サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)を踏まえて「中小企業の情報セキュリティ対策ガイドライン」を改訂 経産省/IPA
経済産業省と国家サイバー統括室(NCO)が公表した「サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)」の構築方針を踏まえ、経済産業省と情報処理推進機構(IPA)は3月27日、「中小企業の情報セキュリティ対策ガイドライン」を改訂し「第4.0版」を公開しました。第4.0版は、SCS評価制度との整合性が図られ、既存の「SECURITY ACTION自己宣言制度」(SA制度)と新たな「SCS評価制度」が連動した、「★1」(1つ星)から「★5」(5つ星※)までのセキュリティ対策の段階的な全体像が明確になりました。
ガイドラインは、中小企業の経営者や実務担当者が情報セキュリティ対策の必要性を理解し、情報を安全に管理するための具体的な手順等を示したもので、本編2部(第1部経営者編、第2部実践編)と付録により構成されています。中小企業実態調査結果(IPA、2024年度実施)や新たなSCS評価制度を受けて、対策の具体的な進め方を説明する「第2部実践編」が全面的に改訂されました。
SA制度は、中小企業がセキュリティ対策の初めの一歩として取り組むものです。第2部実践編のステップ1と2に該当する★1と★2までを宣言できます。ステップ3からはSCS評価制度の対象(★3と★4)となります。
ステップ1(★1)では基本的な対策の実施を宣言しますが、今般の改訂により、ランサムウェア被害の拡大などを踏まえて新たに「バックアップを取ろう!」が追加され、従来の「5か条」から「情報セキュリティ6か条」へと見直されました。ステップ2(★2)では「5分でできる!情報セキュリティ自社診断」を用いて自社の状況を把握し、対策と基本方針を決定します。今回の改訂で診断項目も見直され、新たに「外部から内部ネットワークへの不要な通信を遮断する」や「ウェブサイトを安全に運用する」(公開すべきでない情報の削除など)といった対策が追加されました。
一方、実践編のステップ3以降は、「SCS評価制度」の対象(★3と★4)となり、アクセス制御やログ管理などの組織的・技術的対策の考え方が整理されています。SCS評価制度は、★3が「専門家確認付き自己評価」、★4が「第三者評価」と位置付けられ、2026年度下期の制度開始(申請受付は2026年度末頃)を目指して整備が進められています。
ガイドラインは本編だけでなく、付録も充実しました。中小企業における深刻なセキュリティ人材不足に対応するため、「付録1」として「中小企業のためのセキュリティ人材確保・育成の実践ガイドブック」が新たに追加されました。これは経済産業省の検討会で示された実践的方策ガイドを踏まえたもので、社内での人材育成や外部の専門家・サービスの活用方法など、セキュリティ対策の各段階に応じた具体的な人材確保・育成の方策と事例がガイドラインのステップに沿ってまとめられています。
また、126社の中小企業を対象に実施したASM(Attack Surface Management)診断などの結果を基に作成された「中小企業のための実例で学ぶサイバーセキュリティリスク事例集」も同時に公開されました。脆弱性事例、被害事例、取り組み事例の計30事例が収録されており、中小企業が直面しやすい弱点や被害の影響、早期に取り組める対策が実例として分かりやすく整理されています。
※「★5」については2026年度以降、要求事項・評価基準や評価スキームの具体化について検討が進められます。
