「2023年度業界セキュリティガイドライン等の策定支援業務」報告書について

公開日：2025年7月18日

独立行政法人情報処理推進機構
セキュリティセンター

事業概要

近年、中小企業においてもIT化が進み、業務の効率化やサービスレベルの向上等が図られている。その一方で、機密情報を狙ったサイバー攻撃は日々発生し、その被害が確認されていることも事実である。また、情報セキュリティ対策が強固とはいえない中小企業を対象としたサイバー攻撃や、それに起因する大企業等の被害も顕在化してきており、大企業のみならずサプライチェーンを構成する中小企業においてもサイバー攻撃の脅威にさらされている実情が明らかになっている。

このような背景のもとで、独立行政法人情報処理推進機構が事務局を務める「サプライチェーン・サイバーセキュリティ・コンソーシアム（SC3）」内の「中小企業対策強化WG」においても、サプライチェーンを構成する中小企業におけるセキュリティ対策強化についての議論を開始している。2021年度においては「中小企業を含むサプライチェーンにおける情報セキュリティ対策状況等の調査」として、11分野の業界団体やISAC等の団体にヒアリング調査を実施して問題意識を整理し、2022年度において「業界セキュリティガイドライン等の共通項抽出業務」として、業界団体等が策定しているセキュリティ対策に関する業界標準やチェックリスト等の情報セキュリティガイドライン」を収集し、その業界セキュリティガイドライン等で規定されている基準・要求事項等の情報から、複数の業界で共通の基準や要求事項を抽出して共通項をとりまとめ、IPA「中小企業の情報セキュリティ対策ガイドライン」の改訂においても反映した。

そこで本事業は、改訂を行った「中小企業の情報セキュリティガイドライン(第3.1版)」をもとに、セキュリティガイドラインが未整備の業界団体に対して、モデルケース実証として業界セキュリティガイドラインの策定支援、及び加盟企業に対する策定した業界セキュリティガイドライン適用のマネジメント指導を行う。モデルケース実証の結果は、業界セキュリティガイドライン展開の導入手引き等の支援ツールとして作成することで、SC3団体会員（業界団体）での「中小企業の情報セキュリティガイドライン」の活用促進に供するものとする。