IPAから、「中小企業の情報セキュリティ対策ガイドライン 第4.0版」が公開されました。 今回の改訂は、単なる更新ではありません。ランサムウェア被害の深刻化、サプライチェーン全体での対策の必要性、人材不足といった現実を踏まえて、中小企業が取り組みやすい形へ見直されています。改訂版では、情報セキュリティ6か条、自社診断、SCS評価制度を踏まえた整理、人材確保・育成に関する付録などが盛り込まれています。   つまり今回の第4.0版は、難しい仕組みを増やしたというより、 今の中小企業に必要な対策を、より実務に近い形で整理したもの と考えると分かりやすいです。 この記事では、ガイドライン全体を細かく追うのではなく、 中小企業がまず見直したい3つのポイント に絞って整理します。 1. まず見直したいのは「バックアップ」 “取っている”ではなく、“戻せる”まで確認する 第4.0版で特に目立つ変化のひとつが、従来の「5か条」が「6か条」になったことです。 追加されたのは、 「バックアップを取ろう！」  です。本文でも、情報セキュリティ6か条の中にバックアップが

「SECURITY ACTION」という言葉を聞いたことはあるけれど、 何をすればよいのか分からない―― そんな中小企業の方も多いのではないでしょうか。 SECURITY ACTIONは、IPA（情報処理推進機構）が提供している 中小企業向けの情報セキュリティ対策の自己宣言制度です。 そして、その最初の段階である「一つ星」は、 特別なツールや高度な技術がなくても、すぐに始められる内容になっています。 今回は、SECURITY ACTION一つ星で求められる 「情報セキュリティ5か条」を、実務の視点で解説します。 SECURITY ACTION一つ星の条件は 「情報セキュリティ5か条」 SECURITY ACTION一つ星は、 次の5つの基本対策に取り組むことを宣言することで取得できます。 一つずつ見ていきましょう。 ① OSやソフトウェアを最新の状態にする これは最も重要な対策です。 古いOSやソフトウェアは、 すでに知られている「弱点（脆弱性）」をそのまま放置している状態です。 実際の現場では、次のようなケースをよく見かけます。 Windows