IPAの「中小企業の情報セキュリティ対策ガイドライン」は、無料で読めて完成度も高い、日本のデファクト標準といえる良質な資料です。ただ実際に中小企業の現場を見ていると、ひとつ気になることがあります。今の中小企業は、もう“クラウドの中”で仕事をしているのに、ガイドラインの発想は依然として「自社のPCと社内ネットワークを守る」が出発点で、クラウドは“安全に使うための注意事項”として付録的に扱われている——という点です。
そこで私たちは、「クラウドを使うのが当たり前(クラウド・バイ・デフォルト)」を前提に、世界標準の NIST CSF 2.0 を土台にした中小企業向けセキュリティ対策ガイドラインを、実際に作ってみました。本記事はその全文です。コピーして自社用にカスタマイズしてお使いください。
この記事の立場:IPA版を否定するものではありません。むしろ併用を前提とした補完です。「自社資産防御」を基礎に持つIPA版に、「クラウド前提・ID中心」の視点を重ねるのが狙いです。
1. なぜ今「クラウド・バイ・デフォルト」なのか
「クラウド・バイ・デフォルト原則」は、もともと政府の方針です。2018年6月の「政府情報システムにおけるクラウドサービスの利用に係る基本方針」で具体化され、システムを作るならクラウドの利用を第一候補(デフォルト)として検討する、という考え方が示されました。検討の順序も「まずSaaS、次にIaaS/PaaS、最後にオンプレミス」とされています。
これは政府向けの方針ですが、考え方は中小企業にもそのまま当てはまります。むしろ中小企業のほうが、すでに次のような状態にあるはずです。
- メールや文書は Google Workspace / Microsoft 365
- 会計・人事・勤怠は freee や各種SaaS
- コミュニケーションは Slack / Chatwork / Teams
- 自社サーバーやファイルサーバーは、もう置いていない(か、縮小中)
つまり守るべき情報資産の大半が、すでに社外(クラウド)にある。それなら、対策の発想も「社内を守る」から「クラウド上のアカウントとデータを守る」へと組み替えるのが自然です。
2. IPAガイドラインの良いところと、私たちが感じた“余白”
まず、IPA版(最新は第4.0版)の優れている点を率直に挙げます。
- 経営者編の「3原則」と「重要7項目」で、経営者の責任を明確にしている
- 「情報セキュリティ6か条」(第4.0版でバックアップが追加)など、最初の一歩が極めて分かりやすい
- 「SECURITY ACTION」自己宣言や、規程・台帳のひな形など、付録が実務的
- 第4.0版では付録7「中小企業のためのクラウドサービス安全利用の手引き」も用意されている
そのうえで“余白”だと感じたのが、全体の構造が「自社資産(PC・社内ネットワーク)を守る」ことを基点に組み立てられており、クラウドが主役ではなく“安全に使う対象”として扱われていることです。実態として情報の大半がSaaS上にある企業にとっては、「クラウドを前提に、何を・どの順で守るか」を最初から軸に据えたほうが、抜け漏れが減ります。
3. なぜ土台に NIST CSF 2.0 を選んだのか
NIST CSF(サイバーセキュリティフレームワーク)2.0 は、米国NISTが2024年2月に公開した、世界的に参照されるリスク管理フレームワークです。中小企業を選んだ理由は次のとおりです。
- 6つの機能でライフサイクルを一望できる:統治(Govern)・特定(Identify)・防御(Protect)・検知(Detect)・対応(Respond)・復旧(Recover)。やることの全体像が直感的
- 2.0で「統治(Govern)」が新設された:セキュリティを“技術の話”から“経営の話”へ引き上げる発想で、IPAの「経営者編」とも相性が良い
- 段階的に育てられる:成熟度を表す「Tier(Partial〜Adaptive)」と、現状/目標を描く「プロファイル」で、“できるところから”を仕組み化できる
- 規模を問わない:中小企業向けのクイックスタートガイドも用意されている
この6機能は、そのまま「クラウド前提の中小企業が、何を・どの順で考えるか」のチェックリストとして使えます。
4. 設計思想(3つの原則)
作成にあたって、次の3つを軸に置きました。
- 守る対象を「端末+社内LAN」から「アカウントとデータ」へ(ID中心主義)。クラウドでは、入口は“境界”ではなく“ログイン”。だからIDの保護が最重要になる
- 「責任共有モデル」を正しく理解する。クラウド事業者が守る範囲(基盤)と、自社が守る範囲(アカウント・設定・データ・共有権限)は別物。後者は100%自社の責任
- 段階的に進める。まずは無料・標準機能でできることから。次に有料機能や運用ルールへ
5.【本編】クラウド・バイ・デフォルト版 中小企業セキュリティ対策ガイドライン(NIST CSF 2.0準拠)
NIST CSF 2.0の6機能に沿って整理しています。各機能に「ねらい」「具体アクション(クラウド前提)」「まず無料でできる最初の一歩」を置きました。
GV|統治(Govern)— 経営として方針と体制を決める
ねらい:セキュリティを担当者任せにせず、経営の意思として方針・責任・選定基準を定める。
- 情報セキュリティの基本方針を明文化し、責任者(経営層)を決める
- 自社が使うSaaSを誰が管理するかを決める(管理者アカウントの持ち主を明確化)
- 委託先・SaaS事業者のリスク(サプライチェーン)も対象に含める
- クラウド選定の基準に、第三者認証や評価制度(ISMAP登録、ISO/IEC 27001、SOC 2 など)を入れる
最初の一歩:使っているSaaSを書き出し、それぞれ「管理者は誰か」を埋めるだけでも統治の第一歩になります。
ID|特定(Identify)— 何を守るのかを把握する
ねらい:守る対象(アカウント・データ・利用サービス)を見える化する。
- 利用中のSaaS・アカウントの棚卸し(“現場が勝手に契約したツール”=シャドーITの把握も)
- 扱う情報の重要度を分類(公開可/社内限り/機密)
- 退職者・異動者のアカウント棚卸しを定期的に行う
最初の一歩:「アカウント台帳」を1枚作る。サービス名/管理者/利用者/重要度の4列で十分です。
PR|防御(Protect)— アカウントとデータを守る(ここが主戦場)
ねらい:クラウドの入口(ID)と中身(データ)を守る。
- 多要素認証(MFA)を全アカウントで必須化(最優先・最重要)
- 可能なら SSO/IdP で認証を一元化し、入退社時の権限付与・停止を即座に
- 最小権限の原則(必要な人に、必要な範囲だけ)
- 共有リンクの既定を厳格化(「リンクを知る全員」公開を初期値にしない)
- 端末管理(MDM)と画面ロック・ディスク暗号化
- 従業員教育(フィッシング・共有設定ミスの定期啓発)
最初の一歩:まず管理者と経営層のアカウントにMFAを設定。次に全社へ展開。
DE|検知(Detect)— 異常に気づく
ねらい:「乗っ取られたこと」「漏れたこと」に早く気づける状態をつくる。
- SaaSの監査ログ/サインインアラートを有効化(普段と違う場所・時間のログイン通知など)
- 共有設定の変更や大量ダウンロードを検知できるようにする
- 端末には EDR(振る舞い検知型の対策)を検討
最初の一歩:管理コンソールで「不審なログインの通知」をオンにする。無料の標準機能で可能なことが多いです。
RS|対応(Respond)— 起きたときに動ける
ねらい:インシデント発生時に、慌てず初動できる手順を用意する。
- 連絡体制(誰に・どの順で報告するか)を決めておく
- 侵害されたアカウントを即時に停止/パスワード強制リセットする手順
- ログから影響範囲を特定する
- 報告先を把握:IPA(届出)、JPCERT/CC(調整)、個人データ漏えい時は個人情報保護委員会への報告義務
最初の一歩:「インシデント1枚メモ」を作る。第一報の連絡先と、アカウント停止の手順だけでも書いておく。
RC|復旧(Recover)— 元に戻す・繰り返さない
ねらい:データと業務を復旧し、再発を防ぐ。
- SaaSのデータもバックアップ対象にする(「クラウドだから消えない」は誤解。誤削除・ランサム・アカウント停止のリスクは残る)
- 復旧手順と、最低限の業務継続の段取りを決める
- 収束後に振り返りを行い、方針・設定に反映(統治へ戻る)
最初の一歩:重要な共有ドライブの定期エクスポート(バックアップ)を1つ設定する。
6. このガイドラインの使い方
NIST CSFの作法に沿って、次のように使うのがおすすめです。
- 現状(Current Profile)を書く:6機能の各アクションを「できている/一部/未着手」で自己評価
- 目標(Target Profile)を決める:半年後・1年後に到達したい状態を選ぶ
- 差分を埋める:差が大きく、かつ被害が大きい箇所(多くはPRのMFA・共有設定)から着手
- Tierで成熟度を確認:場当たり的(Partial)→ ルール化(Repeatable)→ 継続改善(Adaptive)へ
| 機能 | 一言でいうと | 中小企業の最優先アクション |
|---|---|---|
| GV 統治 | 経営として決める | 方針・責任者・SaaS管理者を決める |
| ID 特定 | 何を守るか把握 | アカウント台帳をつくる |
| PR 防御 | 守る(主戦場) | 全アカウントにMFA +共有設定の既定厳格化 |
| DE 検知 | 異常に気づく | 不審ログイン通知をオン |
| RS 対応 | 起きたら動く | 連絡体制とアカウント停止手順 |
| RC 復旧 | 戻す・繰り返さない | SaaSデータのバックアップ |
7. IPA版との併用がおすすめ
繰り返しになりますが、これはIPA版の置き換えではなく補完です。
- IPA版:経営者の心構え(3原則)、最初の一歩(6か条)、規程・台帳のひな形が充実
- 本ガイドライン:クラウド前提で「何を・どの順で守るか」をNIST CSF 2.0の6機能で整理
「SECURITY ACTION」を宣言しつつ、本ガイドラインで自己評価する、といった併用が現実的です。
おわりに
クラウドは「危険だから避ける」ものではなく、「正しく設定して使いこなす」もの——これは政府の基本方針でも明確に示されている考え方です。中小企業こそ、クラウドを前提に、アカウントとデータを守る発想へ切り替えるタイミングに来ています。
なお当社(JPW,Inc.)では、こうしたクラウド前提のセキュリティ整備やAI活用の進め方について、AI活用顧問としてご相談を承っています。また、社外秘のメモや機密情報を安全に残すための機密ノートアプリ「noxt」も開発・運営しています。本ガイドラインの導入でお困りの際は、あわせてご検討ください。
出典・参考
- IPA(独立行政法人情報処理推進機構)「中小企業の情報セキュリティ対策ガイドライン 第4.0版」 https://www.ipa.go.jp/security/guide/sme/about.html
- NIST「Cybersecurity Framework (CSF) 2.0」(2024年2月公開) https://www.nist.gov/cyberframework
- 各府省情報化統括責任者(CIO)連絡会議「政府情報システムにおけるクラウドサービスの利用に係る基本方針」(2018年6月、クラウド・バイ・デフォルト原則)
本ガイドラインは、上記資料を参考に当社が独自に作成した一般的な指針です。各社の実情により最適な対策は異なります。重要な意思決定の際は、最新の一次情報をご確認のうえ、必要に応じて専門家にご相談ください。