IPA(独立行政法人 情報処理推進機構)は2026年3月27日、「中小企業の情報セキュリティ対策ガイドライン」の第4.0版を公表した(IPA、2026年3月27日)。前版(第3.1版、2023年4月公表)から約3年ぶりの大幅改訂だ。本記事では、改訂の主要ポイントを各セクションごとに詳しく解説し、中小企業が取り組むべき対策を実装チェックリスト・費用見積もり・対応タイムライン付きで整理する。
第4.0版の全体構成
ガイドライン第4.0版は、以下の構成になっている。
| 章 | 内容 | 対象読者 |
|---|---|---|
| 第1章 | 経営者の責任と役割 | 経営者 |
| 第2章 | 情報セキュリティ対策の基本 | 全従業員 |
| 第3章 | 情報セキュリティ管理の進め方 | 情報セキュリティ担当者 |
| 第4章(新設) | AI利活用におけるセキュリティ | 全従業員・管理者 |
| 第5章(強化) | サプライチェーンセキュリティ | 経営者・担当者 |
| 第6章(強化) | クラウドサービス利用のセキュリティ | 担当者 |
| 付録1 | 情報セキュリティ5か条 | 全従業員 |
| 付録2 | 5分でできる!情報セキュリティ自社診断 | 経営者・担当者 |
| 付録3 | 情報セキュリティポリシーサンプル | 担当者 |
| 付録4 | 情報セキュリティ関連規程サンプル | 担当者 |
改訂ポイント1:AIリスクへの対応(第4章 新設)
生成AIの業務活用が急速に進む中、AI特有のセキュリティリスクが新たに章立てされた。
| AIリスク | 具体例 | 対策 | 費用目安 |
|---|---|---|---|
| 機密情報の外部流出 | 従業員がChatGPTに顧客データを入力 | AI利用ガイドラインの策定 | 0〜30万円 |
| AIを悪用した攻撃 | AI生成フィッシングメール | フィッシング訓練の高度化 | 年10〜30万円 |
| AI生成情報の信頼性 | AIが誤った情報を生成→意思決定に影響 | AI出力の人間による検証ルール | 0円(ルール策定のみ) |
| プロンプトインジェクション | 外部入力によるAI動作の改変 | 入力バリデーションの実装 | 開発費に含む |
| AI学習データへの汚染 | 自社データがAIの学習に利用される | オプトアウト設定、法人向けサービスの利用 | 差額月数百円/人 |
AI利用ガイドラインの実装チェックリスト
| # | チェック項目 | 対応状況 | 優先度 |
|---|---|---|---|
| 1 | AIサービスに入力してはいけない情報を定義しているか | 最優先 | |
| 2 | 法人向けAIサービス(データが学習に使われない契約)を利用しているか | 最優先 | |
| 3 | AI出力の確認・承認プロセスを定めているか | 高 | |
| 4 | AI利用時のログ記録ルールがあるか | 中 | |
| 5 | AIサービスの利用申請・承認フローを設けているか | 中 | |
| 6 | AI利用に関する従業員研修を実施しているか | 高 | |
| 7 | AIサービスの契約内容(データの取り扱い条項)を確認したか | 高 |
改訂ポイント2:サプライチェーンセキュリティ(第5章 強化)
取引先経由のサイバー攻撃(サプライチェーン攻撃)への対策が強化された。経産省のセキュリティ対策評価制度(2026年度開始)との整合性も考慮されている。
サプライチェーンセキュリティの実装チェックリスト
| # | チェック項目 | 対応状況 | 費用目安 | 優先度 |
|---|---|---|---|---|
| 1 | 取引先との契約にセキュリティ条項を含めているか | 0円(契約書修正) | 最優先 | |
| 2 | 取引先のセキュリティ対策状況を定期的に確認しているか | 0〜10万円/年 | 高 | |
| 3 | 自社がサプライチェーンの一員としてのリスクを認識しているか | 0円 | 最優先 | |
| 4 | インシデント発生時の取引先への通知プロセスを定めているか | 0円 | 高 | |
| 5 | 委託先の選定基準にセキュリティ要件を含めているか | 0円 | 高 | |
| 6 | データの授受方法(暗号化、安全なファイル共有)を規定しているか | 月額1,000〜5,000円 | 中 | |
| 7 | サプライチェーンリスク評価を年1回以上実施しているか | 10〜50万円/年 | 中 |
改訂ポイント3:クラウドサービス利用時のセキュリティ(第6章 強化)
SaaS/クラウドの利用が前提となった中小企業向けに、クラウドサービス選定時のセキュリティチェックポイントが追加された。
クラウドサービス選定チェックリスト
| # | チェック項目 | 確認方法 | 費用目安 |
|---|---|---|---|
| 1 | サービス提供者のセキュリティ認証(ISO 27001、SOC2等)を確認 | 公開情報・問い合わせ | 0円 |
| 2 | データの保存場所(国内/海外)を確認 | 契約書・利用規約 | 0円 |
| 3 | データの暗号化(保存時・通信時)を確認 | 技術仕様書 | 0円 |
| 4 | 多要素認証(MFA)に対応しているか | 管理画面で確認 | 0〜500円/人・月 |
| 5 | アクセスログの取得・保存期間を確認 | 管理画面・契約書 | 0円 |
| 6 | サービス終了時のデータ返却・削除の条項があるか | 契約書 | 0円 |
| 7 | SLA(稼働率保証)が明示されているか | 契約書 | 0円 |
| 8 | バックアップの頻度と復元手順を確認 | 技術仕様書 | 0円 |
改訂ポイント4:テレワーク / ハイブリッドワークへの対応
コロナ後の恒常的なテレワーク環境を前提としたセキュリティ対策が体系化された。
テレワークセキュリティの実装チェックリスト
| # | チェック項目 | 費用目安 | 優先度 |
|---|---|---|---|
| 1 | VPN または ゼロトラスト接続の導入 | 月額500〜2,000円/人 | 最優先 |
| 2 | 会社支給端末の利用義務化 | 既存費用に含む | 高 |
| 3 | 端末の暗号化(BitLocker等)の有効化 | 0円(OS標準機能) | 最優先 |
| 4 | リモートワイプ機能の導入 | MDM費用に含む | 高 |
| 5 | 公共Wi-Fi利用時のルール策定 | 0円 | 高 |
| 6 | 自宅ネットワークのセキュリティ確認項目の提示 | 0円 | 中 |
| 7 | テレワーク時の画面覗き見対策 | プライバシーフィルター3,000〜5,000円/台 | 中 |
5分でできる自社診断(改訂版)
ガイドライン付録の「5分でできる!情報セキュリティ自社診断」が改訂された。第4.0版では AI利用やクラウドに関する項目が追加され、全25項目になった。
全チェック項目と対策コスト
| # | チェック項目 | 対策コスト | 対応難易度 |
|---|---|---|---|
| 1 | OSやソフトウェアを最新の状態にしているか | 0円(自動更新設定) | 易 |
| 2 | ウイルス対策ソフトを導入し、定義ファイルを更新しているか | 月300〜1,000円/台 | 易 |
| 3 | パスワードは推測されにくいものを使い、使い回しをしていないか | 0円(パスワードマネージャー推奨:月300円/人) | 易 |
| 4 | 重要情報へのアクセス制限を行っているか | 0〜月500円/人 | 中 |
| 5 | バックアップを定期的に取得しているか | 月1万〜10万円 | 中 |
| 6 | 無線LANの通信を暗号化しているか | 0円(設定変更) | 易 |
| 7 | 退職者のアカウントを即座に無効化しているか | 0円(運用ルール) | 易 |
| 8 | 従業員にセキュリティ教育を実施しているか | 年10万〜30万円 | 中 |
| 9 | 個人情報の取り扱いルールを策定しているか | 0円(自社策定) | 中 |
| 10 | インシデント発生時の対応手順を定めているか | 0〜30万円 | 中〜難 |
自社診断の結果、対策が必要だと感じたら
IPAガイドラインに準拠したセキュリティ対策の導入を支援します。現状の診断から優先施策の策定、実装まで対応可能です。
※ 営業電話はしません | オンライン対応可 | 相談だけでもOK
SECURITY ACTIONとの関係
ガイドラインの実践は、IPAの「SECURITY ACTION」制度と直結している。
| レベル | 宣言内容 | ガイドラインとの関係 | 取得の目安期間 |
|---|---|---|---|
| 一つ星 | 「情報セキュリティ5か条」に取り組む | ガイドライン付録1を実践 | 即日(宣言のみ) |
| 二つ星 | 「5分でできる!自社診断」を実施し、対策を推進 | ガイドライン付録2〜4を実践 | 2〜4週間 |
コンプライアンス対応タイムライン(3か月計画)
月別の実施項目
| 週 | 実施項目 | 担当 | 成果物 |
|---|---|---|---|
| 第1週 | 「5分でできる!自社診断」実施 | 経営者+担当者 | 診断結果シート |
| 第2週 | 診断結果の分析、優先順位付け | 担当者 | 対策優先順位リスト |
| 第3週 | SECURITY ACTION一つ星の宣言 | 経営者 | 宣言書(IPA発行) |
| 第4週 | AI利用ガイドラインの策定 | 担当者 | AI利用ルール文書 |
| 第5〜6週 | MFA導入、パスワードポリシー変更 | 担当者 | 設定完了報告 |
| 第7〜8週 | EDR/ウイルス対策の見直し・導入 | 担当者+外部 | 導入完了報告 |
| 第9〜10週 | バックアップ体制の構築・見直し | 担当者+外部 | 3-2-1バックアップ稼働 |
| 第11週 | インシデント対応計画の策定 | 担当者 | インシデント対応手順書 |
| 第12週 | SECURITY ACTION二つ星の宣言 | 経営者 | 宣言書(IPA発行) |
ガイドライン対応の総コスト見積もり
従業員30名の中小企業のケース
| 対策項目 | 初期費用 | 年間運用費 | 補助金適用後(年間) |
|---|---|---|---|
| 自社診断の実施 | 0円 | 0円 | 0円 |
| SECURITY ACTION宣言 | 0円 | 0円 | 0円 |
| AI利用ガイドライン策定 | 0〜30万円 | 0円 | 0〜10万円 |
| MFA導入 | 0円 | 18万円(500円x30人x12月) | 6〜9万円 |
| EDR導入 | 0円 | 36万円(1,000円x30台x12月) | 12〜18万円 |
| バックアップ体制整備 | 5万円 | 36万円(月3万円) | 12〜18万円 |
| 従業員セキュリティ研修 | 0円 | 20万円 | 5〜10万円 |
| インシデント対応計画策定 | 20万円 | 0円(年次見直しは自社) | 7〜10万円 |
| VPN/ゼロトラスト導入 | 0円 | 36万円(1,000円x30人x12月) | 12〜18万円 |
| クラウドセキュリティ監査 | 10万円 | 0円 | 3〜5万円 |
| 合計 | 35〜65万円 | 146万円 | 57〜98万円 |
費用対効果の比較
| 項目 | 金額 |
|---|---|
| ガイドライン対応コスト(年間・補助金適用後) | 57〜98万円 |
| ランサムウェア被害の平均復旧コスト | 500〜5,000万円 |
| 情報漏えい時の平均損害額 | 1,000万〜1億円 |
| 取引停止による逸失利益(年間) | 数百万〜数千万円 |
まとめ
| 項目 | ポイント |
|---|---|
| ガイドライン | 第4.0版(2026年3月27日公表) |
| 主な改訂 | AIリスク追加(第4章新設)、サプライチェーン強化、クラウド対策、テレワーク対応 |
| 最優先 | 「5分でできる!自社診断」の実施(無料・即日可能) |
| 補助金との関連 | SECURITY ACTION二つ星が申請要件 |
| 対応期間 | 3か月で二つ星宣言まで到達可能 |
| 総コスト | 年間57〜98万円(補助金適用後・30名企業) |
| 費用対効果 | インシデント損害額の1%未満の投資で対策可能 |
IPAガイドライン対応、専門家と一緒に進めませんか
自社診断の実施支援から、AI利用ガイドライン策定、SECURITY ACTION宣言、セキュリティ対策評価制度の準備まで、ワンストップで対応します。3か月のコンプライアンス対応ロードマップを無料で作成します。
※ 営業電話はしません | オンライン対応可 | 相談だけでもOK