サイバー攻撃を“自分事”に。そしてその先、“どう動く？”――中小企業のセキュリティ対策強化に向けて「中小企業のための実例で学ぶサイバーセキュリティリスク事例集」と「中小企業の情報セキュリティ対策ガイドライン第4.0版」を公表しました

1．背景

近年、中小企業でもDXが進みIT活用が広がる一方で、サイバー攻撃の被害も増加しており、重大な経営リスクとなっています。特にランサムウェア被害は深刻で、IPAの「情報セキュリティ10大脅威2026」でも5年連続で第1位の脅威と位置付けられています。

しかし、多くの中小企業では、サイバーセキュリティ対策について「必要性を感じていない」「どこから始めればよいか分からない」といった層が依然として見られます。また、IPAが実施した「2024年度中小企業における情報セキュリティ対策に関する実態調査」（中小企業実態調査）では、「OSのアップデート」や「ウイルス対策ソフトの導入」などの基礎的な対策は進んでいる一方で、「セキュリティ対策のルール化」などの組織的対策は十分に進んでいない実態が明らかとなっています。さらに、同調査ではサイバー攻撃の被害を受けた中小企業の約7割が取引先企業にも影響が及んだと回答しています。

こうした状況を踏まえ、経済産業省及び内閣官房国家サイバー統括室では、サプライチェーン全体で実施すべきセキュリティ対策の基準を示すとともに対策状況を可視化する制度として、「サプライチェーン強化に向けたセキュリティ対策評価制度（SCS評価制度）」の構築に向けた検討を進めています。制度では、組織的対策に関する項目も含まれ、制度開始後には取引先企業からセキュリティ対策の実施を求められる機会が増えることが見込まれます。このため、中小企業においてもサイバーセキュリティを「自分事」として捉え、対策を強化することが重要となってきます。

2．趣旨

「中小企業のための実例で学ぶサイバーセキュリティリスク事例集」は、中小企業で実際に起こり得る被害や必要な対策を具体的に示すことで、自社のリスク認識を深め、サイバー攻撃を自分事と認識した上で、必要な対策を促すことを目的として作成したものです。

「中小企業の情報セキュリティ対策ガイドライン」の改訂は、ランサムウェア攻撃を始めとしたサイバー攻撃の脅威が増す中、中小企業の組織的対策強化を促すとともに、人材の確保・育成も含め、対策を段階的に進めるための実務的な参考資料として活用されることを目的として実施したものです。

今後、経済産業省による普及展開活動や、地域におけるセキュリティ・コミュニティ活動を通じて、中小企業がこれらの文書を参照することによりサイバーセキュリティ対策を自らの経営課題として捉え、具体的な行動につなげることを後押しし、我が国のサプライチェーン全体のセキュリティ水準の底上げを図ります。

3．「中小企業のための実例で学ぶサイバーセキュリティリスク事例集」の作成

中小企業におけるサイバーリスクの理解促進を目的として、「中小企業のための実例で学ぶサイバーセキュリティリスク事例集」を作成しました。本事例集は、126社への調査^※を基に、30事例を整理したものです。

事例集の全体構成

事例の紹介

中小企業が直面しやすい弱点、被害の影響、早期に取り組める対策を実例に基づきわかりやすくまとめており、以下のような場面で活用しやすい構成としています。

• 対策アイデアの工夫をする場面で活用できる事例（例：自社に近い規模の企業が実践した改善策の確認として“取組事例”を活用）

• 社内でインシデント被害リスクを説明する場面で活用できる事例（例：社員向けセキュリティ研修の教材として“脆弱性事例”と”被害事例”を活用）
• 今すぐできるセキュリティ対策を確認する場面で活用できる事例（例：今日から着手できる設定変更や運用ルールの見直しとして”すぐできる対策”を活用）
• 経営層に対してセキュリティ対策の提案をする場面で活用できる事例（例：リスクと費用対効果を説明する際の根拠資料として”被害事例”を活用）

目的に応じて適切な事例を選択できます。事例集の内容は、そのまま教材や説明資料としてご活用いただけます。

事例を選ぶ際のポイント

4．中小企業の情報セキュリティ対策ガイドラインの改訂

最近のサイバー攻撃の動向、SCS評価制度の検討、中小企業実態調査の結果及び「サイバーセキュリティ人材の育成促進に向けた検討会」の結果を踏まえ、「中小企業の情報セキュリティ対策ガイドライン第3.1版^※」の改訂を実施しました。

（1） SCS評価制度の考え方の取り込み

SCS評価制度が、SA宣言の上位基準として位置付けられていることを踏まえ、本ガイドラインをSA宣言の取組に限らず、SCS評価制度にもつながる内容に見直しを行いました。

具体的には、ガイドラインの「第2部 実践編」STEP3において、SCS評価制度で求められる要求事項（セキュリティポリシーの策定、アクセス制御やログ管理等）を踏まえ、対策を実施するにあたっての考え方を整理しました。付録として掲載されている規程類のサンプルやひな型についても、SCS評価制度に対応する形で拡充しました。

（2）SECURITY ACTION自己宣言制度の基準見直しの反映

SA宣言の基準を見直し、ガイドラインにも反映しています。主な見直しのポイントは以下のとおりです。

• SA宣言一つ星の取組について、OSのアップデートやウイルス対策ソフトの導入など基本5項目であったのを、ランサムウェア被害の拡大を踏まえバックアップの取得を追加し6項目とした。
• SA宣言二つ星の取組である情報セキュリティ基本方針の策定及び、自社のセキュリティ対策状況を自社診断する25項目（SA宣言一つ星の項目を含む）について、中小企業実態調査の結果を踏まえ以下のとおり見直し。
  • ファイアウォールの導入が進んでいる実態があることを受けて、定着を図る観点から項目として追加。
  • コンテンツ管理システム（CMS）などWebシステムの導入実態がある中で、Webサイトの管理に関するセキュリティ対策を追加。
  • 類似する項目について重複感を避ける観点から、「事務所の立ち入り制限」といった物理的対策や、「情報セキュリティ教育」といった従業員のセキュリティ意識に関する項目について関連する項目を統合。
  • 実施率が低い項目について、取組を実施する際に参考となる参照先を対策例に追加するなど、対策実施に向けた導線を強化。

（3）付録「中小企業のためのセキュリティ人材確保・育成の実践ガイドブック」の作成

経済産業省が開催した「サイバーセキュリティ人材の育成促進に向けた検討会」の最終取りまとめ（2025年5月）において、企業が自社で人材を育成しつつ、外部の専門人材も活用するための方法をコンパクトに提示する「中堅・中小企業が実施するセキュリティ対策に応じた人材確保・育成の実践的方策ガイドβ版」を策定・公表しました。

また、企業が取組を実践していくためには、単に必要な事項を提示するだけでなく、具体的な事例を併せて示すことが重要であるため、中小企業へのヒアリング等を通じて実際に取り組む際の参考となる事例を収集しました。

その上で、これを「中小企業のためのセキュリティ人材確保・育成の実践ガイドブック」として、セキュリティ対策とあわせて人材面の取組を進めるためのガイドラインの付録に位置付けて整理しました。

関連リンク

• 中小企業の情報セキュリティ対策ガイドライン（IPA）
• SECURITY ACTION自己宣言制度（IPA）
• 中小企業のための実例で学ぶサイバーセキュリティリスク事例集（IPA）
• 情報セキュリティ10大脅威2026年（IPA）
• 2024年度中小企業における情報セキュリティ対策に関する実態調査（中小企業実態調査）（IPA）
• サイバーセキュリティ対策をはじめたい・支援策を知りたい
• 「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針」（SCS評価制度の構築方針）を公表しました
• サイバーセキュリティ人材の育成促進に向けた検討会最終取りまとめ

担当

商務情報政策局 サイバーセキュリティ課長 武尾
担当者：池田、小山、橋本
電話：03-3501-1511（内線 3964）
メール：bzl-cyber-madoguchi★meti.go.jp
※［★］を［@］に置き換えてください。
※ 原則、メールでお問合せください。