IPA(独立行政法人 情報処理推進機構)は2026年3月27日、「中小企業の情報セキュリティ対策ガイドライン」の 第4.0版 を公表した。前版(第3.1版、2023年4月公表)から約3年ぶりの大幅改訂であり、生成AIリスク・サプライチェーンセキュリティ・クラウド利用の安全対策が新たに加わった。
ガイドラインは法的拘束力を持たないが、SECURITY ACTION宣言(IT導入補助金の申請要件)やサプライチェーンセキュリティ対策評価制度の実質的な基準として機能する。中小企業のIT担当者・経営者にとって「読まなくてもいいが、対応しないとビジネスに影響する」文書だ。本記事では、改訂ポイントと中小企業が優先的に対応すべき事項を解説する。
目次
- 第4.0版の全体構成
- 第3.1版からの主要変更点
- 新たに追加された対策項目
- SECURITY ACTION ★1/★2の要件変更
- 「5分でできる自社診断」の使い方
- 対応チェックリスト
- 経営者が最低限知っておくべき5つのこと
- FAQ
- まとめ
第4.0版の全体構成
| 章 | 内容 | 対象読者 |
|---|---|---|
| 第1章 | 経営者の責任と役割 | 経営者 |
| 第2章 | 情報セキュリティ対策の基本 | 全従業員 |
| 第3章 | 情報セキュリティ管理の進め方 | 情報セキュリティ担当者 |
| 第4章(新設) | AI利活用におけるセキュリティ | 全従業員・管理者 |
| 第5章(強化) | サプライチェーンセキュリティ | 経営者・担当者 |
| 第6章(強化) | クラウドサービス利用のセキュリティ | 担当者 |
| 付録1 | 情報セキュリティ5か条 | 全従業員 |
| 付録2 | 5分でできる!情報セキュリティ自社診断 | 経営者・担当者 |
| 付録3 | 情報セキュリティポリシーサンプル | 担当者 |
| 付録4 | 情報セキュリティ関連規程サンプル | 担当者 |
第3.1版からの主要変更点
| 変更カテゴリ | 第3.1版(2023年4月) | 第4.0版(2026年3月) |
|---|---|---|
| AI関連 | 記載なし | 第4章として新設。生成AI利用のリスクと対策を体系化 |
| サプライチェーン | 概要レベルの記載 | 取引先管理の具体的チェックリストを追加 |
| クラウド | 一般的な注意事項 | SaaS/IaaS/PaaS別の具体的セキュリティ設定を記載 |
| テレワーク | 付録的な位置づけ | 本編に統合、VPN代替(ZTNA)の記載追加 |
| インシデント報告 | 一般的な手順 | 改正個人情報保護法に基づく72時間ルールを明記 |
| 経営者の責任 | 啓発レベル | サイバー攻撃による経営責任(善管注意義務)を明確化 |
新たに追加された対策項目
AI利活用のセキュリティ(第4章)
生成AIの業務活用が急速に進む中、AI特有のリスクが初めてガイドラインに盛り込まれた。
| AIリスク | 具体例 | 推奨対策 | コスト目安 |
|---|---|---|---|
| 機密情報の外部流出 | 従業員がChatGPTに顧客データや設計図面を入力 | AI利用ガイドラインの策定、入力禁止データの定義 | 0〜30万円 |
| AIを悪用した攻撃の高度化 | AI生成フィッシングメールの精度向上 | フィッシング訓練の更新、メールフィルタリングの強化 | 年10〜30万円 |
| AI生成情報の信頼性 | AIが誤った法令情報を出力→業務判断に影響 | AI出力の人間検証ルール、重要判断にはAI単独不可 | 0円(ルール策定) |
| 学習データへのデータ流出 | 無料版AIサービスで入力データが学習に利用 | オプトアウト設定、法人向けプラン(学習OFF)の利用 | 月額差額数百円/人 |
| シャドーAI | 従業員が無許可でAIサービスを業務利用 | 利用申請フロー、許可済みサービスリストの策定 | 0円(ルール策定) |
サプライチェーンセキュリティ(第5章強化)
- 取引先との契約にセキュリティ要件を含めることを明確に推奨
- 委託先のセキュリティ対策状況を定期的に確認するチェックリストを新設
- インシデント発生時の取引先への通知ルールの策定を推奨
クラウドサービス利用のセキュリティ(第6章強化)
- SaaS/IaaS/PaaS別の責任分界点(クラウドベンダー vs 利用企業)を明確化
- クラウドサービスの選定基準チェックリストを追加
- データ保管場所(国内/海外)の確認義務を記載
SECURITY ACTION ★1/★2の要件変更
SECURITY ACTIONは、IPAが運用する中小企業向けのセキュリティ自己宣言制度だ。IT導入補助金の申請要件にもなっている。
★1(一つ星)の要件
「情報セキュリティ5か条」に取り組むことを宣言する。第4.0版では5か条の内容が一部更新された。
| # | 第3.1版の5か条 | 第4.0版の5か条(変更点) |
|---|---|---|
| 1 | OS・ソフトウェアは常に最新に | 変更なし |
| 2 | ウイルス対策ソフトを導入 | EDR導入を推奨(従来のEPPに加え、振る舞い検知型への移行を推奨) |
| 3 | パスワードを強化 | MFA導入を推奨(パスワード強化に加え、多要素認証の活用を推奨) |
| 4 | 共有設定を見直す | クラウドサービスの共有設定を含む(範囲を明確化) |
| 5 | 脅威や攻撃の手口を知る | AI生成攻撃を追加(フィッシングメールのAI生成事例を含む) |
★2(二つ星)の要件
「5分でできる!情報セキュリティ自社診断」を実施し、情報セキュリティ基本方針を策定・公開することを宣言する。
第4.0版では自社診断の項目が更新され、以下が追加・強化された。
- AI利用に関する項目(生成AIの利用ルール策定状況)
- サプライチェーンに関する項目(取引先へのセキュリティ要件設定状況)
- クラウドサービスに関する項目(アクセス制御・データ保管場所の確認)
「5分でできる自社診断」の使い方
IPAが提供する自社診断シートは、25項目の質問に答えるだけで自社のセキュリティ対策状況を数値化できるツールだ。
実施手順
- IPAの公式サイトから診断シートをダウンロード(PDF/Excel形式、無料)
- 25項目の質問に「実施している」「一部実施」「実施していない」で回答
- 合計スコアを算出(100点満点)
- スコアに応じた対策レベルを確認
スコアの目安
| スコア | 評価 | 次のアクション |
|---|---|---|
| 70点以上 | 基本的な対策ができている | 不足項目の補強+★2宣言の準備 |
| 40〜69点 | 対策に穴がある | 優先度の高い項目から段階的に対応 |
| 39点以下 | 早急な対策が必要 | 5か条の実施から着手+専門家への相談を推奨 |
活用のポイント
- 経営者とIT担当者が一緒に実施する:経営者だけ、IT担当者だけでは認識にギャップが生じやすい。両者で実施し、認識を一致させることが重要
- 年2回の定期実施:半期ごとにスコアの推移を確認する
- 結果を社内で共有する:スコアを可視化することで、セキュリティ対策への社内の理解と協力を得やすくなる
対応チェックリスト
第4.0版に基づく中小企業向けの対応チェックリストを、組織的・人的・技術的・物理的の4カテゴリで整理した。
組織的対策
| # | チェック項目 | 優先度 | コスト目安 |
|---|---|---|---|
| 1 | 情報セキュリティポリシーを策定し、経営層が承認しているか | 最優先 | 0円(IPAテンプレート活用) |
| 2 | セキュリティ責任者を任命しているか(兼任可) | 最優先 | 0円 |
| 3 | リスクアセスメントを年1回以上実施しているか | 高 | 0〜50万円 |
| 4 | インシデント対応計画を策定し、連絡先リストを整備しているか | 高 | 0〜30万円 |
| 5 | AI利用ガイドラインを策定しているか(第4.0版で追加) | 高 | 0〜30万円 |
| 6 | 取引先へのセキュリティ要件を契約に含めているか(第4.0版で強化) | 中 | 0円(契約書修正) |
人的対策
| # | チェック項目 | 優先度 | コスト目安 |
|---|---|---|---|
| 7 | 全従業員向けセキュリティ研修を年2回以上実施しているか | 高 | 年10〜50万円 |
| 8 | 入社時にセキュリティ誓約書を取得しているか | 高 | 0円 |
| 9 | 退職時のアカウント無効化を即日実施する手順があるか | 最優先 | 0円 |
| 10 | 標的型メール訓練(模擬フィッシング)を年1回以上実施しているか | 中 | 年5〜20万円 |
技術的対策
| # | チェック項目 | 優先度 | コスト目安 |
|---|---|---|---|
| 11 | MFA(多要素認証)をVPN・クラウドサービスに導入しているか | 最優先 | 月額0〜500円/人 |
| 12 | EDR(エンドポイント検知・対応)を全端末に導入しているか | 高 | 月額500〜1,500円/台 |
| 13 | バックアップを3-2-1ルールで実施しているか | 最優先 | 月額3万〜10万円 |
| 14 | OS・ソフトウェアのパッチを定期的に適用しているか | 最優先 | 月額300〜1,000円/台 |
| 15 | ファイアウォール/UTMのログを90日以上保管しているか | 中 | 月額0〜1万円 |
| 16 | クラウドサービスのアクセス権限を最小限に設定しているか(第4.0版で強化) | 高 | 0円 |
物理的対策
| # | チェック項目 | 優先度 | コスト目安 |
|---|---|---|---|
| 17 | サーバー・ネットワーク機器の設置場所に施錠管理があるか | 高 | 0〜10万円 |
| 18 | 離席時のPC画面ロック(スクリーンセーバー+パスワード)を全社で設定しているか | 高 | 0円 |
| 19 | 外部記憶媒体(USB等)の利用ルールを策定しているか | 中 | 0円 |
| 20 | 廃棄するPCのデータ消去手順を定めているか | 中 | 0〜5万円 |
経営者が最低限知っておくべき5つのこと
1. サイバー攻撃は経営リスクである
ランサムウェア被害の平均復旧コストは1,000万〜5,000万円、業務停止期間は平均23日間。中小企業にとっては事業継続を脅かす経営リスクだ。「ITの問題」ではなく「経営の問題」として認識する必要がある。
2. 経営者に善管注意義務がある
取締役には会社法上の善管注意義務があり、合理的なセキュリティ対策を怠った結果インシデントが発生した場合、株主代表訴訟のリスクがある。第4.0版では経営者の責任がより明確に記載された。
3. 対策コストはインシデント損害の1%未満
従業員30名規模の企業でガイドライン準拠の対策を行う場合の年間コストは約57〜98万円(補助金適用後)。インシデント発生時の平均損害額(500万〜5,000万円)と比較すると1%未満の投資だ。
4. SECURITY ACTION宣言はIT導入補助金の申請要件
SECURITY ACTION二つ星は、IT導入補助金(セキュリティ対策推進枠、補助率1/2・上限100万円)の申請要件だ。宣言自体は無料。ガイドラインへの対応が補助金獲得にも直結する。
5. サプライチェーン対策評価制度の基盤になる
経産省が2026年度に開始する「サプライチェーンセキュリティ対策評価制度」の★1〜★2は、本ガイドラインの対策項目と実質的に連動している。ガイドラインに準拠していれば、評価制度への対応もスムーズに進められる。
FAQ
Q1. ガイドラインに法的拘束力はありますか?
法的拘束力はない。 ただし、SECURITY ACTION(IT導入補助金の申請要件)やサプライチェーンセキュリティ対策評価制度の実質的な基準として機能しており、「知らなかった」では済まない位置づけだ。インシデント発生時に「ガイドラインに準拠していたか」が善管注意義務の判断材料になる可能性もある。
Q2. 第3.1版に準拠していれば第4.0版への対応は不要ですか?
対応が必要だ。 第4.0版ではAIリスク(第4章新設)、サプライチェーン管理の強化、クラウドセキュリティの具体化が追加されている。特にAI利用ガイドラインの策定は、第3.1版に準拠していても追加対応が必要な項目だ。
Q3. 対応にどのくらいの期間がかかりますか?
★1レベル(5か条の実施)は即日〜1週間、★2レベル(自社診断+ポリシー策定)は1〜3か月 が目安だ。既にSECURITY ACTION二つ星を宣言済みの企業は、第4.0版の追加項目(AI利用ガイドライン、サプライチェーン管理等)への対応に1〜2か月を見込む。
Q4. 外部の専門家に依頼する必要がありますか?
★2レベルまでは自社対応が可能だ。 IPAが提供するテンプレート(セキュリティポリシーサンプル、関連規程サンプル)を活用すれば、専門家なしでも文書化できる。ただし、リスクアセスメントやインシデント対応計画の策定は、セキュリティの知見がある外部支援を受けることで質と効率が大幅に向上する。
Q5. 従業員10名程度の小規模企業でも対応すべきですか?
対応すべきだ。 ガイドラインは中小企業(小規模事業者を含む)を対象に書かれており、企業規模に応じた段階的な対応が想定されている。まず「5分でできる!自社診断」でスコアを確認し、5か条の実施から着手してほしい。
まとめ
| 項目 | ポイント |
|---|---|
| ガイドライン | 第4.0版(2026年3月27日公表) |
| 主な改訂 | AIリスク対応の新設、サプライチェーン・クラウド対策の強化 |
| 最優先アクション | 「5分でできる!自社診断」の実施(無料・即日可能) |
| SECURITY ACTIONとの関連 | ★1/★2の要件が第4.0版に準拠して更新 |
| 対応期間 | ★2水準まで1〜3か月 |
| 評価制度との関係 | サプライチェーンセキュリティ対策評価制度の★1〜★2と実質連動 |
関連記事:IPA情報セキュリティ対策ガイドライン第4.0版|改訂ポイントと中小企業の対応
関連記事:IPA 10大脅威 2026|中小企業が優先対応すべきアクション
関連記事:経産省サプライチェーンセキュリティ対策評価制度|中小企業の準備ガイド
セキュリティ対策の見直し・強化をお考えですか?
GXOは中小企業のセキュリティ体制構築を支援しています。IPAガイドライン第4.0版への対応――自社診断の実施支援、AI利用ガイドライン策定、SECURITY ACTION宣言、セキュリティ対策評価制度の準備まで、ワンストップで対応します。
※ まずは現状把握から | オンライン完結OK | 導入事例はこちら