中小企業のセキュリティ評価基準と対策

セキュリティ対策評価基準とITシステムの対策

IPA（独立行政法人情報処理推進機構）が、中小企業向けに「中小企業の情報セキュリティ対策ガイドライン」を発行しています。中小企業（個人事業主・小規模事業者を含む）が情報セキュリティ対策に取り組むための指針で、「経営者編」と「実践編」で構成されています。このガイドラインではサプライチェーンに起因するインシデント（セキュリティリスク）として、中小企業がサイバー攻撃の標的となり、そこを踏み台として発注元（大企業など）へ攻撃する事例の増加、DX（デジタルトランスフォーメーション）の普及によるセキュリティ対策領域の広範囲化が課題であり、ITを利活用する中小企業が、本ガイドラインや自己宣言制度「SECURITY ACTION」を活用することで、自社だけでなく経済社会全体のサイバーリスクを低減する必要があると記載されています。

※ 中小企業の情報セキュリティ対策ガイドライン（https://www.ipa.go.jp/security/guide/sme/about.html）

また経済産業省はサプライチェーンに起因するインシデント（セキュリティリスク）を背景に、企業のセキリティ対策状況を可視化する新たな制度「サプライチェーン強化に向けたセキュリティ対策評価制度」を準備中で、2026年10月以降の運用開始が予定されています。
この制度が運用されると、これまで大企業は、取引先の中小企業で事故が起きても「対策状況は確認していたが、防げなかった」と言えましたが、今後は「★3以上の企業との取引に切り替えよう」という動きが加速します。現在でも多くの大企業が「取引基本契約書」でセキュリティ対策を求めていますが、その具体的な基準が曖昧でした。「サプライチェーン強化に向けたセキュリティ対策評価制度」に沿ってマネジメントシステムの構築とネットワーク機器、システム、利用者端末（PC、スマホ）の対策を実施していく必要があります。

※「サプライチェーン強化に向けたセキュリティ対策評価制度構築に向けた中間取りまとめ」を公表しました（https://www.meti.go.jp/press/2025/04/20250414002/20250414002.html）

　セキュリティ評価基準と対策の流れ