中小企業こそ情報セキュリティ対策が重要！
IPAガイドラインや取り組むべき対策方法を紹介！

情報セキュリティにおける脅威は大きく「技術的脅威」「人的脅威」「物理的脅威」の3種類に分けられます。ここからは、それぞれの脅威について解説します。

技術的脅威とは、悪意のある第三者がサイバー攻撃を仕かけることによって生じる脅威のことです。ソフトウェアやネットワークの脆弱性を狙い、情報の詐取などを目的として攻撃が行われます。

サイバー攻撃は年々高度化・複雑化しているため、情報資産である個人情報などを守るためにも企業は情報セキュリティに注力する必要があるでしょう。

具体的な攻撃例としては、フィッシング詐欺やランサムウェア、ゼロデイ攻撃などが挙げられます。ゼロデイ攻撃とは、新たに見つかった脆弱性が修正される前に仕かけるサイバー攻撃のことです。脆弱性の発見と修正は日々繰り返されているため、ゼロデイ攻撃を完全に防ぐことは難しいとされています。

これらの技術的脅威に対抗するためには、こまめなシステムアップデートや情報セキュリティ対策ソフトの導入といった対策が欠かせません。

人的脅威とは、人間が直接的に介在したために情報セキュリティ上の脅威が生じることです。オペレーションミスやメールの誤送信など、ヒューマンエラーによってセキュリティインシデントが起こるケースが該当します。また、SNSで企業の情報を公開するなど、従業員の情報セキュリティ意識の低さが被害を招く場合もあるでしょう。

上記の例は偶発的なものですが、人的脅威には内部不正のような意図的な脅威も含まれます。なりすましや不正アクセスのように、技術的脅威と人的脅威の両方の要素を兼ね備える例もあります。

人的脅威への対策として、従業員向けには情報セキュリティ教育を徹底する方法やセキュリティ遵守誓約書の定期提出などが効果的です。意図的脅威に対しては、システムによるログ管理などの導入によって、被害を防ぎやすくなるでしょう。

物理的脅威とは、サーバーやネットワーク機器、書類などの物理的なものに関わる脅威のことです。デバイスや書類の紛失による情報漏えい、地震などの天災が原因といったパターンがあります。ハードウェア自体のトラブルがセキュリティインシデントにつながる場合も物理的脅威に該当します。

物理的脅威に対しては、情報の定期的なバックアップや重要情報を扱う機器の分散・冗長化といった対策やシンクライアントの採用で、万一PCを紛失しても情報漏えいしない仕組みなどが考えられるでしょう。

また、自然災害が頻発する日本では天災に備えることも重要です。頑丈な建物でサーバーを保管する、安全性の高い場所にオフィスを設置するといった工夫で対策を講じることが求められます。

近年、中小企業がサイバー攻撃の対象となるケースが増えてきています。ここでは、中小企業が情報セキュリティに注力すべき理由について紹介します。

中小企業の情報セキュリティリスクが高まっている理由は、大企業に比べてサイバーセキュリティが徹底されていないことです。

中小企業にはIT専任の担当者がいないことも多く、専門的な知識がないことから効果的な対策を講じることが難しい状況です。一般的に、中小企業はリソースに余裕がないため、売上や生産性の向上に比べて情報セキュリティ対策が軽視される傾向があります。

IPA（独立行政法人情報処理推進機構）の「2024年度中小企業等実態調査結果」（速報版）によると、情報セキュリティ対策の担当者を任命していない企業は中小企業全体の69.7％です。この結果から、組織単位での対策は行わずに社員各自のやり方や対処に任せている中小企業の実情が把握できます。

また、社員教育が不足していることも中小企業の課題点です。社員各自の情報セキュリティ意識の甘さから私用デバイスを不正に用いて業務などを行い、マルウェア感染のような被害につながるケースもあります。

出典：「2024年度中小企業等実態調査結果」速報版を公開│独立行政法人情報処理推進機構

中小企業は、大企業に攻撃を仕かけるための踏み台として利用されるケースもあります。

中小企業の多くは高度な情報セキュリティ対策を実施しておらず、マルウェアなどの侵入が比較的容易です。そこで、まず中小企業にサイバー攻撃を仕かけ、そのうえで取引先である大企業に感染を広げようと考える攻撃者が少なくありません。

このように、中小企業を経て大企業へ感染を広げる攻撃手法は「サプライチェーン攻撃」と呼ばれます。中小企業が情報セキュリティ対策を怠ることにより、取引先にまで被害を広げてしまうリスクが潜んでいる状況です。

サイバー攻撃の対象となりやすい中小企業こそ、適切な情報セキュリティ対策に取り組む必要があり、それが喫緊の課題となっています。

中小企業に対して情報セキュリティ対策の重要性を認識してもらうために、IPAでは「中小企業の情報セキュリティ対策ガイドライン」を策定しています。

2025年8月現在、最新の第3.1版が公開されています。最新版では「テレワークの情報セキュリティ」や「セキュリティインシデント対応」といった項目が追加されました。

ガイドラインには、「経営者編」「実践編」から構成される本編と、付録資料が含まれています。付録資料は以下に挙げる8種類で、自社の情報セキュリティ強化に活用できます。

IPAのガイドラインはすべて無料で公開されているため、情報セキュリティ対策に悩む中小企業の方は積極的に活用してみてください。ここからは、ガイドラインに記載されている重要なポイントを3つ取り上げて紹介します。

出典：中小企業の情報セキュリティ対策ガイドライン 第3.1版│独立行政法人情報処理推進機構

IPAのガイドラインでは、以下の5か条を情報セキュリティ対策の基本として掲げています。

サイバー攻撃が巧妙化するにつれて情報セキュリティ対策は難しくなっていますが、基本的な対策は変わりません。

IPAが紹介する5か条は、企業の規模にかかわらず実行できる簡単な対策方法です。リソースが限られている中小企業こそ基本的な対策を徹底して、情報漏えいなどの被害を未然に防ぎましょう。

ガイドラインでは、情報セキュリティを確保するために経営者が認識すべきこととして以下の3原則を紹介しています。

1つ目の原則は、現場の社員が情報セキュリティ対策に労力を割きにくい実情を考慮して定められています。情報セキュリティ対策は経営者が主導し、現場を巻き込んで必要な施策を実行することが重要です。

2つ目の原則では、委託先が原因で起こったセキュリティインシデントに対しても経営者が管理責任を問われる点に言及しています。委託先の情報セキュリティ対策まで考慮すると同時に、委託元から情報セキュリティ対策の要求があった場合には適切に応じなくてはなりません。

3つ目の原則は、経営者が説明責任を果たすために必要なルールです。取引先や株主などに情報セキュリティ対策に関する質問を受けたとき、経営者自身が明確に答えられるように理解を深めておきましょう。丁寧に説明責任を果たすことによって、業務上の関係者との信頼関係も維持しやすくなります。

認識すべき原則に続いて、ガイドラインには経営者が実行すべき具体的な取組についても記載されています。

中小企業の経営者は、上記の取組について自ら実践する、あるいは担当者や責任者に実行を指示する必要があります。情報セキュリティの対応方針を定める際には、自社の経営におけるリスク要因を明確にしたうえで、具体的な対策方法を考えることが重要です。

情報セキュリティ対策に必要な予算や人材を確保し、対策を講じるなかで適宜ブラッシュアップを行いましょう。また、万が一の事態が起こった場合に備え、被害拡大の防止や復旧のための体制を整えておくことも大切です。

業務を外部に委託したり、外部サービスを利用したりする際は、契約書などで情報セキュリティに関する責任の範囲を明確にする必要があります。そして、情報技術の変化に対応するためにも、常にアンテナを張って情報セキュリティに関する最新の動向について把握しておきましょう。

中小企業の情報セキュリティ対策は、IPAのガイドラインを理解したうえで、経営者が主体となって講じていくことが求められます。

ここからは、IPAが公開しているガイドラインの内容に準じて、中小企業が取り組むべき情報セキュリティ対策について紹介します。

情報セキュリティ対策を推進するための管理体制を構築する際には、まず自社のリスク要因を把握しておくと役に立ちます。

ガイドラインの付録「5分でできる！情報セキュリティ自社診断」などを使い、リスクを可視化するとよいでしょう。この付録の解説編では診断結果に基づいて実施すべき対策例が紹介されているため、有効活用することをおすすめします。

自社が抱えるリスク要因を把握したら、次に管理体制を構築します。情報セキュリティ管理における役割と責任の明確化、情報セキュリティ規程の作成などを行い、さらに業務を外部に委託した際の対策についても決めておきましょう。

構築した情報セキュリティ体制は、継続的に運用・改善していくことが重要です。外部の専門家も活用しながら、定期的に対策内容を見直して改善を図ることによって、新しい脅威にも対応しやすくなります。

ガイドラインで紹介している情報セキュリティ5か条はいずれも基本的な対策であるため、最初に取り組む必要があります。

ウイルス対策ソフトの導入やパスワード管理の強化など、いずれも簡単な内容ですがおろそかにはできません。できる対策から始めて、キャンペーンや各種取り組みを通じて社内の情報セキュリティ意識を醸成していきましょう。

まず、古い状態のOSやソフトウェアには情報セキュリティ上の問題がある可能性が高いため、最新の状態にアップデートし最新状態を維持し続けることが重要です。それが難しい場合は、セキュリティベンダーに相談し支援してもらうのもよいでしょう。

また、社員がパスワードを適当に管理していると不正ログインなどの被害を受ける恐れがあります。「長く」「複雑に」「使い回さない」といった3つのポイントを徹底し、他人に推測されにくい文字列でパスワードを設定してください。

ウェブサービスなどの共有設定についても、1つ間違えると第三者に機密情報を詐取されるリスクが生じます。そのほか、どのような攻撃手口があるのかといった知識を身に付けて、最低限の対策を講じておくことが大切です。

技術的脅威に対抗するためには、自社の技術的対策を強化することが欠かせません。アクセス管理の強化やEDR、VPNなどの導入によって、情報漏えいなどの被害を抑える必要があります。

EDR（Endpoint Detection and Response）とは、マルウェアがシステム内に侵入した際に素早く検知し、可視化・分析して管理者に通知することにより被害拡大を抑える情報セキュリティソリューションです。サイバー攻撃を完全に防ぐことは困難な状況になっていることから、マルウェア侵入後の対応ができるEDRの注目度が高まっています。

VPN（Virtual Private Network）は仮想的な専用ネットワーク回線のことで、通常のインターネット回線よりも優れた情報セキュリティ対策が施されています。

ゼロトラストセキュリティとは、社内外すべての通信を危険なものとみなし、安全性・正当性を検証する考え方のことです。

働き方の変化などの影響により、従来の境界型防御だけでは現代の情報セキュリティリスクに対抗できなくなっています。社外コラボレーションが増え、外部のクラウドサービスを頻繁に利用するようになったことも情報セキュリティリスク増大の一因です。

情報セキュリティ対策にゼロトラストの考え方を採用することによって、情報セキュリティ体制はより強固にすることができるでしょう。

ゼロトラストセキュリティについては以下記事で詳しく解説しているのでご参照ください。

ゼロトラストセキュリティとEDR-多層防御の考え方

セキュリティインシデントの発生を完全に防ぐことはできないため、インシデントが発生した際に対応できる力を養うことも重要なポイントです。マルウェア感染や情報漏えいなどのインシデントが発生したときには、迅速な対応が被害拡大の防止に役立ちます。

まず、インシデント対応計画を作成して報告フローや対応手順について明確にしておきましょう。また、作成した計画に則って、定期的に訓練を行うことが迅速な対応につながります。外部の専門家の意見も取り入れながら、インシデントへの対応体制を整えてください。

NTTドコモビジネスの「VxGPlatform」は、ネットワークと情報セキュリティ対策に欠かせない要素を基本機能として搭載するMSSです。SOC／NOCやEDR／MDRなどの多彩なセキュリティメニューを提供しており、お客さまのネットワーク環境をさまざまな脅威から守ります。

VxGPlatformの魅力は、環境の変化に合わせた柔軟なスケーラビリティです。そのほか、NTT独自のセキュリティデータベースを活用した自動遮断システム「BDAPモデル」により、高品質・高機能なセキュリティ基盤を提供しています。

情報セキュリティのリスクから自社や取引先を守りたい中小企業の方は、ぜひVxGPlatformの導入をご検討ください。

情報セキュリティ対策が十分に行われていない中小企業は、サイバー攻撃の被害を受けるリスクが高い状況です。取引先の大企業にも被害がおよぶ恐れがあるため、情報セキュリティ対策にいち早く取り組むことが求められています。

中小企業において情報セキュリティ対策を実践する際には、IPAが公開しているガイドラインが参考になります。情報セキュリティ5か条などの基本的な対策から始め、強固なセキュリティ体制を着実に構築していくとよいでしょう。