IPA『中小企業の情報セキュリティ対策ガイドライン』第4.0版が示す、ランサムウェア時代に必要な6か条とは

2026年3月30日

登場人物紹介

チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。

ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。

「うちの会社、ランサムウェアに狙われたらどうなるんだろう……」
「セキュリティ対策が必要とは分かっているけど、何から始めればいいか分からない」

チップス

ボス、IPAが新しいセキュリティガイドラインを出したって聞いたんでしゅ！中小企業向けみたいでしゅけど、うちの会社でも使えるものなんでしゅか？

ボス

それが「中小企業の情報セキュリティ対策ガイドライン」第4.0版だ。2026年3月27日にIPAが公開した。ランサムウェアが事業継続そのものを脅かすほど深刻化したことを受け、内容が大きく刷新されている。

「うちは中小企業だから大丈夫」という思い込みが、今や最大のリスクになっています。
サプライチェーン攻撃の増加で、大企業の下請けや取引先を狙う手口が急増しており、セキュリティ対策が手薄な中小企業こそ優先的なターゲットとされています。
この記事では、第4.0版の改訂ポイントを整理し、今すぐ取り組むべき対策を解説します。

IPAが2026年3月27日に「中小企業の情報セキュリティ対策ガイドライン」を第4.0版に改訂・公開
「バックアップを取ろう！」を新たに追加し「情報セキュリティ6か条」に拡充
サプライチェーン強化に向けたセキュリティ対策評価制度（SCS）の考え方を取り込み刷新

ガイドラインの変更点を把握することで、自社のセキュリティ対策の優先順位を正しく見直すきっかけになります。

なぜ今、ガイドラインが第4.0版に改訂されたのか

2023年4月の第3.1版公開以降、日本企業を取り巻くサイバー脅威は質・量ともに大きく変化しました。

ランサムウェアが「情報漏洩」から「事業停止」の脅威に変わった

かつてのランサムウェアは情報漏洩が主な被害でした。
しかし今や、工場の生産ライン停止・基幹システムの長期ダウンなど、事業継続そのものが脅かされるケースが急増しています。
セキュリティリサーチ企業S2Wの分析によると、2026年2月の世界ランサムウェア被害は1,092件と初めて1,000件を突破し、日本は19件で世界8位に急上昇したことが報告されています（日経クロステック）。
こうした状況の変化が、IPAに第4.0版への抜本的な見直しを促しました。

改訂の主な背景は以下の3点です。

ランサムウェアによる被害が情報漏洩だけでなく事業停止に直結するようになった
サプライチェーン経由の攻撃が中小企業にまで及ぶケースが急増している
中小企業のセキュリティ人材確保・育成が業界全体の課題となっている

「うちは被害に遭うほど価値がない」という認識は、もはや通用しません。
攻撃者にとって、セキュリティが手薄な中小企業は「確実に侵入できる踏み台」として価値があります。
規模の大小にかかわらず、基本的な対策の徹底が急務です。

第4.0版の主な変更点：6か条と自社診断の拡充

今回の改訂で最も注目すべき変化は、「情報セキュリティ6か条」への拡充と、「5分でできる！情報セキュリティ自社診断」への項目追加です（IPA ガイドライン）。

「バックアップを取ろう！」が6か条に加わった理由

チップス

バックアップって……そんなに大事なんでしゅか？なんか当然のことすぎて、逆に「今さら？」って思ってしまったんでしゅけど。

ボス

「当然」と思うから実は抜けているんだ。「バックアップは取っている」と「ランサムウェアに暗号化されても業務を再開できるバックアップがある」は全く別物だぞ。

ランサムウェア被害で最も企業を追い詰めるのは、データの暗号化による業務停止です。
適切なバックアップがあれば、身代金を支払わずに復旧できる可能性が大きく高まります。
従来の5か条にバックアップが含まれていなかったことが、現場での軽視につながっていた一因でもあります。

バックアップ運用で押さえるべきポイントは以下の通りです。

ネットワークから切り離したオフラインのバックアップを保持する
定期的に復元テストを実施し「本当に戻せるか」を確認する
複数時点のバックアップを世代管理で保存する

「バックアップは取っている」で安心せず、「復元できるバックアップ」を維持することが、ランサムウェア対策の実効性を左右します。

サプライチェーン対策が標準要件として明文化された

第4.0版では、自社単体の対策にとどまらず、取引先・委託先を含むサプライチェーン全体でのセキュリティ強化が求められています。
経済産業省が検討する「サプライチェーン強化に向けたセキュリティ対策評価制度（SCS）」の考え方をガイドラインに取り込み、中小企業が大企業との取引で求められるセキュリティ水準が明確化されました。

取引先として求められる対策の代表例は以下の通りです。

委託先・取引先のセキュリティ対策状況を定期的に把握する
契約書にセキュリティ要件と報告義務を明文化する
インシデント発生時の連絡・対応フローを事前に整備する

大企業がサプライチェーンのセキュリティ審査を強化する中、対応が遅れた中小企業は取引から外されるリスクも現実のものとなっています。
ガイドラインへの対応は、今や事業継続の条件でもあります。

まとめ：まず自社診断から始めよう

IPAの「中小企業の情報セキュリティ対策ガイドライン」第4.0版は、ランサムウェアとサプライチェーン攻撃が中小企業に直撃する現状を踏まえた実践的な改訂です。
新たに追加された「バックアップを取ろう！」を含む6か条と、「5分でできる！情報セキュリティ自社診断」の拡充項目は、今すぐ確認すべき行動指針といえます。
まず自社診断を実施して現状の弱点を把握し、優先度の高い対策から着手しましょう。