経済産業省及び独立行政法人情報処理推進機構(IPA)は3月27日、「中小企業のための実例で学ぶサイバーセキュリティリスク事例集」及び「中小企業の情報セキュリティ対策ガイドライン第4.0版」を公表した。
「中小企業のための実例で学ぶサイバーセキュリティリスク事例集」は、中小企業で実際に起こり得る被害や必要な対策を具体的に示すことで、自社のリスク認識を深め、サイバー攻撃を自分事と認識した上で、必要な対策を促すことを目的として作成したもので、126社への調査を基に、30事例を整理している。
事例集は、中小企業が直面しやすい弱点、被害の影響、早期に取り組める対策を実例に基づきわかりやすくまとめており、下記のような場面で活用しやすい構成としており、目的に応じて適切な事例を選択できる。事例集の内容は、そのまま教材や説明資料として活用できる。
・対策アイデアの工夫をする場面で活用できる事例
・社内でインシデント被害リスクを説明する場面で活用できる事例
・今すぐできるセキュリティ対策を確認する場面で活用できる事例
・経営層に対してセキュリティ対策の提案をする場面で活用できる事例
「中小企業の情報セキュリティ対策ガイドライン」は、中小企業の経営者や実務担当者が、情報セキュリティ対策の必要性を理解し、情報を安全に管理するための具体的な手順等を示したガイドライン。第4.0版への改訂では、基本的な構成を維持しつつ、最新の環境変化を反映し、企業が適切な認識と実践的な対策を進められるよう、記載内容の見直しを行っている。今回の改訂の主なポイントは下記の通り。
・「バックアップを取ろう!」を追加し情報セキュリティ6か条へ
はじめに取り組んでほしい情報セキュリティ5か条に「バックアップを取ろう!」を新たに追加し、情報セキュリティ6か条に。
・「サプライチェーン強化に向けたセキュリティ対策評価制度」の基本的な考え方を取り込む
経済産業省および内閣官房国家サイバー統括室が検討を進める「サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)」の基本的な考え方に沿った内容に。
・「中小企業のための人材確保・育成の実践ガイドブック」を付録として追加
2025年5月に公表された「中堅・中小企業が実施するセキュリティ対策に応じた人材確保・育成の実践的方策ガイドβ版」を踏まえ、中小企業のセキュリティ人材の確保・育成を支援する方策および取組事例を付録として追加。
