セキュリティブログ

独立行政法人情報処理推進機構「中小企業の情報セキュリティ対策ガイドライン」3年ぶりの改訂

2026.07.04

独立行政法人 情報処理推進機構(IPA)は、企業のIT環境やサイバー攻撃の手口の変化に合わせ、

「中小企業の情報セキュリティ対策ガイドライン」を約3年ぶりに大幅改訂(第4.0版)しました。

中小企業の情報セキュリティ対策ガイドライン第4.0版/独立行政法人 情報処理推進機構公式/2026年7月3日

※以下引用

「中小企業の情報セキュリティ対策ガイドライン」(以下「本ガイドライン」)は、情報セキュリティ対策に取り組む際の、(1)経営者が認識し実施すべき指針、(2)社内において対策を実践する際の手順や手法をまとめたものです。経営者編と実践編から構成されており、個人事業主、小規模事業者を含む中小企業(以下「中小企業等」)の利用を想定しています。

第4.0版への改訂では、基本的な構成を維持しつつ、最新の環境変化を反映し、企業が適切な認識と実践的な対策を進められるよう、記載内容の見直しを行いました。今回の改訂の主なポイントは以下のとおりです。

  1. 「バックアップを取ろう!」を追加し情報セキュリティ6か条へ
    • はじめに取り組んでほしい情報セキュリティ5か条に「バックアップを取ろう!」を新たに追加し、情報セキュリティ6か条としました。また「5分でできる!情報セキュリティ自社診断」の診断項目に、「外部から内部ネットワークへの不要な通信を遮断する」、「ウェブサイトを安全に運用する」を新たに追加する等しています。
  2. 「サプライチェーン強化に向けたセキュリティ対策評価制度」の基本的な考え方を取り込む
    • 経済産業省および内閣官房国家サイバー統括室が検討を進める「サプライチェーン強化に向けたセキュリティ対策評価制度(以下、SCS評価制度)」の基本的な考え方に沿った内容としています。
  3. 「中小企業のための人材確保・育成の実践ガイドブック」を付録として追加
    • 2025年5月に公表された「中堅・中小企業が実施するセキュリティ対策に応じた人材確保・育成の実践的方策ガイドβ版」(経済産業省「サイバーセキュリティ人材の育成促進に向けた検討会」で提示)を踏まえ、中小企業のセキュリティ人材の確保・育成を支援する方策および取組事例を付録として追加しています。

企業の持続的な成長を実現するためには、サイバーセキュリティ対策も欠かせない要素です。IPAでは、本ガイドラインを活用して中小企業が着実に情報セキュリティ対策を進めることで、中小企業自身の信頼性向上に寄与するとともに、経済社会全体のサイバーリスク低減につながることを期待しています。

※ここまで

ガイドラインの第3章(35〜36ページ)では、パソコンへのウイルス対策といった社内向けの防御(PC管理)とは明確に区別し、

「外部からの不正アクセス防止」および「ウェブサイトの安全な運用」という独立した対策項目を掲げています。

ガイドライン内でも指摘されている通り、自社のWebサイト(CMSや問い合わせフォーム等)の脆弱性を放置することは、

情報の漏えいやサイト改ざんを招くだけでなく、自社がサイバー攻撃の「足がかり(加害者・踏み台)」にされてしまうリスクに直結します。

お問い合わせフォーム等のセキュリティ対策でお困りの場合には、いつでもお問い合わせくださいませ。