情報セキュリティ6か条を中小企業向けに解説
- 山崎行政書士事務所
- 5月6日
- 読了時間: 17分
OS更新、ウイルス対策、パスワード、共有設定、バックアップ等
メタディスクリプション中小企業が最初に取り組むべき情報セキュリティ対策として、IPAの「情報セキュリティ6か条」を実務目線で解説します。OS更新、ウイルス対策、パスワード、共有設定、バックアップ、攻撃手口の把握を、社長・総務・現場担当者が実際に運用できる規程・台帳・記録に落とし込む方法を説明します。
1. 情報セキュリティ6か条は「小さな会社の最低限の守り」
中小企業の経営者から、「何から始めればよいですか」と相談を受けることが多くあります。結論から言えば、最初に取り組むべきは高額なセキュリティ製品の導入ではありません。まず、OS更新、ウイルス対策、パスワード、共有設定、バックアップ、攻撃手口の把握という基本を、会社のルールとして定着させることです。
IPAのSECURITY ACTION一つ星では、「情報セキュリティ6か条」に取り組むことが掲げられており、その6項目は、①OSやソフトウェアを最新にする、②ウイルス対策ソフトを導入する、③パスワードを強化する、④共有設定を見直す、⑤バックアップを取る、⑥脅威や攻撃の手口を知る、です。
2026年3月に公開された「中小企業の情報セキュリティ対策ガイドライン第4.0版」では、従来の情報セキュリティ5か条に「バックアップを取ろう!」が追加され、情報セキュリティ6か条となりました。ガイドライン自体も、経営者が認識し実施すべき指針と、社内で対策を実践する手順・手法をまとめたものとして位置付けられています。
つまり、6か条は「初心者向けの簡単な話」ではありません。中小企業が取引先・顧客・従業員・個人情報を守るための、実務上の最低ラインです。
2. なぜ今、6か条が重要なのか
IPAの「情報セキュリティ10大脅威 2026」では、組織向け脅威の1位がランサム攻撃、2位がサプライチェーンや委託先を狙った攻撃、3位がAIの利用をめぐるサイバーリスク、4位がシステムの脆弱性を悪用した攻撃とされています。これらは大企業だけの問題ではなく、取引先の一部として業務を受ける中小企業にも直結するリスクです。
実務で特に問題になるのは、次のような状態です。
よくある状態 | 事故時の問題 |
Windowsや業務ソフトの更新を担当者任せにしている | 脆弱性を悪用され、不正アクセスやランサムウェア感染の入口になる |
ウイルス対策ソフトは入っているが、更新状況を見ていない | 感染や異常を見逃す |
パスワードを使い回している | 1つのサービスから漏れたID・パスワードで他のサービスにも侵入される |
クラウド共有リンクを誰でも見られる設定にしている | 顧客情報や取引資料が外部から閲覧される |
バックアップを取っているが戻したことがない | ランサムウェア後に復旧できない |
不審メールや偽ログイン画面の手口を知らない | 従業員が認証情報を入力してしまう |
情報セキュリティは、技術対策だけではありません。ISMSの考え方でも、情報セキュリティは機密性・完全性・可用性を守る体系的な仕組みであり、技術的対策だけでなく従業員教育・訓練、組織体制の整備も含むものとされています。
3. 情報セキュリティ6か条の全体像
6か条 | 中小企業での意味 | 最低限の記録 |
OSやソフトウェアを最新にする | 攻撃に使われる既知の弱点をふさぐ | 更新確認表、端末台帳 |
ウイルス対策ソフトを導入する | 感染・不審動作を検知する | 導入端末一覧、稼働確認記録 |
パスワードを強化する | 不正ログインを防ぐ | アカウント台帳、MFA設定確認 |
共有設定を見直す | クラウド・NAS・複合機の誤公開を防ぐ | クラウド/SaaS台帳、共有リンク点検記録 |
バックアップを取る | ランサムウェア・誤削除から復旧する | バックアップ管理表、復元テスト記録 |
脅威や攻撃の手口を知る | 従業員がだまされるリスクを下げる | 教育記録、注意喚起記録、ヒヤリハット記録 |
この6か条は、単なるチェックリストではありません。会社としては、規程に書く、台帳で管理する、記録で説明するところまで落とし込む必要があります。
4. 第1条:OSやソフトウェアは常に最新の状態にしよう
4-1. 中小企業で最も多い失敗
「業務ソフトが動かなくなると困るから更新していない」「古いパソコンをそのまま使っている」「ルーターやVPN機器の更新は保守会社任せで確認していない」「ブラウザ、PDFソフト、会計ソフト、リモート接続ツールの更新状況を誰も見ていない」
この状態は危険です。OSやソフトウェアを古いまま放置すると、セキュリティ上の問題点が解決されず、それを悪用したウイルス感染の危険性があります。IPAは、Windows UpdateやmacOSのソフトウェアアップデート、利用中ソフトウェアの最新版利用、修正パッチの適用、サポートのあるOS・ソフトウェア・ネットワーク機器の利用を対策例として示しています。
4-2. 社長・総務が確認すべきこと
確認項目 | 実務上の合格ライン |
端末台帳 | 社内PC、ノートPC、スマートフォン、タブレットが一覧化されている |
OS更新 | 自動更新が有効。長期間更新されていない端末がない |
業務ソフト | 会計、販売管理、給与、PDF、ブラウザ、リモート接続ツールを更新対象に含めている |
ネットワーク機器 | ルーター、VPN、NAS、複合機、監視カメラのファームウェアも確認している |
サポート切れ | Windows、macOS、業務ソフト、ネットワーク機器のサポート期限を把握している |
4-3. 規程に入れるべき文言例
「会社が利用するPC、スマートフォン、業務ソフト、クラウド連携ツール、ネットワーク機器については、提供元が公表する更新プログラムを適用し、サポートが終了したOS・ソフトウェア・機器を業務利用しない。」
5. 第2条:ウイルス対策ソフトを導入しよう
5-1. 「入れている」だけでは足りない
ウイルス対策ソフトは、導入して終わりではありません。重要なのは、全端末に入っているか、更新されているか、異常を誰が見るかです。
IPAは、ID・パスワードの窃取、遠隔操作、ファイル暗号化を行うウイルスが増えているとして、ウイルス対策ソフトの導入、ウイルス定義ファイルの最新化、自動更新設定、統合型セキュリティ対策ソフトの検討、OSやアプリケーション標準搭載のセキュリティ機能の活用を対策例として示しています。
5-2. 中小企業で見るべきポイント
項目 | 確認内容 |
導入範囲 | 社内PC、ノートPC、サーバ、持出し端末に導入されているか |
更新状況 | 定義ファイルやエンジンが自動更新されているか |
管理画面 | どの端末が未更新・停止中か確認できるか |
異常時対応 | 検知した場合に誰へ通知され、誰が対応するか |
私物端末 | 私物PCや私物スマートフォンで業務データを扱っていないか |
5-3. 実務上の注意
小規模企業では、無料ソフトを各自が入れているだけのケースがあります。しかし、会社として説明するには不十分です。取引先からセキュリティチェックシートが届いた場合、「各自任せ」ではなく、「会社が指定した対策ソフトを導入し、管理者が稼働状況を確認している」と説明できる状態が必要です。
6. 第3条:パスワードを強化しよう
6-1. 今の攻撃は「パスワードを当てる」だけではない
現在の不正ログインでは、攻撃者がパスワードを推測するだけではありません。どこかのWebサービスから流出したID・パスワードを使い、同じ組み合わせでメール、クラウド、VPN、EC管理画面へログインを試みます。
IPAは、パスワードについて「長く」「複雑に」「使い回さない」よう強化すること、10文字以上でできるだけ長くすること、氏名・電話番号・誕生日・簡単な英単語を避けること、同じID・パスワードを複数サービスで使い回さないこと、VPNや重要システムでは多段階認証・多要素認証・パスキー等の認証強化機能を利用することを対策例として示しています。
6-2. 中小企業で必ず守るべきルール
項目 | 最低限のルール |
使い回し禁止 | メール、クラウド、会計、銀行、EC管理画面で同じパスワードを使わない |
共有ID禁止 | 原則として一人一ID。共有IDを使う場合は責任者と利用範囲を記録 |
MFA必須 | メール、クラウド、VPN、会計、管理者アカウントには多要素認証を設定 |
初期パスワード変更 | ルーター、複合機、NAS、クラウド管理画面の初期パスワードを変更 |
退職時停止 | 退職日までにメール、クラウド、業務システム、VPNを停止 |
6-3. パスワード管理表を作ってはいけない場合
紙やExcelで、全員のパスワードを平文で一覧管理している会社があります。これは非常に危険です。会社として必要なのは「誰がどのサービスのアカウントを持っているか」の台帳であって、全員のパスワードそのものを一覧化することではありません。
必要に応じて、業務用パスワードマネージャー、MFA、管理者権限の分離を検討してください。
7. 第4条:共有設定を見直そう
7-1. クラウド時代の漏えいは「侵入」だけではない
情報漏えいというと、攻撃者が高度な技術で侵入する場面を想像しがちです。しかし実務では、クラウドストレージの共有リンク、NASの公開設定、複合機の保存フォルダ、Web会議録画、チャットツールのチャンネル設定ミスによる漏えいが少なくありません。
IPAは、ウェブサービスやネットワーク接続した複合機の設定ミスにより、無関係な人に情報を見られるトラブルが増えているとして、ウェブサービス、複合機、カメラ、NASなどの共有範囲を限定すること、従業員の異動・退職時に設定を速やかに変更・削除すること、外出先のフリーWi-Fi利用時にパソコンのファイル共有をオフにすることを対策例として示しています。
7-2. 点検すべき共有設定
対象 | 確認ポイント |
クラウドストレージ | 「リンクを知っている全員が閲覧可」になっていないか |
Google Workspace / Microsoft 365 | 外部共有、ゲストユーザー、共有リンクの有効期限 |
NAS・ファイルサーバ | 社外からアクセス可能か、共有フォルダの権限 |
複合機 | スキャン保存先、アドレス帳、管理者パスワード |
チャットツール | 外部ゲスト、公開チャンネル、ファイル共有範囲 |
Web会議 | 録画データの保存場所、共有URL、参加者権限 |
退職者 | 退職者が共有フォルダやクラウドにアクセスできないか |
7-3. 規程に入れるべき文言例
「クラウドストレージ、ファイルサーバ、NAS、複合機、チャットツールに保存する社外秘情報は、業務上必要な者に限って閲覧権限を付与する。外部共有を行う場合は、共有先、共有期間、対象情報を確認し、必要がなくなった時点で共有を停止する。」
8. 第5条:バックアップを取ろう
8-1. バックアップは「保険」ではなく「事業継続の生命線」
ランサムウェア被害では、データが暗号化され、業務が止まります。このとき最後の砦になるのがバックアップです。
IPAは、故障、誤操作、ウイルス感染などによりパソコンやサーバ内のデータが消えたり暗号化されたりすることがあるため、事業継続のためにバックアップを取得するよう示しています。対策例として、重要情報の定期バックアップ、バックアップ媒体をバックアップ時のみPCに接続すること、オンラインバックアップ等の取得方法の決定、安全な場所での保管、定期的な復元確認が挙げられています。
8-2. 中小企業のバックアップで必ず決めること
項目 | 決める内容 |
対象 | 顧客情報、見積・請求、会計、給与、契約書、設計図、Webサイト、メール |
頻度 | 毎日、週1回、月1回など。業務停止の許容範囲から逆算する |
保管場所 | 本番環境とは分離する。常時接続の外付けHDDだけに頼らない |
世代管理 | 最新1世代だけでなく、複数世代を残す |
削除防止 | 通常の管理者権限で簡単に削除されないようにする |
復元テスト | 年1回以上、実際に戻せるか確認する |
責任者 | 誰が成功・失敗を確認するか決める |
8-3. 「バックアップあり」では説明にならない
取引先に説明する際は、単に「バックアップしています」では不十分です。次のように説明できる状態が望ましいです。
「主要な業務データについて日次バックアップを取得し、複数世代を保持しています。バックアップ媒体は通常業務端末から分離し、年1回の復元テストを実施しています。直近の復元テスト日は〇年〇月〇日です。」
ここまで説明できると、単なる精神論ではなく、実際に復旧できる体制として評価されます。
9. 第6条:脅威や攻撃の手口を知ろう
9-1. 従業員が知らなければ、入口はふさがらない
どれだけシステム対策をしても、従業員が偽メールや偽ログイン画面にだまされれば、認証情報は漏れます。ビジネスメール詐欺、請求書差替え、偽のクラウドログイン画面、サポート詐欺、生成AIを使った巧妙なメールなど、攻撃は年々自然になっています。
IPAは、取引先や関係者を装ったウイルス付きメール、正規サイトに似せた偽サイトによるID・パスワード窃取などの巧妙な手口が増えているとして、IPAやNCO等の専門機関のウェブサイト・メールマガジンで最新の脅威や攻撃手口を知ること、利用中のサービスが提供する注意喚起を確認すること、管理者が従業員へ適宜注意喚起し、従業員がセキュリティ上の懸念を速やかに報告することを対策例として示しています。
9-2. 中小企業で実行しやすい教育
方法 | 内容 |
月1回の注意喚起 | 最近の不審メール例、偽ログイン画面、請求書詐欺を共有 |
入社時研修 | パスワード、クラウド共有、個人情報、生成AI入力禁止情報を説明 |
ヒヤリハット記録 | 不審メールを開きそうになった、誤送信しかけた等を記録 |
通報ルール | 不審メールは削除前に責任者へ報告。スクリーンショットやメールを保存 |
机上訓練 | ランサムウェア、誤送信、クラウド誤公開を想定して初動確認 |
9-3. 規程に入れるべき文言例
「従業員は、不審なメール、添付ファイル、URL、ログイン画面、請求内容の変更依頼、振込先変更依頼を受けた場合、自己判断で処理せず、速やかに情報管理責任者へ報告する。」
10. 6か条を「法務体制」に落とし込む
6か条は技術対策に見えますが、企業法務上は次の意味を持ちます。
6か条 | 法務上の意味 |
OS更新 | 既知の脆弱性を放置しない安全管理措置 |
ウイルス対策 | 不正アクセス・マルウェア対策の基本措置 |
パスワード | アクセス権限管理、本人確認、退職者管理 |
共有設定 | 秘密情報・個人情報の漏えい防止 |
バックアップ | 事業継続、契約履行、ランサムウェア対応 |
攻撃手口の把握 | 従業員教育、事故予防、報告体制 |
個人情報を取り扱う会社では、個人データの具体的な取扱いに係る規律の整備、組織体制の整備、規律に従った運用、取扱状況を確認する手段、漏えい等事案に対応する体制、取扱状況の把握と安全管理措置の見直しが求められます。利用状況、削除・廃棄、ログイン実績、アクセスログ等の記録を通じて検証可能にする考え方も示されています。
また、個人データの取扱状況を確認するために、いわゆる個人情報取扱台帳そのものが一律に義務付けられているわけではありませんが、どのような個人データを取り扱っているかを明確化することは有効な取組とされています。
プライバシーマーク付与事業者の場合は、個人情報の漏えい、紛失、滅失・き損、改ざん、目的外利用・提供、不正利用、これらのおそれなどが事故等として扱われ、報告・本人通知・公表等の対応も問題になります。6か条は、こうした事故等を防ぐ基本対策としても重要です。
11. 6か条を運用するための最低限の台帳
中小企業では、最初から大規模なシステムを入れる必要はありません。まずはExcelやスプレッドシートで、次の台帳を作ることが現実的です。
台帳 | 管理する内容 |
端末台帳 | PC、スマートフォン、タブレット、サーバ、利用者、OS、更新状況 |
ソフトウェア台帳 | 業務ソフト、バージョン、サポート期限、更新担当 |
アカウント台帳 | 利用者、サービス名、権限、MFA、退職時停止状況 |
クラウド/SaaS台帳 | サービス名、管理者、保存データ、外部共有、ログ、契約状況 |
バックアップ管理表 | 対象データ、頻度、保管場所、世代数、最終復元テスト日 |
教育記録 | 実施日、対象者、内容、未受講者対応 |
ヒヤリハット台帳 | 不審メール、誤送信未遂、共有設定ミス、再発防止 |
事故対応記録票 | 発生日時、内容、影響範囲、初動、報告先、再発防止策 |
台帳は、作っただけでは意味がありません。毎月または四半期ごとに、社長または管理責任者が確認することが重要です。
12. 取引先から聞かれたときの説明例
OS更新
「社内端末台帳を作成し、OS及び主要ソフトウェアの更新状況を定期的に確認しています。サポートが終了したOS・ソフトウェアは業務利用しない方針です。」
ウイルス対策
「会社指定のウイルス対策ソフトを業務端末に導入し、定義ファイルの自動更新を有効にしています。未更新・停止端末については管理者が確認します。」
パスワード・MFA
「メール、クラウド、会計、VPN、管理者アカウントについては、強固なパスワードと多要素認証を設定しています。退職時にはアカウント停止を行います。」
共有設定
「クラウド/SaaS台帳を作成し、外部共有リンク、ゲストユーザー、管理者権限を定期的に確認しています。不要な共有は削除します。」
バックアップ
「重要データについて定期バックアップを取得し、複数世代を保管しています。復元テストを実施し、復旧可能性を確認しています。」
教育・注意喚起
「従業員に対し、不審メール、偽サイト、パスワード管理、クラウド共有、生成AI利用に関する注意喚起を行い、教育記録を残しています。」
13. 外部委託先にも6か条を求める場合の注意
システム保守会社、Web制作会社、給与計算会社、配送会社、コールセンター、クラウド運用事業者などに、顧客情報や個人情報を渡す場合は、委託先にも最低限のセキュリティ管理を求める必要があります。
ただし、発注者側が委託先に高度なセキュリティ対策を一方的に求め、その費用や工数を考慮しないことは、取引適正化の観点で問題となり得ます。公正取引委員会・中小企業庁の下請法ガイドブックでも、親事業者が下請事業者にISO認証取得を求め、その取得費用を考慮せず一方的に従来どおりの下請代金を据え置く事例は、買いたたきの観点で問題になり得るものとして示されています。
実務では、委託契約書や個人情報取扱覚書に、次の条項を入れておくことが重要です。
条項 | 内容 |
安全管理措置 | OS更新、ウイルス対策、アクセス制御、バックアップ等 |
再委託 | 事前承認、再委託先への同等義務 |
事故報告 | 漏えい確定前の「おそれ」「疑い」の段階で報告 |
調査協力 | ログ、原因調査、影響範囲確認への協力 |
データ削除 | 契約終了時の返還・削除・証明 |
生成AI利用 | 顧客情報・個人情報・秘密情報の入力制限 |
14. 30日で始める実務ロードマップ
1週目:現状を見える化する
まず、PC、スマートフォン、クラウド、アカウント、個人情報、バックアップの有無を一覧にします。完璧な台帳でなくて構いません。最初の目的は、「どこに何があるか分からない状態」から抜け出すことです。
2週目:すぐ直せる設定を直す
退職者アカウントを停止し、メールとクラウドにMFAを設定し、外部共有リンクを棚卸しします。サポート切れOSや古いソフトウェアも洗い出します。
3週目:バックアップと復元を確認する
重要データのバックアップ対象、頻度、保管場所を決めます。可能であれば、小さなフォルダでよいので復元テストを行い、「戻せるか」を確認します。
4週目:ルールと記録を作る
情報管理規程、アカウント管理ルール、クラウド利用ルール、バックアップ管理表、教育記録、ヒヤリハット記録を整えます。SECURITY ACTION一つ星を宣言する場合も、6か条への取組みを社内で説明できるようにします。IPAは、一つ星について、これから情報セキュリティ6か条に取り組むことを宣言するものであり、対策実施前でも申込み可能と説明しています。
15. 社長が毎月確認すべき6つの質問
サポート切れのPC・ソフト・ネットワーク機器はないか
ウイルス対策ソフトが停止している端末はないか
メール・クラウド・VPN・会計にMFAは設定されているか
外部公開された共有リンクや退職者アカウントは残っていないか
バックアップは取得できており、復元テストをしたか
従業員に最新の不審メール・偽サイト・攻撃手口を共有したか
この6つを毎月の経営会議や管理会議で確認するだけでも、事故の可能性と被害拡大リスクは大きく下がります。
16. まとめ:6か条は「宣言」ではなく「運用」して初めて意味がある
情報セキュリティ6か条は、中小企業が最初に取り組むべき実務的な基本対策です。
しかし、重要なのは「知っていること」ではありません。会社として実際に運用し、記録を残し、取引先や顧客に説明できる状態にすることです。
最低限、次の5点を整えてください。
端末・ソフト・クラウド・アカウントの台帳を作る
OS更新、ウイルス対策、MFA、共有設定、バックアップを定期点検する
バックアップは取得だけでなく復元テストを行う
不審メール、偽サイト、請求書詐欺、生成AI利用リスクを従業員に周知する
規程、台帳、教育記録、点検記録を残す
山崎行政書士事務所では、行政書士として対応できる範囲で、SECURITY ACTION対応、情報セキュリティ基本方針、情報管理規程、クラウド/SaaS台帳、アカウント管理台帳、個人情報管理台帳、委託先管理台帳、バックアップ管理表、インシデント対応手順、取引先提出用セキュリティ概要資料の整備を支援しています。
技術的な脆弱性診断、フォレンジック調査、SOC運用、紛争性のある損害賠償交渉、訴訟対応等が必要な場合は、IT専門事業者、情報処理安全確保支援士、弁護士等と連携し、中小企業が「実際に説明できる情報管理体制」を構築できるよう支援します。
コメント