IPA、サイバーセキュリティ対策の記載を拡充した「中小企業の情報セキュリティ対策ガイドライン」第4.0版公開

　独立行政法人情報処理推進機構（IPA）は3月27日、中小企業向けに情報セキュリティ対策の考え方や、段階的に実現するための方策を紹介する「中小企業の情報セキュリティ対策ガイドライン」を改訂し、第4.0版を公開した。ウェブサイトからPDFファイルをダウンロードできるほか、作成方法を解説している「情報セキュリティ基本方針」などのサンプルデータもダウンロードできる。

　同ガイドラインは、中小企業の経営者や実務担当者が、情報セキュリティ対策の必要性を理解し、情報を安全に管理するための具体的な手順を示すもの。「経営者編」と「実践編」の2部構成で、取り組むべき情報セキュリティ対策の全体像と、各企業が目指しているセキュリティレベル別の具体的な実践方法について確認できる内容となっている。

　第4.0版への改訂では、基本的な構成を維持しつつ、サプライチェーン全体に被害を及ぼすサイバー攻撃の脅威を踏まえ、従来版よりサイバーセキュリティ対策についての記載を拡充している。

　IPAは今回の改訂におけるポイントとして、次の内容を挙げている。

「バックアップを取ろう!」を追加し、情報セキュリティ6か条へ

　はじめに取り組んでほしい情報セキュリティ5か条に「バックアップを取ろう!」を新たに追加し、情報セキュリティ6か条とした。また、「5分でできる！情報セキュリティ自社診断」の診断項目に、「外部から内部ネットワークへの不要な通信を遮断する」「ウェブサイトを安全に運用する」が新たに追加されている。

情報セキュリティ6か条の内容

「サプライチェーン強化に向けたセキュリティ対策評価制度」の基本的な考え方を取り込む

　経済産業省および内閣官房国家サイバー統括室が検討を進める「サプライチェーン強化に向けたセキュリティ対策評価制度（以下、SCS評価制度）」の基本的な考え方に沿った内容になっている。

取引先とのルール設定など、サプライチェーンのセキュリティを考慮した解説が行われている

「中小企業のための人材確保・育成の実践ガイドブック」を付録として追加

　2025年５月に公表された「中堅・中小企業が実施するセキュリティ対策に応じた人材確保・育成の実践的方策ガイドβ版」（経済産業省「サイバーセキュリティ人材の育成促進に向けた検討会」で提示）を踏まえ、中小企業のセキュリティ人材の確保・育成を支援する方策および取り組み事例が付録として追加されている。