中小企業の情報セキュリティ対策ガイドライン

IPA(独立行政法人情報処理推進機構)は、中小企業向けに情報セキュリティ対策の考え方や、段階的に実現するための方策を紹介する「中小企業の情報セキュリティ対策ガイドライン」を改訂し、第4.0版を公開しました。

概要

「中小企業の情報セキュリティ対策ガイドライン」（以下「本ガイドライン」）は、情報セキュリティ対策に取り組む際の、(1)経営者が認識し実施すべき指針、（2）社内において対策を実践する際の手順や手法をまとめたものです。経営者編と実践編から構成されており、個人事業主、小規模事業者を含む中小企業（以下「中小企業等」）の利用を想定しています。

第4.0版への改訂では、基本的な構成を維持しつつ、最新の環境変化を反映し、企業が適切な認識と実践的な対策を進められるよう、記載内容の見直しを行いました。今回の改訂の主なポイントは以下のとおりです。

1. 「バックアップを取ろう!」を追加し情報セキュリティ6か条へ
   • はじめに取り組んでほしい情報セキュリティ5か条に「バックアップを取ろう!」を新たに追加し、情報セキュリティ6か条としました。また「5分でできる！情報セキュリティ自社診断」の診断項目に、「外部から内部ネットワークへの不要な通信を遮断する」、「ウェブサイトを安全に運用する」を新たに追加する等しています。
2. 「サプライチェーン強化に向けたセキュリティ対策評価制度」の基本的な考え方を取り込む
   • 経済産業省および内閣官房国家サイバー統括室が検討を進める「サプライチェーン強化に向けたセキュリティ対策評価制度（以下、SCS評価制度）」の基本的な考え方に沿った内容としています。
3. 「中小企業のための人材確保・育成の実践ガイドブック」を付録として追加
   • 2025年5月に公表された「中堅・中小企業が実施するセキュリティ対策に応じた人材確保・育成の実践的方策ガイドβ版」（経済産業省「サイバーセキュリティ人材の育成促進に向けた検討会」で提示）を踏まえ、中小企業のセキュリティ人材の確保・育成を支援する方策および取組事例を付録として追加しています。

企業の持続的な成長を実現するためには、サイバーセキュリティ対策も欠かせない要素です。IPAでは、本ガイドラインを活用して中小企業が着実に情報セキュリティ対策を進めることで、中小企業自身の信頼性向上に寄与するとともに、経済社会全体のサイバーリスク低減につながることを期待しています。

ガイドライン等のダウンロード

中小企業の情報セキュリティ対策ガイドライン第4.0版

• 本編：中小企業の情報セキュリティ対策ガイドライン第4.0版（全70ページ）(PDF:7.8 MB)

• 付録1：中小企業のためのセキュリティ人材の確保・育成方策（全14ページ）(PDF:2.4 MB)
• 付録2：情報セキュリティ基本方針（サンプル）（全1ページ）(Word:35 KB)
• 付録3：5分でできる！情報セキュリティ自社診断（全8ページ）(PDF:2.4 MB)
• 付録4：情報セキュリティハンドブック（ひな形）（全17ページ）(167 KB)
• 付録5：情報セキュリティ関連規程（サンプル）（全59ページ）(Word:221 KB)
• 付録6：資産管理台帳（サンプル）(全9シート)(Excel:340 KB)
• 付録7：中小企業のためのクラウドサービス安全利用の手引き（全8ページ）(PDF:4.8 MB)
• 付録8：中小企業のためのセキュリティインシデント対応の手引き（全8ページ）(PDF:3.6 MB)

関連資料

説明資料

• 「中小企業の情報セキュリティ対策ガイドライン」説明資料（全34ページ)(PDF:4.5 MB)

• 中小企業のためのクラウドサービス安全利用の手引き(全32ページ)(PDF:1.4 MB)

• 中小企業のためのセキュリティインシデント対応の手引き(全15ページ)(PDF:908 KB)

関連ページ

• SECURITY ACTION
  • 中小企業自らが、本ガイドラインに示した情報セキュリティ対策に取組むことを自己宣言する制度です。
• JNSAソリューションガイド
  • NPO日本ネットワークセキュリティ協会(JNSA)から本ガイドラインに準じたソリューションガイドの特集ページが公開されています。
• 英語版中小企業向け情報セキュリティ啓発活動紹介ページ「Information security awareness promotion initiatives for SMEs」(IPA)
  • 「中小企業の情報セキュリティ対策ガイドライン」、「情報セキュリティ5か条」、及び「5分でできる！情報セキュリティ自社診断」の英語版(第3.1版)をダウンロードできます。

中小企業の情報セキュリティ対策ガイドラインの引用について

資料に含まれるデータやグラフ・図表等を、作成される資料に引用・抜粋してご利用頂いて構いません。
ご利用に際しては、以下をお願いしております。

• 出典を明記すること（当機構名、資料名、URL）
• 可能な限り原文のまま掲載すること（グラフの形式を変える、文体を変える等は可）
• 一部改変して使用する場合は文意を変えず、原文のままでないことがわかるよう明記すること（「～を基に作成」等）
• 転載部分と作成部分が混在する場合、転載部分か、作成部分かが明確にわかるようにすること

中小企業の情報セキュリティ対策ガイドラインに関するアンケート

• 中小企業の情報セキュリティ対策ガイドラインのアンケ—トにご協力お願いいたします。
  お寄せいただいたご回答は、ガイドラインの利活用状況把握や、今後の改訂検討にあたっての資料として活用させていただきます。
  
  • 【中小企業の情報セキュリティ対策ガイドラインに関するアンケート】
• アンケートは外部サービス（WEBCAS）を利用しています。
  尚、「アンケート」へご質問をいただいても回答はできません。ご質問は「お問い合わせ先」に記載のメールアドレス宛にお問い合わせくださいますようお願いいたします。