記事公開日
IPA「中小企業の情報セキュリティ対策ガイドライン第4.0版」改訂ポイントと「6か条」を徹底解説
はじめに:製造業を取り巻くサイバーセキュリティの現状
昨今、製造業を取り巻くサイバーセキュリティの環境は、かつてないほど厳しさを増しています。
特に深刻なのが、セキュリティ対策が手薄な取引先を踏み台にして、ターゲットとなる大手企業のシステムに侵入する「サプライチェーン攻撃」の増加です。 製造業においては、取引先からセキュリティ対策の実施を求められるケースが増加しています。対策が不十分な場合、自社から機密情報が漏えいするだけでなく、サプライチェーン全体(取引先の事業活動)にまで影響を及ぼし、最悪の場合は工場のライン停止に追い込まれるといった甚大なリスクを抱えています。
このような状況の中、IPA(独立行政法人情報処理推進機構)は2026年3月、「中小企業の情報セキュリティ対策ガイドライン」を改訂し、「第4.0版」を公開しました。 本記事では、製造業の経営者や情報システム・セキュリティ担当者の皆様に向けて、第4.0版の重要な改訂ポイントと、今日から現場で取り組むべき「情報セキュリティ6か条」について分かりやすく解説します。
あわせて読みたい!
IPA「中小企業の情報セキュリティ対策ガイドライン」を経営の武器にする
中小企業の情報セキュリティ対策ガイドライン(第4.0版)の改訂ポイント
今回の第4.0版への改訂は、近年の急激なサイバー環境の変化に対応するためのものです。改訂の背景には、主に以下の3つの課題があります。
- ランサムウェア被害の拡大
データを暗号化し、身代金を要求するランサムウェアによる被害が顕在化しており、単なる情報漏えいにとどまらず、企業の事業活動そのものが停止に追い込まれる事態が急増しています。 - サプライチェーンの脆弱性
国内外でサプライチェーンを介した被害が拡大しており、サプライチェーン全体での対策推進が急務となっています。 - IT人材不足
多くの中小企業において、セキュリティ対策を推進・管理できる人材が著しく不足しています。
これらの背景を踏まえ、第4.0版では以下の3つが主な改訂ポイントとなりました。
ポイント1:「SCS評価制度」の考え方の取り込み
経済産業省および内閣官房国家サイバー統括室が検討を進めている「サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)」の基本的な考え方が取り込まれました。この制度は、サプライチェーン全体でのセキュリティ強化を目的としており、製造業の中小企業が取引先からの要求に応えるための重要な指標となります。
ポイント2:「セキュリティ人材確保・育成ガイド」の追加
深刻な人材不足に対応するため、「中小企業のためのセキュリティ人材確保・育成の実践ガイドブック」が新たに付録として追加されました。自社内でどのようにセキュリティ担当者を確保し、育てていくかについての具体的な方策や事例が示されています。
ポイント3:「5か条」から「6か条」への拡充
これまで「はじめに取り組んでほしい情報セキュリティ5か条」として提唱されていた基本的な対策に、新たに「バックアップを取ろう!」が追加され、「情報セキュリティ6か条」へと拡充されました。
製造業も必見!今日からできる「情報セキュリティ6か条」
情報セキュリティ対策は、企業の規模に関わらず「できるところから始める」ことが非常に重要です。ここでは、製造業の現場でも必ず実行すべき基本的な対策である「情報セキュリティ6か条」を解説します。
1.OSやソフトウェアは常に最新の状態にしよう!
パソコンやスマートフォンのOS、業務で使用しているソフトウェアを古いバージョンのまま放置していると、セキュリティ上の問題点(脆弱性)が修正されず、そこを悪用されてウイルスに感染する危険性が高まります。OSやソフトウェアは常に修正プログラムを適用し、最新版を利用するように徹底しましょう。
2. ウイルス対策ソフトを導入しよう!
IDやパスワードを盗み出したり、パソコンを遠隔操作したり、ファイルを勝手に暗号化する悪質なウイルスが増加しています。すべての端末に必ずウイルス対策ソフトを導入し、ウイルス定義ファイル(パターンファイル)が常に最新の状態に更新されるように設定しておきましょう。
3.パスワードを強化しよう!
パスワードが推測・解析されたり、他のウェブサービスから流出した情報が悪用されたりして、社内システムに不正ログインされる被害が後を絶ちません。パスワードは「長く」「複雑に」設定し、複数のサービスで「使い回さない」ことをルール化して強化しましょう。
4.共有設定を見直そう!
データの保管に利用するウェブサービスや、社内ネットワークに接続された複合機などの共有設定を間違えたために、無関係な人に機密情報や設計データなどを覗き見られてしまうトラブルが増えています。重要な情報に、無関係な人がアクセスできる設定になっていないか定期的に確認しましょう。
5.バックアップを取ろう!(※新追加ポイント)
今回の改訂で新たに追加された、ランサムウェア対策として最も重要な項目です。ウイルス感染やシステムの故障、誤操作などにより、データが消失・暗号化されてしまうことがあります。工場の稼働や事業を継続できるよう、定期的にバックアップを取得しておくことが必須です。
6.脅威や攻撃の手口を知ろう!
取引先や関連会社を装ってウイルス付きのメールを送りつけたり、正規のウェブサイトに似せた偽サイトに誘導してID・パスワードを盗もうとする巧妙な手口が増えています。公的機関が発信する最新の脅威情報を収集し、手口を知ることで組織としての対策や従業員への注意喚起に活かしましょう。
まとめと「PC検疫けんちくん」のご紹介
企業の持続的な成長を実現するためには、サイバーセキュリティ対策はもはや欠かせない要素です。
対策の遅れは、自社のみならず取引先にも多大な迷惑をかけ、事業の存続に関わる重大なインシデントに発展する可能性があります。
まずは、今回ご紹介した「情報セキュリティ6か条」のような基本的な対策から、着実に進めていくことが重要です。
しかし、限られた人員の中で、従業員全員のPCの「OSやソフトウェアが最新になっているか」「ウイルス対策ソフトが正しく動いているか」を一つひとつ手作業で把握・管理することは、製造業の多忙な現場では現実的ではありません。
そこで、ぜひ活用していただきたいのが「PC検疫けんちくん」です。
「PC検疫けんちくん」を導入すれば、従業員が利用しているPCのOS・ソフトウェアのバージョン情報や、ウイルス対策ソフトの稼働状況を検査し、簡単に一元管理する運用が可能になります。 これにより、ガイドラインが推奨する情報セキュリティ6か条のうち「1. OSやソフトウェアは常に最新の状態にしよう!」「2. ウイルス対策ソフトを導入しよう!」といった土台となる対策を、人材不足の環境下でも効率的かつ確実に行うことが可能になります。
サプライチェーン全体の安全を守る第一歩として、「PC検疫けんちくん」で手間をかけずに確実なPCの状態管理を始めてみませんか。
