策状況を確認する
6か条の対応状況を確認する
以下の6項目を、対応の有無だけでなく「いつ設定したか・最後に確認したのはいつか」という視点で確認してみてください。
- OSやソフトウェアを常に最新の状態に保っているか(自動更新の設定と定期確認)
- ウイルス対策ソフトを導入し、定義ファイルが最新の状態になっているか
- パスワードを強化し、使い回しを防ぐルールが運用されているか
- クラウドや社内ネットワークの共有設定を必要最小限に絞っているか
- 脅威や攻撃の手口に関する情報を定期的に確認し、社内で共有しているか
- 重要データのバックアップを取得し、復旧できる状態で保管しているか
「すでに5か条は対応済み」という企業ほど、6つ目のバックアップ項目と実際の運用状況の間にギャップが生じやすい傾向があります。経営者・担当者の双方が、この機会に現状を確認しておく価値があります。
「やっている」と「機能している」のギャップを確かめる
セキュリティ対策における実態上のリスクは、対策がないことよりも、対策が形骸化していることに潜む場合があります。
たとえば、更新が止まったウイルス対策ソフト、設定時のまま一度も見直されていないパスワードポリシー、一度も復元テストを行っていないバックアップデータ。導入した時点では適切だった対策も、環境の変化や時間の経過とともに機能しなくなっているケースがあります。
これはセキュリティチェックシートの回答においても同様です。「対策あり」と回答した項目が実際には形骸化している状態は、回答の信頼性に関わるリスクを含む場合があります。中小企業向けのセキュリティポリシーの整備については、こちらの記事でまとめています。
対策の有無よりも、対策が現在も機能しているかどうか。今回の改訂を、その確認のきっかけとして活用することが実務上の最短経路となります。
ガイドラインの改訂は、中小企業が直面する脅威環境の変化を対策基準という形で示したものです。
バックアップが独立した対策項目として加わった背景には、ランサムウェア被害の深刻化があります。攻撃者はファイルを暗号化するだけでなく、同じネットワーク上のバックアップデータも同時に標的にするケースが報告されており、「バックアップを取っていたが復旧できなかった」という事例が現実に生じています。
SCS評価制度への参加は、取引先への証明としての機能にとどまらず、万が一インシデントが発生した際に安全管理措置を講じていたことを説明する根拠のひとつにもなりえます。
対策の整備は「やっているかどうか」から「機能しているか・証明できるか」へと問われ方が変わりつつありますので、今回の改訂をその確認の機会として活用することをお勧めします。
何から手をつければよいかわからない、という段階でのご相談でもかまいません。セキュリティ対策は技術の問題だけでなく、事業継続・法的リスク・取引先からの信頼にも関わる複合的な課題です。自社の現状が第4.0版の水準を満たしているかを確認したい場合、またはセキュリティチェックシートへの対応でお困りの場合は、まずご相談ください。現状の整理から対応の優先順位付けまで、一緒に確認します。
情報処理安全確保支援士(登録セキスペ)/行政書士/個人情報保護士
ビーンズセキュリティサービス代表(ビーンズ行政書士事務所内)
「セキュリティが詳しくない経営者でも、統制できる仕組みを作る」をテーマに、情報処理安全確保支援士と行政書士のダブル国家資格を持つ専門家。中小企業の経営者・役員向けに各社に適したセキュリティの”はじめの一歩”をご提案します。
▶ お問い合わせ
