1. 法人のお客さまトップ
  2. コラム
  3. おまかせサイバーみまもりセキュリティパッケージ
  4. セキュリティガイドラインとは?中小企業が知っておくべき基本と対応策を解説

セキュリティガイドラインとは?中小企業が知っておくべき基本と対応策を解説

イメージ:セキュリティガイドラインとは?中小企業が知っておくべき基本と対応策を解説
  • セキュリティ対策強化
  • 情報セキュリティ対策
公開日
2026-03-04

編集 NTT東日本編集部

サイバー攻撃や情報漏えいのニュースが相次ぐなか、企業には情報セキュリティ対策の強化が求められています。しかし中小企業では、人的・技術的なリソースの制約により、十分な対策が講じられていなかったり、ガイドラインの作成まで手が回っていなかったりするケースも少なくありません。

こうした状況を踏まえて、IPA(情報処理推進機構)は「中小企業の情報セキュリティ対策ガイドライン(第3.1版)」を公開しています。本記事では、セキュリティガイドラインの概要と必要性を解説したうえで、企業が取るべき基本的な対策や注意点を紹介します。

情報セキュリティ対策を強化し、自社の経営を守りたいとお考えの方は、ぜひ最後までご覧ください。

イメージ:おまかせサイバーみまもりセキュリティパッケージパンフレット

サイバー攻撃への対策で重要な”多層防御”これ1つで実現可能!

おまかせサイバーみまもりセキュリティパッケージ パンフレット

Index

1.ガイドラインとは何か?

ガイドラインとは、政治や業務などを具体的に進める際に、守るべき方向性や手順を示した「指針」や「手引き」のことです。特定の法令に基づくものではないため、拘束力はありません。

しかし、近年のサイバー攻撃の巧妙化から、セキュリティガイドラインの理解と実践が企業に求められつつあります。そのため、実質的には「基準」「標準」として扱われ、企業活動において重要な役割を担う存在となっているといえます。

セキュリティポリシーとの違い

名称 役割
セキュリティガイドライン 国や専門機関が作成し、参考基準を示す
セキュリティポリシー ガイドラインをもとに、自社で作成

セキュリティポリシーとの違いは「自社で作成されたものかどうか」にあります。

たとえば、セキュリティポリシーは、企業や組織が自ら定める情報セキュリティ対策に関する方針や行動指針を指します。「誰が」「何を」「どのように守るのか」が明確になっており、社内規定や運用ルールとして機能するのが特徴です。

一方でセキュリティガイドラインは、国や専門機関などが示す「参考基準」や「手引き」としての役割が強く、ポリシーを策定する際の基盤になるものと考えられます。

セキュリティガイドラインの必要性

個人情報漏えいやサイバー攻撃被害などのニュースが相次ぐなか、セキュリティガイドラインの重要性は年々高まっています。対策が不十分なままでは、深刻な被害につながる可能性もあり、早急な対応が必要です。

セキュリティガイドラインは、企業が最低限実施すべき情報セキュリティ対策の水準を示すもので、自社のセキュリティレベルを見直す際の指針として活用できます。なかでも個人情報や顧客情報を扱う企業にとっては、ガイドラインを踏まえた体制整備が社会的責務となりつつあるため、担当者はその内容をしっかりと確認・整備することが重要といえるでしょう。

2.中小企業にこそセキュリティガイドラインが必要

中小企業にこそ、セキュリティガイドラインを重視した取り組みが求められます。というのも、大企業と比べてリソースが限られている中小企業では、情報セキュリティ対策が後回しになりがちです。

たとえば、ネットワークやシステムの安全管理が不十分なほか、従業員に対する情報セキュリティ教育が行き届いておらず、ヒューマンエラーによるリスクが高まりやすい状況にあることも少なくありません。

中小企業の情報セキュリティ対策ガイドライン

こうした背景を踏まえ、IPA(情報処理推進機構)は「中小企業の情報セキュリティ対策ガイドライン」を公開しています。これは、企業のICT活用が進むなかで、サイバー攻撃のリスクに備えるために策定されたものです。

中小企業でも実践しやすいように「経営者編」と「実践編」に分けられ、それぞれの立場で何をすべきかが整理されているのが特徴といえます。具体的には、以下のとおりです。

区分け 主な対象者 内容のポイント
経営者編 経営者
  • 情報セキュリティ対策を怠った場合の企業の不利益を明示
  • 経営者自身が負うリスクと責任を明確化
  • 「3原則」「7つの取り組み」で経営者が行うべきこと、役割を提示
実践編 実務担当者
  • 「情報セキュリティ5か条」を挙げ、社内で実践できる対策を紹介
  • 現状把握のための自社診断チェックリストを用意
  • セキュリティポリシーの策定方法やトラブル発生時の対応手順も解説

このガイドラインは、公表以降、社会情勢や技術の変化に対応するため随時改訂されてきました。最新版の「中小企業の情報セキュリティ対策ガイドライン 第3.1版」では、以下のような内容が新たに追加されています。

追加要項 特長
テレワークを安全に実施するためのポイント
  • 対象業務や勤務条件を定める制度設計
  • VPNや専用端末、クラウドサービス選定などのシステム構成
  • パスワード管理やウイルス対策などの運用ルール
セキュリティインシデント発生時に備えた対応手順
  • 必要となるステップ(検知・初動対応・報告・公表・復旧・再発防止)の解説
付録:「中小企業のためのセキュリティインシデント対応の手引き」
  • インシデント対応時に整理しておくべき事項の記載
  • ウイルス感染、情報漏えいなどケース別による対応方法

こうした改訂により、このガイドラインは中小企業の現場で活用できる手引きとなっています。特に情報セキュリティ対策をどこから始めればよいかがわからない企業にとって、着手しやすい指針といえるでしょう。

しかし、実際問題として「自社でどこまで対応すべきか」「どのように進めればよいか」と悩む企業も多いはずです。

そのような課題に対しては、NTT東日本の「おまかせサイバーみまもりセキュリティパッケージ」のような支援サービスです。このサービスでは、リスクに備えた情報セキュリティ対策が包括的に行えるもので、自社での対応範囲について悩む中小企業にとっておすすめといえます。

中小企業の情報セキュリティ対策を無理なく実現する「おまかせサイバーみまもりセキュリティパッケージ」詳細はこちら

参考:中小企業の情報セキュリティ対策ガイドライン 第3.1版|IPA(独立行政法人情報処理推進機構)

3.業界ごとに進むセキュリティガイドライン策定の動き

国や業界団体は、それぞれの実情に合わせたセキュリティガイドラインの策定を進めています。ここでは、医療業界と自動車産業における動きについて解説します。

【医療業界】医療情報システムの安全管理に関するガイドライン

「医療情報システムの安全管理に関するガイドライン」は、個人情報のなかでも特に厳重な管理が求められる電子カルテなどの医療情報を、安全に取り扱うために厚生労働省が定めたものです。

ガイドラインの対象は、医療機関で情報システムの運用に関わる責任者ですが、近年では医療業界において医療情報の共有が広がっていることから、医療に携わる方であれば一度は目を通しておきたい基礎的な内容になっています。

なお、最新の「医療情報システムの安全管理に関するガイドライン 第6.0版」では、テレワークやクラウドサービスの利用拡大を踏まえ、外部サービスの選定基準やトラブル発生時の対応などが追加されました。

参考:医療情報システムの安全管理に関するガイドライン 第6.0版(令和5年5月)|厚生労働省

【自動車産業】自工会/部工会・サイバーセキュリティガイドライン

「自動車産業サイバーセキュリティガイドライン」は、JAMA(日本自動車工業会)とJAPIA(日本自動車部品工業会)が共同で策定したものであり、自動車産業全体のサイバーセキュリティ水準を底上げすることを目的としています。

ガイドラインの対象は、自動車メーカーとそのサプライチェーンを構成する部品メーカーなどです。近年の自動車業界では、業務の電子化や高度化に伴い、取り扱う情報の量が増加・複雑化しています。また、サプライヤーに対するランサムウェア攻撃など、実際に業務停止に追い込まれる事例も報告されており、業界全体での対応が求められている状況です。

第2.3版では、対策すべき内容が「24のラベル」「37の要求事項」「153の達成条件」として整理され、ガイドライン本体とセルフチェックシートで構成されています。各社が自己点検・改善しやすい仕組みになっている点が特徴です。

参考:自工会/部工会・サイバーセキュリティガイドライン 2.3版|JAMA(日本自動車工業会)・JAPIA(日本自動車部品工業会)

4.セキュリティガイドライン未対応によるリスク

もしセキュリティガイドラインを理解しながらも、自社で十分な対策を講じていない場合、どのようなリスクが生じるのでしょうか。ここでは、主な4つのリスクを解説します。

顧客や取引先の機密情報の流出

第一に、顧客や取引先の機密情報が外部に流出するリスクがあります。情報セキュリティ対策が不十分な状態では、外部からの不正アクセスにより、経営に重要な情報が外部に流れ、第三者によって悪用されてしまうかもしれません。

たとえ漏えいした件数が少なくても、そのなかに個人情報や契約内容、技術資料といった重要なデータが含まれていれば、企業の信用は大きく損なわれるでしょう。取引関係の悪化につながる恐れもあるため、事業の継続に影響するような事態は避けたいところです。

業務停止や復旧対応による生産性の低下

サイバー攻撃によってシステムやネットワークが停止すると、通常業務の継続が困難になり、生産性が大きく低下する可能性が高まります。

警察庁の資料によれば、サイバー攻撃による被害において、システム復旧までにかかる時間は1か月以上、費用は1,000万円を超えるケースも報告されています。復旧作業や原因調査に多くの時間と人手が割かれ、本来の業務に費やせるリソースが減る可能性も否定できません。

結果として、売上減少や顧客満足度の低下にもつながる恐れがあるでしょう。

出典:令和5年におけるサイバー空間をめぐる脅威の情勢等について|警察庁

社会的信用の低下による顧客離れ

セキュリティ上の問題が報道によって公表されると、企業の社会的な信用が損なわれてしまいます。顧客や取引先が不安を感じ、「この会社は安全ではない」と判断されれば、取引停止や契約解除につながるケースが出てくるかもしれません。一度失った信用は取り戻すのが難しく、企業活動への長期的な影響が避けられない場合もあります。

実際、ある小売企業では、競合企業からのサイバー攻撃により、マルウェア感染状態となりました。社内に詳しい人材がおらず、外部に対応を依頼しましたが、復旧に時間がかかったといいます。結果、企業の業績は大きく落ち込み、以前の水準に戻るまで約1年を要したと報告されています。

復旧や損害賠償による金銭的な損失

システム障害や情報漏えいの対応には、復旧費用や外部専門家の支援費用が発生します。場合によっては、被害に遭った顧客や取引先から損害賠償を請求されるリスクもあるでしょう。

過去には、個人情報が漏えいした企業に対し、顧客1人あたり3,300円、総額約1,300万円の賠償を命じた判例もありました。このような事態になれば、企業の資金繰りに深刻な影響を及ぼす可能性もあるでしょう。

実際にこういった悲劇が起こらないよう、未然防止のための情報セキュリティ対策とガイドラインの活用が重要です。

イメージ:おまかせサイバーみまもりセキュリティパッケージ パンフレット

サイバー攻撃への対策で重要な”多層防御”これ1つで実現可能!

おまかせサイバーみまもりセキュリティパッケージ パンフレット

5.セキュリティガイドラインに沿って企業が取るべき対策

ガイドラインは業界・業種ごとに細かな違いはあるものの、その根底にある考え方は共通しています。そこで次に、セキュリティガイドラインに沿って企業が取るべき対策を、一例として紹介します。

情報資産の棚卸し

まずは、どのような情報を社内で扱っているかを把握することが重要です。リストアップするべき情報資産の例は、以下のとおりです。

  • 顧客の個人情報(マイナンバーを含む)
  • 取引先情報(製品・サービスに関する非公開情報を含む)
  • 見積書や仕入れ価格などの情報
  • 受発注情報・決済情報・契約情報 など

それぞれの重要度は機密性の高さに応じて分類し、優先的に保護すべきものを明確にするとよいでしょう。情報資産の保存場所(紙・パソコン・クラウドなど)や、アクセス権限の範囲も確認しておくのが得策です。

可能であれば一覧表などにできると、管理・運用しやすいといえます。

OSやソフトウェアの定期的なアップデート

サイバー攻撃の多くは、古いソフトやOSの脆弱性(ぜいじゃくせい)を狙って行われます。WindowsやmacOSなどの基本ソフトだけでなく、ブラウザやPDF閲覧ソフトなども定期的に更新するのが大切です。

このとき、アップデートを自動化する設定にしておくと更新漏れを防ぎやすいでしょう。

  • 「Windows」は、米国Microsoft Corporationの米国およびその他の国における登録商標または商標です。
  • 「macOS」は、米国およびほかの国々で登録されたApple Inc.の商標です。

社内ルールの整備と運用

情報セキュリティ対策に関する社内ルールは明文化し、全社員が守るべき基準を示しましょう。たとえば、以下のようなルールを設けておくのがおすすめです。

  • パスワードは12文字以上で英数字・記号を組み合わせる
  • USBメモリなどの外部記録媒体の持ち込み、社外持ち出しは禁止
  • 外部クラウドストレージや生成AIツールの業務利用には、事前申請が必要 など

ルールは現場の業務実態に合わせて定めることで、無理なく運用しやすくなります。一度定めたルールは定期的に見直し、業務フローの変化に合わせてアップデートしていくことが大切です。

従業員に対する情報セキュリティ教育の実施

情報セキュリティ対策におけるルールを定めても、現場で理解・実行されなければ意味がありません。そのため、従業員一人ひとりに対する教育も重要なポイントとなります。具体的に行うべき教育内容の例は、以下のとおりです。

  • 怪しいメールの見分け方
  • 在宅勤務時の安全なネットワーク接続方法
  • SNSやクラウドサービス利用時における情報漏えいへの注意喚起 など

その他、年1回以上の研修や、簡単なチェックテストなども効果的です。教育は正社員だけでなく、アルバイトや派遣社員、業務委託者にも同様に行い、セキュリティ遵守意識を向上させましょう。

包括的な情報セキュリティ対策

情報セキュリティ対策は一つの手段だけでは不十分であり、複数の異なる技術を組み合わせた多層防御の考え方が重要です。

「中小企業の情報セキュリティ対策ガイドライン 第3.1版」では、コンピュータやインターネットを使う際の技術的対策として、以下のような例が挙げられています。

  • ウイルス対策ソフトの導入
  • ファイアウォールによる外部からの不正アクセスの遮断
  • 多要素認証や画面ロックなどによるアクセス制限
  • ソフトウェアの更新や脆弱性検査の実施 など

上記に加え、より高度な対策として「UTM」や「EDR」などのセキュリティ機器やサービスを活用する方法もあります。

    • UTM(Unified Threat Management:統合脅威管理)…回線の出入口からのウイルス侵入やメールからのウイルス侵入を防ぐシステム
    • EDR(Endpoint Detection and Response)…ウイルスの侵入を許しても早期発見・調査できるシステム

これらの仕組みを自社の規模や業務内容に合わせて導入し、役割の異なる複数の防御策を組み合わせることによって、より強固な情報セキュリティ体制の構築が可能になります。

ただし、社内に担当者がいない場合や対策の優先順位が判断しにくい場合は、外部サービスを活用して継続的な情報セキュリティ強化を図るのもおすすめです。

6.中小企業の情報セキュリティ対策なら「おまかせサイバーみまもりセキュリティパッケージ」

イメージ:中小企業の情報セキュリティ対策なら「おまかせサイバーみまもりセキュリティパッケージ」

中小企業が情報セキュリティ対策を講じるには、ウイルス感染や不正アクセスといった多様な脅威への備えが欠かせません。

具体的には、外部からの侵入を防ぐ「出入口対策」や、パソコン・サーバーを守る「端末対策」、社内ネットワークへの不正行為を防ぐ「内部対策」など、複数の観点から多層的に防御を構築する必要があります。

しかし、「何から始めればよいかがわからない」「社内に詳しい担当者がいない」といった理由で、十分な対策が進められていない中小企業も少なくありません。そこでおすすめなのが、NTT東日本の「おまかせサイバーみまもりセキュリティパッケージ」です。

このサービスでは、UTMやウイルス対策ソフト、EDRのなどの防御策について、導入から運用までを一括してサポートしています。たとえサイバー攻撃を受けたとしても、初動対応から復旧支援まで対応しており、被害の拡大を最小限に抑えられると期待できます。

また、24時間365日体制での監視・サポートも整っているため、専任の情報システム担当者がいない企業でも安心してご利用いただけるのが特長です。情報セキュリティ対策を無理なく実践し、継続的にセキュリティレベルを高めたいとお考えの場合は、以下のページよりお気軽にご相談ください。

中小企業の情報セキュリティ対策を無理なく実現する「おまかせサイバーみまもりセキュリティパッケージ」詳細はこちら

7.まとめ

総務省が発表しているセキュリティガイドラインは、企業が情報セキュリティ対策を整備するうえでの重要な指針です。近年はサイバー攻撃が巧妙化しており、その時々に合った対策を常に更新していくことが重要といえます。

しかし、企業によっては「セキュリティ人材がいない」「どこまで自社で対応すべきかがわからない」といった悩みを抱える場合もあるでしょう。そうした場合には、外部のサービスを活用し、対策を進めるのも一つの方法といえます。

「おまかせサイバーみまもりセキュリティパッケージ」なら、情報セキュリティ対策の導入から運用、万が一の対応まで一貫してサポートしているため、無理のない情報セキュリティ対策の継続が期待できます。サービスの詳細は、以下のページよりご覧ください。

中小企業の情報セキュリティ対策を無理なく実現する「おまかせサイバーみまもりセキュリティパッケージ」詳細はこちら

まずはご相談ください 「おまかせサイバーみまもりセキュリティパッケージ」お問い合わせフォーム

イメージ:NTT東日本編集部

編集 NTT東日本編集部

NTT東日本のサービス担当者が企画・監修を行う編集チームです。
中小企業の皆さまにとって身近で役立つ情報をお届けすることを目的に、サービスの特長や活用方法をわかりやすくご紹介しています。
日々の業務にすぐに活かせるヒントや、経営課題の解決につながるサービスの魅力を丁寧に発信しています。

関連サービス

イメージ:おまかせサイバーみまもりセキュリティパッケージ

おまかせサイバーみまもりセキュリティパッケージ

パソコン・スマートフォン100台以下のオフィスにおすすめの、法人・事業者さま向けネットワークセキュリティ対策です。不正アクセス、迷惑メール、有害メールなどの脅威から社内ネットワークを守るUTM機能に加え、有事の際に復旧支援します。

ロゴ:おまかせセキュリティ事故駆け込み窓口

おまかせセキュリティ事故駆け込み窓口

中小企業のお客さまに対し、情報セキュリティ事故に遭遇した際、これまで培ってきたNTT東日本の情報セキュリティ事故対応ノウハウによって「被害を最小限に抑える」、「事故発生の原因を解析する」、「事故発生前の状態に復旧する」などのサポートを行う窓口です。

イメージ:おまかせクラウドアップセキュリティ

おまかせクラウドアップセキュリティ

クラウドメール、クラウドストレージ上でセキュリティ脅威を検知・遮断する機能に加え、導入支援をセットでご提供。
セキュリティサポートオプションの追加でセキュリティレポートのご提供やウイルス感染時の駆除支援などもご利用いただけます。

資料ダウンロード

イメージ:おまかせサイバーみまもりセキュリティパッケージ パンフレット

おまかせサイバーみまもりセキュリティパッケージ パンフレット

複雑化する攻撃に対応、運用・監視までNTT東日本に任せられるセキュリティ対策をご紹介します。

イメージ:【関連サービス】おまかせアンチウイルス

【関連サービス】おまかせアンチウイルスEDRプラス/おまかせアンチウイルスパンフレット

おまかせアンチウイルスEDRプラス/おまかせアンチウイルスを導入することで、面倒な手間をかけずにウイルス対策ができるようになるポイントを紹介します!

関連するコラム

イメージ:ダークウェブの危険性とは?会社の情報が漏れた時のリスクや対策法を解説

ダークウェブの危険性とは?会社の情報が漏れた時のリスクや対策法を解説

イメージ:個人情報漏洩に当てはまるケースや原因、企業が取るべき対策を解説

個人情報漏洩に当てはまるケースや原因、企業が取るべき対策を解説

イメージ:個人情報保護法改正のポイントを途中経過からわかりやすく解説【2025年】

個人情報保護法改正のポイントを途中経過からわかりやすく解説【2025年】

イメージ:【中小企業向け】セキュリティリテラシーを高め、サイバー攻撃から自社を守るための具体策

【中小企業向け】セキュリティリテラシーを高め、サイバー攻撃から自社を守るための具体策

イメージ:中小企業を脅かすサプライチェーン攻撃 事例から学ぶ対策の重要性

中小企業を脅かすサプライチェーン攻撃 事例から学ぶ対策の重要性

イメージ:個人情報保護法に違反すると企業に罰則はある?事例を用いて解説

個人情報保護法に違反すると企業に罰則はある?事例を用いて解説

関連サービスに関するお問い合わせ・資料のダウンロード

おまかせサイバーみまもりセキュリティパッケージに関するお問い合わせ

お電話でのお問い合わせ

0120-116-032

平日:9:00-17:00
年末年始(12/29~1/3)を除く

お気軽にお問い合わせください

表示価格は、特に記載がある場合を除きすべて税込です。