IPAの「中小企業の情報セキュリティ対策ガイドライン」を完全解説|第3.1版の構成と実践ポイント
「セキュリティ対策が必要なのはわかっているが、何から始めればいいのかわからない」——中小企業の経営者やIT担当者からよく聞かれる声です。
そんな方にまず手に取っていただきたいのが、IPA(独立行政法人 情報処理推進機構)が発行する**「中小企業の情報セキュリティ対策ガイドライン」**です。この記事では、現行の第3.1版の全体像から実践のポイントまでを解説します。
IPAガイドラインとは
「中小企業の情報セキュリティ対策ガイドライン」は、IPAが中小企業向けに無料で公開しているセキュリティ対策の実践手引きです。
- 初版: 2009年発行
- 現行版: 第3.1版(2023年4月改訂)
- 対象: 中小企業・小規模事業者(業種問わず)
- 法的拘束力: なし(ただし、取引先からの要請や補助金申請で参照されるケースが増加)
第3.1版ではテレワークやクラウドサービスの普及を踏まえた改訂が行われており、現代の中小企業が直面するリスクに即した内容となっています。
ガイドラインの全体構成
ガイドラインは2部構成で、経営層と実務担当者それぞれに向けた内容が整理されています。
第1部「経営者編」
経営者が認識すべき3原則と7つの取組みがまとめられています。
経営者が認識すべき3原則:
- 経営者のリーダーシップで対策を進める — セキュリティ対策は経営課題であり、担当者任せにしない
- 委託先のセキュリティも確認する — 自社だけでなくサプライチェーン全体を視野に入れる
- 関係者とのコミュニケーションを密にする — 顧客・取引先・従業員との情報共有を怠らない
経営者がやるべき7つの取組み:
情報セキュリティに関する方針の策定、予算・体制の確保、対策の実施、見直しと改善、緊急時の対応体制整備、委託先の管理、最新動向の収集の7項目です。
第2部「実践編」
実務担当者向けに、5つのステップで段階的にセキュリティレベルを引き上げる手順を示しています。
| ステップ | 内容 | 難易度 |
|---|---|---|
| Step 1 | 情報セキュリティ5か条の実践 | すぐできる |
| Step 2 | 自社診断25項目の実施 | 半日程度 |
| Step 3 | 情報セキュリティ基本方針の策定 | 1〜2週間 |
| Step 4 | 対策の実行(リスク対応) | 継続的 |
| Step 5 | 改善の仕組みづくり(PDCA) | 継続的 |
情報セキュリティ5か条
ガイドラインで最初に取り組むべきとされているのが「情報セキュリティ5か条」です。
- OSやソフトウェアは常に最新の状態にしよう — 脆弱性を放置しない
- ウイルス対策ソフトを導入しよう — 定義ファイルの自動更新を有効にする
- パスワードを強化しよう — 使い回しをやめ、多要素認証を導入する
- 共有設定を見直そう — 不要なアクセス権限を削除する
- 脅威や攻撃の手口を知ろう — IPAの注意喚起や10大脅威を定期的にチェックする
この5か条に取り組むことを宣言するだけで、SECURITY ACTION ★一つ星を取得できます。
自社診断25項目の活用法
IPAが提供する「5分でできる!情報セキュリティ自社診断」は、25問のYes/Noで自社のセキュリティレベルを簡易的に把握できるツールです。
診断の流れ:
- 25項目に「はい/いいえ/わからない」で回答する
- 各項目の点数を合計し、自社のレベルを把握する
- 「いいえ」「わからない」の項目を優先的に対策すべき課題として特定する
診断結果をもとに対策の優先順位をつけることで、限られたリソースを効果的に配分できます。自社診断を実施し、基本方針を策定・公開することでSECURITY ACTION ★★二つ星の宣言が可能になります。
付録の実務活用
ガイドラインには8つの付録ツールが用意されており、実務でそのまま使えるテンプレートやチェックリストが含まれています。
| 付録 | 内容 | 用途 |
|---|---|---|
| 付録1 | 情報資産管理台帳 | 自社の情報資産を棚卸しする |
| 付録2 | 機密性・完全性・可用性の分類 | 情報の重要度を判定する |
| 付録3 | リスク分析シート | リスク値を算出し対策を決める |
| 付録4 | 情報セキュリティポリシーひな形 | 基本方針をカスタマイズする |
| 付録5 | 委託先管理シート | 外注先のセキュリティを確認する |
| 付録6 | 従業員向け教育資料 | 社内研修に活用する |
| 付録7 | 教育・訓練計画シート | 年間計画を策定する |
| 付録8 | インシデント対応手順書 | 事故発生時の行動を整理する |
これらの付録を活用することで、ゼロからセキュリティ体制を構築する手間を大幅に削減できます。
他のガイドライン・制度との関係
IPAガイドラインは、他のセキュリティ関連制度とも密接に連携しています。
- サイバーセキュリティ経営ガイドライン(経産省): 大企業・中堅企業向け。IPAガイドラインはその中小企業版という位置づけ
- SCS評価制度(経産省): 2026年度末の開始を目指す新制度。★1・★2はSECURITY ACTIONに対応しており、IPAガイドラインの実践が★3以上の基盤になる
- SECURITY ACTION(IPA): IPAガイドラインの実践を自己宣言する制度。IT導入補助金の申請要件でもある
つまり、IPAガイドラインに取り組むことは、将来の取引要件や補助金活用への先行投資にもなります。
中小企業が最初にやるべき3ステップ
ガイドライン全体を一度に実践するのは現実的ではありません。まずは以下の3ステップから始めましょう。
ステップ1: 情報セキュリティ5か条を実践する 今日からできる基本対策です。OS更新の自動化やパスワードの強化など、費用をかけずに実施できます。
ステップ2: 自社診断25項目を実施する 所要時間は30分程度。自社の弱点を「見える化」することで、対策の優先順位が明確になります。
ステップ3: SECURITY ACTION ★一つ星を宣言する IPAのサイトから無料で宣言できます。所要時間は約15分。IT導入補助金の申請要件を満たすことにもつながります。
まとめ
IPAの「中小企業の情報セキュリティ対策ガイドライン」は、セキュリティ対策の「何から始めればいいかわからない」を解決する最も実用的な指針です。無料で入手でき、段階的に取り組める構成のため、専任IT担当者がいない企業でも活用できます。ガイドラインに沿った対策を効率的に進めたい方は、ぜひ情シス365にご相談ください。