【令和7年度版】中小企業におけるセキュリティ脅威への対策強化　～情報セキュリティ対策の進め方『できるところから始めよう』～

中小企業において、情報セキュリティの脅威はますます無視できない問題となっています。

独立行政法人情報処理推進機構（IPA）が発行している「中小企業の情報セキュリティ対策ガイドライン第3.1版」の「第２部実践編」では、具体的な対策方法と中小企業の経営者やシステム担当者がこれにどう取り組むべきかを詳しく解説しています。

情報セキュリティ対策に組織全体で取り組むには、実行すべき対策を決めて、従業員に周知する必要があります。
しかし、こうした作業を行うには情報セキュリティに関する知識や経験が必要となるため、それらの知識や経験に長けた人材がいないと対策が進まなくなることも考えられます。

このような背景から、IPAのガイドラインでは規模の小さな企業や、これまで十分な情報セキュリティ対策を実施してこなかった企業などを対象に、すぐに取り組める対策を示し、段階的に発展させていく計画を紹介しています。この「すぐに取り組める対策」が、多くの企業にとって無理なく、自社の状況に応じた対策を開始する道筋となります。

今回は、『できるところから始めよう』と題し、すぐに始められる情報セキュリティ対策に焦点を当てて進めていきます。

１．情報セキュリティに対する中小企業の現状と課題

サイバー攻撃が日常的に発生する状況下において、昨今では、情報セキュリティ対策が強固な大企業だけではなく、中小企業も攻撃の標的にされています。

同一のサプライチェーンを構成する中小企業を経由して、目的企業を攻撃する事例も多数報じられています。

中小企業であっても、サイバー攻撃により取引先企業の機密情報が漏えいするリスクや、次なる攻撃の足掛かりとされる可能性があることを念頭に置き、適切な対策を実施することが重要です。

IPAの「2024年度 中小企業における情報セキュリティ対策に関する実態調査」報告書によると、情報セキュリティ対策に『投資していない』と回答した企業は約62％と2021年度の33.1％と比べて大幅に増加しています。

図１．直近過去3期の情報セキュリティ投資額（前回調査との比較）（n=4191）　
(引用：「2024年度中小企業における情報セキュリティ対策に関する実態調査」報告書 P.178)

投資を行わなかった理由として、「必要性を感じない」（44％）、「費用対効果が不明」（24％）、「コストが高い」（21％）が上位を占めていますが、近年は「人材不足」も大きな課題となっています。

なお、「必要性を感じていない」理由として中小企業(101 名以上)では「既に十分な対策がとられているから」が最も多く62％、小規模企業者では「重要情報を保有していないため」が38％と最も多く、次いで「他社とのネットワーク接続が無いため」が 32％となっています（下図参照）。

図2．情報セキュリティ対策投資に「必要性を感じていない」と回答した理由（企業規模別）（n=1162） 

(引用：「2024年度中小企業における情報セキュリティ対策に関する実態調査」報告書 P.114 )

２．情報セキュリティ５か条から始めるセキュリティ対策

多くの中小企業にとって、情報セキュリティは「守るべき秘密情報はない」などの物理的理由や、「費用対効果が見えない」「自社は攻撃の対象にならない」という心理的理由から対策が後手に回りがちです。
また一方で、必要性は十分に認識しているが、大掛かりでかつ精巧な対策は大変で、なかなか始められないという声も聞きます。

インターネットの普及に伴い、攻撃者の手口は年々巧妙かつ悪質になっており、中小企業も無関係ではいられません。

「情報セキュリティ５か条」では企業の規模に関わらず、重要な基本対策が５項目にまとめられています。
必ず実行しましょう。

図３．中小企業の思い込み
(引用：情報セキュリティ５か条)

（１）OSやソフトウェアは常に最新の状態にしよう！

OSやソフトウェアを古い状態で放置していると、セキュリティ上の脆弱性を抱えたままになり、それを悪用した攻撃によりウイルス感染するリスクが高まります。
お使いのOSやソフトウェアに修正プログラムを適用するなど、常に最新の状態にしましょう。

【対策例】
・Windows Update（Windows OSの場合）、ソフトウェア・アップデート（macOSの場合）などベンダが提供するサービスを実行する。
・Adobe Acrobat Readerやブラウザなど、利用中のソフトウェアを最新版にする。
・テレワークで利用するパソコンのソフトウェアや、Wi-Fiルーターのファームウェアを最新版にする。
・クラウドサービスの脆弱性管理を徹底する。
・利用中のソフトウェアに脆弱性が存在しないか、「MyJVNバージョンチェッカ^※」や「脆弱性対策情報データベース^※」で確認する。

^※MyJVNバージョンチェッカは、パソコンにインストールされているソフトウェア製品が最新かどうかを簡単な操作で確認できるツールです。

^※脆弱性対策情報データベースは、国内外問わず日々公開される脆弱性対策情報を収集、蓄積することを目的としたIPAが提供するデータベースです。

（２）ウイルス対策ソフトを導入しよう！

近年、ファイルの暗号化や、パスワードを盗み、遠隔操作を行うウイルスが増加しています。
ウイルス対策ソフトを導入し、ウイルス定義ファイル（パターンファイル）を自動更新設定にすることで、新たな脅威にも対応できるようにするとともに、EDRやXDRなど高度な対策が推奨されています。

【対策例】
・ウイルス定義ファイルが自動更新されるように設定する。
・統合型のセキュリティ対策ソフトの導入を検討する。
・OSに標準搭載されているセキュリティ機能（Windows Defender等）を有効活用する。
・テレワークで利用するパソコン等の端末にウイルス対策ソフトを導入し、ウイルス定義ファイルを最新の状態にする。

（３）パスワードを強化しよう！

パスワードの解析や流出による不正アクセスの被害は依然として多発しています。
強固なパスワードを設定するために、パスワードは「長く」し、多要素認証（MFA）の必須化などを組み合わせましょう。

【対策例】
・パスワードは12文字以上で「できるだけ長く」する。
・名前、電話番号、誕生日、簡単な英単語などは使わず、推測できないようにする。
・同じID・パスワードを複数のサービスで「使い回さない」。
・テレワークでVPNやクラウドサービスを利用する際、多段階認証や多要素認証を必須化する。
・長文のパスフレーズ（単語ではなく文章のような長い文字列）推奨

（４）共有設定を見直そう！

データ保管などのクラウドストレージやネットワーク接続した複合機の設定を誤ったために、無関係な人に情報を見られてしまうといった情報漏えいのケースが増えています。
データ共有時の設定を確認し、適切な権限を持った人だけがデータにアクセスできるようにしましょう。

【対策例】
・ウェブサービス、クラウドストレージ、ネットワーク接続の複合機・カメラ、ハードディスク（NAS：Network Attached Storage）などの共有範囲を限定する。
・従業員の異動や退職時には速やかに設定を変更（削除）する。
・テレワークで使用するパソコン等は他者と共有しない。共有せざるを得ない場合は、別途ユーザーアカウントを作成する。
・外出先でフリーWi-Fiは極力使わない。やむを得ず利用する場合には、「セキュリティ保護あり」のアクセスポイントを利用する。また、パソコンのファイル共有をオフにする。

（５）脅威や攻撃の手口を知ろう！

攻撃者が取引先や関係者を装い、ウイルスを仕込んだメールを送ってきたり、正規のウェブサイトに似せた偽サイト（フィッシングサイト）を立ち上げてID・パスワードを盗もうとしたりする巧妙な手口が増えています。
常に最新の脅威や攻撃の手口の動向を追って、対策をとりましょう。

【対策例】
・IPAなど、セキュリティ専門機関のウェブサイトやメールマガジンで最新の脅威や攻撃の手口を知る。
・利用中のインターネットバンキングやクラウドサービスなどが提供する注意喚起を確認する。
・管理者が従業員に適宜注意喚起し、セキュリティに関する懸念があった場合は、速やかに報告するよう従業員教育を実施する。

３．効果的な取組事例

【業種共通の対策】

2024年度中小企業における情報セキュリティ対策に関する実態調査において、効果的な取組事例が紹介されており、業界共通の対策として以下が紹介されています。

（１）SECURITY ACTION二つ星の対策実施によるサイバーインシデント被害低減の効果
・SECURITY ACTION 二つ星の対策（「5分でできる！情報セキュリティ自社診断」の診断項目）を多く実施している企業ほど、サイバーインシデント被害が少なく、被害額も少ないと回答していることが明らかになっています。診断項目の実施により、サイバーインシデント被害（発生率・被害額）の低減が期待されます。

（２）第三者評価制度（ISMS認証、Pマーク）の取得による取引先からの信頼獲得の効果
・第三者評価制度（ISMS認証、Pマーク）を取得している企業では、取引先からのサイバーセキュリティ要請に応じたことが取引につながった大きな要因であると考えている企業の割合が、取得していない企業に比べ約2倍となりました。これは、サイバーセキュリティ対策に関する第三者評価制度の取得が、取引上の信頼を得るための重要な要素であることを示しています。

（３）サイバーセキュリティ体制の整備による取引先からの信頼獲得の効果
・普段からサイバーセキュリティ体制が整備されている企業では、取引先からのサイバーセキュリティ要請に応じたことが取引につながった大きな要因であると考えている割合が、未整備の企業の約2倍になりました。これは、サイバーセキュリティ体制の整備が取引上の信頼を得るための重要な要素であることを示しています。

（４）取引における自社の事業へのリスク認識を持つことによる取引先からの信頼獲得の効果
・他社との取引におけるリスク認識がある企業では、取引先からのサイバーセキュリティ要請に応じたことが取引につながった大きな要因であると考えている企業が、リスク認識がない企業の約2倍となりました。これは、サイバーセキュリティ対策を実施する上で、取引におけるリスク認識をもつことが、取引上の信頼を得るための重要な要素であることを示しています。

（引用：2024年度 中小企業における情報セキュリティ対策に関する実態調査～業種ごとの効果的な取組事例集～より一部抜粋）

４．SECURITY ACTION「★一つ星」取得のすすめ

SECURITY ACTIONは、中小企業が自主的に情報セキュリティ対策に取り組む姿勢を自己宣言する制度です。安全・安心なIT社会を実現するために創設されました。

「★一つ星」を宣言するには、情報セキュリティ5か条に従って状況のチェックと対策に取り組みます。
なお、「★一つ星」は、これから情報セキュリティ5か条に取り組むことを宣言するものであり、対策実施前でも申込みは可能で、情報セキュリティ対策に取り組んだことのない企業でも、すぐに始めることができます。

規模や業種を問わず共通する基本的な対策を実行することで、顧客や取引先との信頼関係の構築に大いに役立ちます。さらに、デジタル化やサイバーセキュリティ対策などを支援する公的支援制度の要件になるなど、情報セキュリティのはじめの一歩として、とても有益な制度です。

（SECURITY ACTION自己宣言の申込方法はこちら）

図４.SECURITY ACTION「★一つ星」「★★二つ星」ロゴマーク(サンプル)

ここまで情報セキュリティ５か条の内容と、これを実践する宣言であるSECURITY ACTION「★一つ星」についてご紹介いたしましたが、いかがだったでしょうか。

まだまだ情報セキュリティに対して、「投資していない」「必要性を感じない」と考える中小企業が多いのは統計から見ても明らかです。

しかし、大きな費用をかけることなく、まずは「できるところから始める」ことを意識し、アクションを起こすことが重要です。

まずはスモールステップで構わないので、情報セキュリティ５か条を足掛かりに情報セキュリティ対策に取り組みましょう。

その姿勢が企業の持続可能な発展を支える鍵となると考えます。

５．取り組む際の参考資料

ここまでの解説で取り上げたガイドラインでは、「できるところから始める」の解説に加えて、具体的にはどのように取り組んだら良いのか、さらに進めるためにはどうしたら良いのかなど発展的な取り組み方法について紹介しています。

ぜひ、理解を深めたい、次のステップに進みたいと思った際の参考にしてください。

1.中小企業の情報セキュリティ対策ガイドライン （IPA）

2.付録1：情報セキュリティ5か条（IPA）

3.2024年度 中小企業における情報セキュリティ対策に関する実態調査（IPA）

4.SECURITY ACTION（IPA）