2026年3月27日、独立行政法人情報処理推進機構（IPA）より、『中小企業の情報セキュリティ対策ガイドライン 第4.0版』が公開されました。2019年に公開された第3.0版、2023年4月の第3.1版に続く、約3年ぶりの本格改訂となります。 

本ガイドラインは中小企業の経営者と実務担当者が情報セキュリティ対策を進めるうえでの「国内の組織が目指すべきデファクト・スタンダード」と言える重要な文書です。今回の第4.0版では、ランサムウェア被害の深刻化、サプライチェーン・セキュリティへの要求の高まり、そして中小企業における「セキュリティ人材の決定的な不足」という現実を踏まえ、構成・内容ともに大きくアップデートされました。 

本コラムでは、第4.0版の改訂ポイントを整理したうえで、組織の経営層や現場管理者の皆様が「明日から何に取り組むべきか」を、セキュリティの専門家の立場から解説します。 

原典：https://www.ipa.go.jp/security/guide/sme/ug65p90000019cbk-att/sme_guideline_v4.0.pdf 

① 第4.0版で何が変わったのか — 4つの改訂ポイント 

まずは、第3.1版から第4.0版への主な変更点を押さえましょう。今回の改訂は単なる語句修正にとどまらず、中小企業を取り巻くリスク環境の構造変化を反映した、実質的なアップデートとなっています。 

改訂ポイント① ランサムウェア被害の「事業インパクト」記述を強化 

警察庁の統計では、ランサムウェア被害の約半数が中小企業で発生しており、復旧までに数週間〜数ヶ月を要する事例、さらには廃業に追い込まれた事例まで報告されています。第4.0版では、こうした「被害の実像」をより具体的に記述し、経営者に危機感を持って読ませる構成になっています。 

改訂ポイント② サプライチェーン・セキュリティ（SCS）評価制度への対応 

大企業の取引先として、中小企業がセキュリティ対策の証跡を求められる場面が急増しています。第4.0版では、経済産業省・IPAが整備を進める「サプライチェーン強化に向けたセキュリティ対策評価制度（SCS評価制度）」への言及が加わり、取引関係の中で求められる水準が可視化されました。 

改訂ポイント③ 中小企業のセキュリティ人材不足への正面からの対応 

「自社に専門人材がいない」「何から始めればよいかわからない」という中小企業の声に応え、付録1として『中小企業のためのセキュリティ人材育成ガイドブック』が新設されました。専任担当者を置けない前提での役割分担や、外部サービスの活用方法にまで踏み込んでいます。 

改訂ポイント④ 実践編の全面リニューアルと成熟度モデルの導入 

第4.0版では実践編が大幅に再編され、「できるところから始める → 組織的な取り組み → 本格的に取り組む → より強固にする」という4ステップの成熟度モデルが明示されました。自社が今どの段階にいるのかを把握し、次の一手を選択しやすくなっています。 

📝 第4.0版の構成（全体像） 

第1部：経営者編 — 経営者が押さえるべき3原則と重要7項目 

第2部：実践編 — 25項目の自社診断と4ステップの対策ロードマップ 

付録1：中小企業のためのセキュリティ人材育成ガイドブック（新設） 

付録2：情報セキュリティ関連規程（サンプル） 

付録3〜8：クラウド活用、テレワーク、インシデント対応、JC-STAR、SECURITY ACTION 等 

〈ポイント〉 

　・経営者編は約10ページと短く、多忙な経営者でも一読可能な分量 

　・実践編は「自社の今のレベル」に応じて読む箇所を選べる構成 

　・付録を活用すれば、規程・手順書の雛形作成までカバー可能 

② 経営層が押さえるべき「3原則」と「重要7項目」 

第4.0版の「経営者編」は、忙しい経営者にこそ最初に読んでいただきたいパートです。ここで示される考え方は、情報セキュリティを「コスト」ではなく「経営判断事項」として捉え直すための出発点となります。 

2-1. まず押さえる「情報セキュリティ経営の3原則」 

①  経営者自らがリーダーシップを発揮して取り組むこと 

情報セキュリティ対策は、経営者の関与なしには組織に根付きません。担当者任せ・IT部門任せでは、現場が動く予算も権限も確保できず、結局「何も変わらない」という結果に陥りがちです。経営者自身が「これは経営課題だ」と宣言し、旗を振ることが出発点です。 

②  委託先（クラウド含む）を含めた対策を考えること 

自社の情報は自社のサーバーだけでなく、クラウドサービス、業務委託先、システム保守ベンダーなど、さまざまな場所に存在します。第4.0版では、委託先・クラウド側の事故による被害が中小企業にも波及するケースが増えていることを踏まえ、「自社の情報がどこに、誰の手で管理されているか」を把握することの重要性を強調しています。 

③  関係者（取引先・顧客・従業員）とのコミュニケーションを取ること 

インシデントが起きたとき、対応を左右するのは「技術」ではなく「連絡体制」です。取引先・顧客への報告、従業員への周知、監督官庁への届出——これらを普段から意識しておくことで、いざという時の混乱を最小化できます。 

2-2. 経営層が実行すべき「重要7項目の取組」 

3原則を具体的に実行に移すための行動指針が、「重要7項目の取組」です。いずれも経営者の判断と意思決定が必要な項目です。 

✅ 経営者が取り組むべき重要7項目 

１．情報セキュリティに関する組織全体の対応方針を定める 

２．情報セキュリティ対策のための予算や人材等、必要な資源を確保する 

３．必要と考えられる対策を担当者に指示する 

４．情報セキュリティ対策に関する適宜の見直しを行う 

５．緊急時の対応や復旧のための体制を整備する 

６．業務委託や外部サービス利用の際のセキュリティ対策について、委託先・提供元の状況を確認する 

７．情報セキュリティに関する最新動向を収集する 

〈このリストの使い方〉 

　・年に1回、経営会議の場で「各項目が実行できているか」を自己点検する 

　・できていない項目について、次年度の経営計画に組み込む 

　・担当役員（なければ経営者自身）を明確にし、進捗を可視化する 

💬  【VLCセキュリティ 中本コメント】7項目を「経営会議の定例議題」に組み込むことから始めよう 

私がお客様から最も多くご相談いただくのは「何から手をつければいいかわからない」というお悩みです。この7項目は、そのまま経営会議のチェックリストとして使えます。特に重要なのは項目7「最新動向の収集」です。ランサムウェアやサプライチェーン攻撃の手口は日々進化しており、1年前の常識が通用しなくなる世界です。経営者自身が月に一度でもIPAのWebサイトやJPCERT/CCの注意喚起に目を通す習慣をつけるだけで、組織全体のリスク感度は確実に上がります。 

③ 実践の出発点 — 「情報セキュリティ6か条」と25項目自社診断

「何から始めるべきか」という問いに対して、第4.0版が最初に示す答えが、「情報セキュリティ6か条」です。これは、費用をほとんどかけずに、今すぐ着手できる最低限の取り組みとして位置付けられています。 

🛡️ 情報セキュリティ6か条（今日から始められる最低限の対策） 

１．OS やソフトウェアは常に最新の状態にする（脆弱性を放置しない） 

２．ウイルス対策ソフトを導入する（無料で手に入るものでもよい） 

３．パスワードを強化する（長く・複雑に・使い回さない） 

４．共有設定を見直す（ファイル共有・クラウドの権限管理） 

５．脅威や攻撃の手口を知る（従業員教育の第一歩） 

６．定期的にバックアップを取る（ランサムウェア対策の最後の砦） 

〈実践のヒント〉 

　・6か条を達成したら、IPAの「SECURITY ACTION 一つ星」を自己宣言できる 

　・宣言企業は専用ロゴを名刺・Webサイトに掲載でき、取引先への信頼性アピールにもなる 

3-1. 次のステップ：25項目の自社診断 

6か条を達成した企業の次の一歩が、25項目の自社診断です。これは、中小企業に必要な対策を3つのパートに整理した自己点検リストです。 

📋  Part 1：基本的対策（6項目） 

情報セキュリティの土台となる基本動作。6か条とほぼ重なる内容で、最低限すべての中小企業が達成すべき水準。  

👥  Part 2：従業員としての対策（11項目） 

従業員の日常業務における情報の取り扱い方。メール・Web利用・モバイル端末・情報持ち出し等、人が関わる部分のリスクを低減するための行動規範。  

🏢  Part 3：組織としての対策（8項目） 

規程の整備、委託先管理、インシデント対応体制、教育の実施など、組織としての仕組みづくり。ここに到達すると、SECURITY ACTION「二つ星」の自己宣言が可能に。 

💬    【VLCセキュリティ 中本コメント】診断は「1回で終わらせない」ことが肝要 

25項目の診断は、ぜひ毎年1回、同じ時期に実施することをお勧めします。1回目は「できていない項目」が多くて当然です。重要なのは、2回目・3回目と繰り返すことで、「前年から何が改善したか」を定量的に振り返れること。また、診断は経営者だけで行うのではなく、部門ごとの担当者を交えて実施すると、「現場では違うやり方をしていた」といった新たな気付きが得られます。診断シートは社内の議論を生むためのコミュニケーション・ツールとして活用してください。 

④ 4ステップの成熟度モデル — 自社の「今」と「次」を見える化する

第4.0版で特に秀逸なのが、実践編の全体を貫く4ステップの成熟度モデルです。「自社が今どのレベルにいて、次はどこを目指すべきか」が一目で分かるよう設計されています。 

🟢  STEP 1：できるところから始める 

6か条・SECURITY ACTION「一つ星」レベル。ゼロから着手する段階。費用をかけずに、今すぐ実施できる対策を積み上げる。  

🔵  STEP 2：組織的な取り組みを開始する 

25項目自社診断・SECURITY ACTION「二つ星」レベル。規程整備、教育の実施、委託先管理の開始など、「個人の努力」から「組織の仕組み」へ移行する段階。  

🟣  STEP 3：本格的に取り組む 

ISMS（情報セキュリティマネジメントシステム）の導入準備レベル。ポリシー体系の確立、リスクアセスメントの実施、PDCA サイクルの確立など、継続的改善の仕組みを整備。 

🔴  STEP 4：より強固にする 

高度なリスク分析、テレワーク・クラウド特有のリスク対応、本格的なインシデント対応体制（CSIRT相当）の整備など、事業継続の観点からセキュリティを再設計する段階。 

💬 【VLCセキュリティ 中本コメント】「背伸びしすぎない」ことが成功の鍵 

コンサルティングの現場で見てきて断言できるのは、「いきなり STEP 3・4 を目指す組織は、ほぼ例外なく息切れする」ということです。多くの中小企業にとって、まず半年〜1年かけて STEP 1 を確実に達成し、その後 STEP 2 に移行するのが現実的なペースです。一方で、BtoB 取引が中心で、大手企業からサプライチェーン・セキュリティの証跡を求められている企業は、STEP 2 以上への早期到達が取引継続の条件になりつつあります。自社の事業特性に応じて、ペース配分を戦略的に選ぶことが重要です。

⑤ 第4.0版で押さえておきたい新しいトピック  

5-1. サプライチェーン強化に向けたセキュリティ対策評価制度（SCS評価制度） 

経済産業省とIPAが推進するSCS評価制度は、サプライチェーンを構成する企業群のセキュリティ水準を、統一された評価基準で可視化する仕組みです。大企業と取引のある中小企業にとっては、「取引継続の前提条件」となり得る制度であり、第4.0版はこの制度との整合性を意識した内容となっています。 

まだ制度の整備過程にありますが、「SCS評価制度で求められる水準」≒「第4.0版 STEP 2 以上」と考えて準備を進めておくと、制度運用開始時に慌てずに済みます。 

5-2. JC-STAR（IoT製品のセキュリティラベリング制度） 

IoT 機器や産業制御機器を利用する中小企業に関係するのが、JC-STAR（経済産業省・IPAのIoT製品セキュリティ適合性評価制度）です。調達するIoT機器に「JC-STAR 適合ラベル」があるかを確認することで、製品選定時点でのリスクを大幅に下げることができます。第4.0版では付録でJC-STAR制度が紹介されており、今後、調達基準に組み込むべき制度として要注目です。 

5-3. セキュリティ人材育成ガイドブック（付録1） 

中小企業の現実は「専任のセキュリティ担当者を置けない」ことです。第4.0版の付録1では、この現実を踏まえ、「兼任でもいいから、役割を明確にする」ことの重要性が強調されています。経営者・管理者・実務担当者・外部委託——それぞれが何を担うべきかの整理と、外部サービス活用の選択肢（MSP・MDR等）まで踏み込んでおり、非常に実践的な内容です。 

💬 【VLCセキュリティ 中本コメント】「人がいない」を前提にした制度・サービスの活用を 

中小企業のセキュリティは、「自社で全部やる」という発想から早く抜け出すことが大切です。JC-STARのような認証制度を使えば製品選定のリスクを外部に委ねられますし、MDRやマネージドSOCのような外部サービスを使えば24時間監視も実現できます。重要なのは「自社は何を残し、何を外に出すか」という設計判断。これは経営者の仕事であり、IT部門任せにしてはいけない領域です。 

⑥ VLCセキュリティグループとしての総評＋提供可能な支援 

第4.0版を通読して、私が最も強く感じたのは、「中小企業に寄り添う姿勢の深化」です。第3.1版までの本ガイドラインは、やや「理想論」寄りの側面がありましたが、第4.0版は「人がいない」「予算がない」「何から手をつければいいかわからない」という現場の声に、正面から答えようとしています。 

 🎯  【総評①】「読ませる」ガイドラインから「動かす」ガイドラインへ 

4ステップの成熟度モデル、25項目の自社診断、付録の実務ツール群——いずれも「読んで終わり」ではなく「手を動かして進める」ためのデザインになっている。経営者編10ページ＋診断シートだけでも、今週の経営会議の議題にできる実用性がある。  

🎯  【総評②】サプライチェーンの時代に必須の共通言語を提供 

大企業が取引先に求めるセキュリティ水準は、今後ますます厳格化する。その時、第4.0版は「発注側と受注側が共通のものさしで会話できる」ための基準となる。中小企業経営者は、自社が「ガイドラインのどのSTEPにいるか」を語れるようにしておくだけで、取引の交渉力が大きく変わる。  

🎯  【総評③】経営者の「覚悟」なしには一歩も進まない 

本ガイドラインが繰り返し強調するのは、「経営者がリーダーシップを発揮すること」。ツールや制度がどれだけ整っても、経営者が「これは経営課題だ」と腹をくくらない限り、中小企業のセキュリティ対策は前に進まない。第4.0版は、そのことを改めて突きつけてくる。 

明日から始める「経営者のための5つのアクション」

🚀 VLCセキュリティ推奨：今週から始める5ステップ 

STEP 1：IPAのWebサイトから第4.0版（PDF）をダウンロードし、経営者編（約10ページ）を必ず読む 

STEP 2：次回の経営会議で「情報セキュリティ経営の3原則」と「重要7項目」を議題にする 

STEP 3：自社の情報セキュリティ担当者（兼任でも可）を正式に任命し、組織図に明記する 

STEP 4：25項目の自社診断を実施し、現状のSTEPレベルを把握する 

STEP 5：SECURITY ACTION の「一つ星」または「二つ星」を自己宣言し、対外的な信頼性向上につなげる 

〈補足〉 

　・これらのステップは、外部の専門家なしでも実施可能な内容です 

　・判断に迷う項目が出てきたら、そのタイミングで専門家に相談するのが効率的です 

　・VLCセキュリティグループでも、総合的なセキュリティ対策強化の支援や、SCS評価制度への対応支援サービス[V-Sec GC]をリリースしています。 

おわりに 

サイバー攻撃は、もはや「大企業の話」ではありません。ランサムウェアの被害企業の半数は中小企業です。しかし同時に、「中小企業だからこそ、小さく・速く・確実に動ける」という強みもあります。 

第4.0版は、その「小さく・速く・確実に」を支援するための、非常によくできたガイドラインです。ぜひ、経営者の皆様自身がページを開いていただき、自社の現状と照らし合わせながら、一歩ずつ取り組みを進めていただければと思います。 

VLCセキュリティグループは、中小企業の皆様が「何から始めるか」を迷わず進めるよう、現在の組織実態に則した実務支援をこれからも続けてまいります。本コラムが、その第一歩を踏み出すきっかけになれば幸いです。 

VLCセキュリティグループ　CISO / VLCセキュリティラボ 代表 

中本 有哉 

📚 参考資料 

・IPA『中小企業の情報セキュリティ対策ガイドライン 第4.0版』（2026年3月27日公開） 

・IPA「SECURITY ACTION」制度：https://www.ipa.go.jp/security/security-action/ 

・経済産業省・IPA「サプライチェーン強化に向けたセキュリティ対策評価制度（SCS評価制度）」 

・経済産業省・IPA「IoT製品に対するセキュリティ適合性評価制度（JC-STAR）」 

・警察庁「サイバー空間をめぐる脅威の情勢等について」（最新版）