プレスリリース

プレス発表「中小企業の情報セキュリティ対策ガイドライン」第4.0版を公開

公開日：2026年3月27日

独立行政法人情報処理推進機構

独立行政法人情報処理推進機構（IPA、理事長: 齊藤裕）は、中小企業向けに情報セキュリティ対策の考え方や、段階的に実現するための方策を紹介する「中小企業の情報セキュリティ対策ガイドライン」を改訂し、第4.0版を公開しました。個社のみならず、サプライチェーン全体に被害を及ぼすサイバー攻撃の脅威を踏まえ、従来版よりサイバーセキュリティ対策についての記載を拡充しています。

中小企業の情報セキュリティ対策ガイドライン

背景

「中小企業の情報セキュリティ対策ガイドライン」は、中小企業の経営者や実務担当者が、情報セキュリティ対策の必要性を理解し、情報を安全に管理するための具体的な手順等を示したガイドラインです。2023年4月の第3.1版の公開以降、企業のサイバーセキュリティ対策を取り巻く環境においては次のような変化が生じています。

ランサムウェアによる被害の顕在化により、企業におけるサイバーセキュリティに関する被害は情報漏えいにとどまらず、企業の事業活動の停止にまで影響が拡大
国内外でのサプライチェーンを介したサイバーセキュリティ関連被害の拡大を踏まえ、サプライチェーン全体としての対策推進の必要性の高まり
中小企業等の内部でセキュリティ対策を推進する人材の著しい不足

概要

第4.0版への改訂では、基本的な構成を維持しつつ、最新の環境変化を反映し、企業が適切な認識と実践的な対策を進められるよう、記載内容の見直しを行いました。今回の改訂の主なポイントは以下のとおりです。

「バックアップを取ろう!」を追加し情報セキュリティ6か条へ
- はじめに取り組んでほしい情報セキュリティ5か条に「バックアップを取ろう!」を新たに追加し、情報セキュリティ6か条としました。また「5分でできる！情報セキュリティ自社診断」の診断項目に、「外部から内部ネットワークへの不要な通信を遮断する」、「ウェブサイトを安全に運用する」を新たに追加する等しています。
「サプライチェーン強化に向けたセキュリティ対策評価制度」の基本的な考え方を取り込む
- 経済産業省および内閣官房国家サイバー統括室が検討を進める「サプライチェーン強化に向けたセキュリティ対策評価制度（以下、SCS評価制度）」の基本的な考え方に沿った内容としています。
「中小企業のための人材確保・育成の実践ガイドブック」を付録として追加
- 2025年５月に公表された「中堅・中小企業が実施するセキュリティ対策に応じた人材確保・育成の実践的方策ガイドβ版」（経済産業省「サイバーセキュリティ人材の育成促進に向けた検討会」で提示）を踏まえ、中小企業のセキュリティ人材の確保・育成を支援する方策および取組事例を付録として追加しています。