2026.02.06
【令和7年度版】中小企業におけるセキュリティ脅威への対策強化 ~よくある質問への回答~
目次
れまで、独立行政法人情報処理推進機構(IPA)が発行する「情報セキュリティ10大脅威2025」や「中小企業の情報セキュリティ対策ガイドライン第3.1版」を基に、中小企業の経営者やシステム担当者が行うべき情報セキュリティ対策について掘り下げてきました。
今回は、セミナーやメルマガのアンケートで寄せられた質問に焦点を当てて解説します。
- 経営層に求められるリーダーシップの具体的アクション【組織・人的対策】
- 社員教育の進め方 【組織・人的対策】
- 情報資産の扱い方・管理方法 【技術的対策】
1.経営層に求められるリーダーシップの具体的アクション
情報セキュリティにおいて最も重要な要素は、定着化であると言っても過言ではありません。とはいえ、この定着化の実現は、最も困難な要素でもあります。
経営層の方からよく聞く声として、次のようなものがあります。
・規程を作ったが、どう徹底させればよいかわからない
・現場が面倒くさがって、なかなか実行してくれない
・社員のITリテラシーが低く、理解が進まない
・社内教育は実施しているが、浸透しない
これらを解決するためには、次の4つのアクションが重要です。
・経営層の積極的な参画
・セキュリティ規程の見直し
・従業員に自分事として感じさせる
・定期点検の有効活用
「セキュリティ規程の見直し」と「定期点検の有効活用」は、以前の記事で解説したので、今回は「経営層の積極的な参画」と「従業員に自分事として感じさせる」という観点で進めていきます。
(1)経営層の積極的な参画
情報セキュリティ対策を疎かにすると、経営に大きな影響を与え、最悪の場合、経営破綻や法的・道義的責任を問われることもあります。外部への影響だけでなく、企業と従業員を守るためにも、情報セキュリティ対策は組織全体で取り組む必要があり、経営層の関与が不可欠です。
経営層の積極的な関与なしに、情報セキュリティ対策は成り立たないといえます。
経営層には情報セキュリティ対策を組織的に実施する意思を、従業員や関係者に宣言し(情報セキュリティ基本方針の作成と公開)、具体的な対策を「企業や組織を守るためだけでなく従業員を守るための取り組みである」ことを説明することが求められます。また、その後も継続的に対策に取り組む姿勢を見せることが重要です。
(2) 経営層が果たすべき具体的なリーダーシップ
経営層には、サイバーセキュリティ経営ガイドラインVer3.0に記載されているサイバーセキュリティ※対策におけるリーダーシップと同等のことが求められます。
経営者は、以下の10項目について、サイバーセキュリティ対策を実施する上での責任者や担当部署CISO、サイバーセキュリティ担当者等)への指示を通じて組織に適した形で確実に実施させる必要があります。
指示1:サイバーセキュリティリスクの認識、組織全体での対応方針の策定
指示2:サイバーセキュリティリスク管理体制の構築
指示3:サイバーセキュリティ対策のための資源(予算、人材等)確保
指示4:サイバーセキュリティリスクの把握とリスク対応に関する計画の策定
指示5:サイバーセキュリティリスクに効果的に 対応する仕組みの構築
指示6:PDCAサイクルによるサイバーセキュリティ対策の継続的改善
指示7:インシデント発生時の緊急対応体制の整備
指示8:インシデントによる被害に備えた事業継続・ 復旧体制の整備
指示9:ビジネスパートナーや委託先等を含めたサプライチェーン全体の状況把握及び対策
指示10:サイバーセキュリティに関する情報の収集、共有及び開示の促進
この際「任せきり」や「依頼しっぱなし」にならないよう、組織のリスクマネジメントの責任を担う経営者が自らの役割として実施方針の検討、予算や人材の割当、実施状況の確認や問題の把握と対応等を通じてリーダーシップを発揮することが重要となります。
※サイバーセキュリティと情報セキュリティとの違い
セキュリティ対策の基本的な考え方は同じと言えるが、サイバーセキュリティは情報セキュリティの3要素である、「機密性」「完全性」「可用性」に「安全性」(テロや戦争などの物理的な機器の破壊を想定)が加わり、かつ、デジタルデータを対象としている。また、情報セキュリティでは対象となっていた紙媒体が対象外となっていることが大きな違いといえる。
2.教育の進め方
情報セキュリティ教育は、以下の点を考慮して教育計画を年度単位で立案します。
・情報セキュリティ関連規程の説明(特に入社時や規程改訂時)
・最新の脅威に関する注意喚起(随時)
・関連法令の理解(特に公布・施行時)
・個人情報の取り扱いに関する留意事項
計画の立案においてはIPA「講習能力養成セミナー」が動画公開されておりますので、適宜参考にするのが良いでしょう。
また、情報セキュリティ教育で重視すべきポイントは次の3点です。
・基礎知識の提供
・脅威の具体的理解
・自ら対策を考える能力の育成
学習並びに研修資料作成にあたっては、独立行政法人情報処理推進機構(IPA)が提供しているコンテンツを利用するとよいでしょう。
(1)基礎知識の提供
「5分でできる!情報セキュリティポイント学習」など、簡単に学べるコンテンツを活用し、従業員が日常の中で実践的に学べるようにします。このコンテンツは、主に中小企業で働く方を対象に、職場の日常の1コマを取り入れた1テーマ5分程度の無料コンテンツです。
従業員向けコース(4テーマ)は、親しみやすい内容で、セキュリティに関する様々な事例を疑似体験しながら、適切な対処法を学ぶことができます。
(2)脅威の具体的理解
「情報セキュリティ10大脅威2025」や「映像で知る情報セキュリティ」などを活用します。
情報セキュリティ10大脅威2024は、組織編と個人編の2系統で構成されています。これらの学習を通じて自社や自身を脅かす可能性のある脅威について学び、自分自身の身の回りに起こり得ることと捉えてもらい、具体的なリスクについて理解を深めます。
また、映像教材を利用すれば、ドラマ仕立てで情報セキュリティ上の様々な脅威と対策を学ぶことができます。
(3)自ら考える能力の育成
危険予知訓練(KYT:危険のK、予知のY、訓練(トレーニング)のTをとったもの)を通じて、組織や職場に潜むリスクを発見し、対応策を考える力を養います。KYTの基礎手法である「KYT基礎4ラウンド法」では、危険の潜むイラストを使ったシミュレーションにより、リスクを予測し、対策を検討する能力を身につけることができます。
イラストの例を図1に示します
引用元:令和6年度 東京都中小企業サイバーセキュリティフォローアップ事業
第1回セミナー 「社内へのサイバーセキュリティ対策の浸透」より抜粋
※現在は非公開となっております。
引用元:厚生労働省 職場のあんぜんサイト から抜粋引用
これらを組み合わせることで、従業員が自分事としてとらえられるように学習していきます。
具体的な進め方の詳細は下記のサイトをご確認ください。
・職場のあんぜんサイト:危険予知訓練(KYT) (厚生労働省)
3.資産の扱い方・管理方法
ここでは、情報セキュリティにおける資産の洗い出し方法と管理するためのリスク分析の方法を解説します。
情報資産の把握方法については、こちらの記事でも紹介しています。あわせてご覧ください。
・コスト意識から投資意識へ~セキュリティ対策に関わる費用と効果~
(1)資産管理台帳の作成
業務で利用する電子データや書類を洗い出し、情報資産管理台帳に記入します。
その際、業務の流れ(業務フロー)に沿って情報資産を整理すると、業務全体を俯瞰でき、どのように情報を生成し、保持し、破棄しているかといったライフサイクルが見えるので効果的です。
例えば、「受注データ」は、注文受付で発生し、販売管理システムで管理され、期間が過ぎると、注文書破棄のタイミングで消滅します。
引用元[IPA]セキュリティプレゼンターカンファレンス2017 資料を基に作成
また、資産の粒度は、細かすぎると管理が大変になり、逆に粗いと次のリスク分析が難しくなります。
例えば、「設計書」などと大きい単位で洗い出しを行い、顧客単位に分ける必要はありません。下記の「台帳記入例」シートのリストアップ例が資産粒度の目安となります。
この作業を通じて、業務フローに沿った形で情報の管理が可能となります。
図4 資産管理台帳記入例
引用元:中小企業の情報セキュリティ対策ガイドライン第3.1版を基に作成
(2)資産の評価
次に、それぞれの情報資産ごとに情報セキュリティの3要素(機密性・完全性・可用性)に対する評価を行い、その影響度を明確にします。法律や契約などの要件も確認しつつ、企業独自の基準で判断します。
図5 評価基準を追記した資産管理台帳記入例
引用元:中小企業の情報セキュリティ対策ガイドライン第3.1版を基に作成
(3)資産の管理
3要素の評価から重要度を決定し、発生頻度なども考慮した上で、リスク値を算出します。
リスク値の大きさに基づき、適切な対応策を検討して管理します。
図6 リスク値まで決定した資産管理台帳記入例
引用元:中小企業の情報セキュリティ対策ガイドライン第3.1版を基に作成
情報セキュリティ管理を成功に導くためには、経営層と従業員が共にセキュリティの重要性を理解し、「自分事」と認識して積極的に関与することが大切です。
また、管理においては各情報資産にはどのような情報が含まれており、資産の形態からどういった脅威が存在し、それらの脅威の発生頻度を考慮の上、脅威からいかに守るかを整理することが重要となります。
情報資産の管理に必要な手順からもわかる通り、情報セキュリティにおいては、社員一人一人の協力が必要となります。
そのためには、経営層がリーダーシップを発揮し、組織的として社員一人一人が「自分事」という認識を持ち、自ら積極的に行動する風土を形成することが重要となります。
その際に重要となる教育において、本資料で紹介した各種参考先、ノウハウを是非ご活用いただけますと幸いです。
4.関連文書
今回の記事でご紹介した情報のリンク先を以下に記載しています。
ぜひ、理解を深めたい、次のステップに進みたいと思った際の参考にしてください。
- 情報セキュリティ10大脅威2025((IPA)
- 中小企業の情報セキュリティ対策ガイドライン(IPA)
- サイバーセキュリティ経営ガイドラインVer3.0(IPA)
- 5分でできる!情報セキュリティポイント学習(IPA)
- 映像で知る情報セキュリティ(IPA)
- 職場の安全サイト(厚生労働省)
おすすめ記事
2024.08.23
2024.09.16
2024.08.20
2025.10.17
2024.09.02
2025.02.06
