ウイルス対策ソフトは入れた。OSも更新している。それでも、政府が「中小企業のセキュリティ対策はまだ足りない」と言い続けるのはなぜか。経済産業省とIPA(独立行政法人情報処理推進機構)が3月27日に公表した新しいガイドラインを読むと、その答えが見えてくる。問われているのは技術導入の有無ではなく、サイバーセキュリティを「経営の仕組み」として回せているかどうかだ。
何が公表されたか
経済産業省とIPAは、中小企業向けに2つの文書を同時に公表した。
ひとつは「中小企業のための実例で学ぶサイバーセキュリティリスク事例集」。126社への調査をもとに30の事例をまとめたもので、中小企業が直面しやすい弱点や被害の影響を具体的に示している。社員教育の教材や経営層への説明資料として使えるよう設計されている。
もうひとつは「中小企業の情報セキュリティ対策ガイドライン第4.0版」。前バージョン(第3.1版)から大幅に改訂され、ランサムウェアの脅威拡大やIPA実態調査の結果などを踏まえた内容に更新された。
行政が見ている「本当の弱点」
中小企業のセキュリティ対策が遅れているとよく言われるが、実態は少し違う。IPAの2024年度調査では、OSのアップデートやウイルス対策ソフトの導入といった基礎的な対策は、おおむね7割前後まで進んでいる。
行政が問題視しているのはその先だ。「セキュリティのルールを文書化する」「インシデント発生時の連絡体制を整える」「社員教育を定期的に実施する」といった組織的対策は、項目によって差があるものの4〜5割台にとどまるものが目立ち、基礎対策ほどには進んでいない。
経産省の見立てを翻訳すると、こうなる。「中小企業の問題は『何もしていないこと』ではなく、『個別の防御は入っているが、経営として回す仕組みがない』ことだ」。
「自分が被害を受けた」だけでは済まない理由
今回のガイドラインが強調するもうひとつの論点が、サプライチェーンへの波及だ。IPAの調査(2025年2月速報)によると、サイバー攻撃の被害を受けた中小企業の約7割が、取引先の事業にも影響が及んだと回答している。
これは何を意味するか。中小企業のセキュリティが弱いと、自社が踏み台になったり、取引先への納品が停止したりするリスクがある。大企業や重要インフラへの攻撃ルートとして中小企業を経由するケースは珍しくない。
こうした実態を受けて、サイバー対策の位置づけは変わりつつある。「自社を守るための努力」という従来の枠から、「取引先に迷惑をかけないための経営責任」へと再定義されてきているのだ。
バックアップが「最低ライン」に加わった意味
今回の改訂でひとつ注目したいのが、SECURITY ACTION(セキュリティアクション)の基準変更だ。
SECURITY ACTIONとは、IPAが運営する制度で、中小企業が自社のセキュリティ対策への取り組みを自己宣言するものだ。一つ星、二つ星という段階があり、一部の取引や補助事業で参照される場面もある。
これまで一つ星の取り組みは「OSのアップデート」「ウイルス対策ソフト」など5項目だった。今回の改訂で「バックアップの取得」が6項目目として追加された。
小さな変更に見えるが、含意は大きい。ランサムウェア攻撃が常態化した今、「侵入されないこと」だけでなく「侵入されても元に戻せること」が、セキュリティの最低条件になったということだ。バックアップなしに感染が起きれば、データが暗号化されたまま業務が止まる。身代金を払っても復旧を保証されないケースも多い。
セキュリティが「取引条件」に近づく日
今回のガイドライン改訂で最も重要な背景のひとつが、SCS評価制度(サプライチェーン強化に向けたセキュリティ対策評価制度)との連動だ。
SCSとは「Supply Chain Security」の略で、発注側企業が取引先(委託先)に対して求めるセキュリティ対策の水準を段階別に示し、その実施状況を確認できる共通の物差しを作ろうという制度構想だ。経済産業省と内閣官房が2025年12月に構築方針案を公表しており、2026年度末ごろの制度開始を目指している。
ガイドライン4.0版には、このSCS評価制度で求められる要求事項(セキュリティポリシーの策定、アクセス制御、ログ管理など)を踏まえた内容が組み込まれた。
何が変わるか、分かりやすく言えばこうだ。制度が始まれば、取引先から「御社のセキュリティ対策はこの水準を満たしていますか」と聞かれる可能性が高まる。今回の事例集やガイドラインは、そうした問いに答えられるよう中小企業が今のうちに準備するための教材でもある。
「専任CISOを置け」とは言わない
今回の改訂でもうひとつ注目されるのが、ガイドラインの付録として「中小企業のためのセキュリティ人材確保・育成の実践ガイドブック」が追加されたことだ。
内容は、自社での人材育成と外部専門家の活用を組み合わせることを前提にしている。つまり政策側は、中小企業が大企業のようなセキュリティ専任部門を持てないことを織り込んでいる。
逆に言えば、「専任の担当者がいないから何もできない」という説明は通しにくくなる方向だ。外部のセキュリティサービスや支援制度を使ってでも、段階的に対策を進めることが求められていく。
「やっている」から「仕組みとして回している」へ
今回公表された事例集とガイドライン4.0版は、表向きは「普及啓発資料の更新」だ。しかし背景にあるのは、日本のサプライチェーン全体でセキュリティの共通基準を作ろうという動きであり、中小企業もその網の中に入っていくことを意味する。
ランサムウェア対策の本丸は、ウイルス対策ソフトの導入からとっくに先に進んでいる。ルール化、体制整備、バックアップ、インシデント対応計画——これらを「経営の仕事として回す仕組み」を持つことが、これからの中小企業に求められる最低ラインになりつつある。取引先から聞かれる前に、今のうちに整える方が動きやすいのは言うまでもない。
(本稿は各種公開情報をもとに作成しました。一部数値は記事掲載時点の情報です)
