中小企業のセキュリティ対策の出発点として広く使われてきた「情報セキュリティ5か条」。これが2026年3月、IPA(情報処理推進機構)による「中小企業の情報セキュリティ対策ガイドライン」第4.0版の公開にあわせ、「6か条」へと拡充されました。第3.1版以来およそ3年ぶりの大幅改訂で新たに加わったのが、「バックアップを取ろう!」です。なぜいま、バックアップが独立した一項目として格上げされたのでしょうか。その背景には、中小企業にまで広がるランサムウェア被害があります。本記事では、6か条の全体像と、新設された「バックアップ」のポイントをわかりやすく解説します。
この記事の要点
- ▶︎IPAが2026年3月に「中小企業の情報セキュリティ対策ガイドライン」第4.0版を公開し、基本対策が「5か条」から「6か条」へ拡充
- ▶︎新設された「バックアップを取ろう!」。背景はランサムウェア被害の拡大とサプライチェーン攻撃
- ▶︎正しいバックアップは「本番環境からの隔離」「定期取得」「復元テスト」の3つのポイントが鍵
目次
そもそも「情報セキュリティ5か条」とは?SECURITY ACTIONとの関係
5か条とSECURITY ACTIONの関係
「情報セキュリティ5か条」は、IPA(情報処理推進機構)が中小企業向けに策定した、情報セキュリティ対策の基本指針です。専門的な知識や高額なセキュリティ製品がなくても実践できる内容で構成されており、多くの企業が最初に取り組むべき対策として位置付けられています。
この5か条は、中小企業の情報セキュリティ対策を「見える化」する制度である「SECURITY ACTION」とも密接に関係しています。SECURITY ACTIONには「一つ星」と「二つ星」の2段階がありますが、一つ星は情報セキュリティ5か条(2026年の改訂後は6か条)に取り組むことを宣言すれば取得可能です。
近年は、大企業や官公庁との取引において、情報セキュリティ対策の実施状況を確認されるケースが増えてきました。SECURITY ACTIONの宣言は、自社が基本的なセキュリティ対策に取り組んでいることを取引先へ示す手段としても活用されています。
従来の「5か条」をおさらい
従来の情報セキュリティ5か条は、次の5つで構成されています。
・第1条:OSやソフトウェアは常に最新の状態にしよう!
・第2条:ウイルス対策ソフトを導入しよう!
・第3条:パスワードを強化しよう!
・第4条:共有設定を見直そう!
・第5条:脅威や攻撃の手口を知ろう!
いずれも、高度な知識や多額の投資を必要としない基本対策です。しかし、サイバー攻撃の多くは、ソフトウェアの更新漏れや弱いパスワード、設定ミスなど、こうした基本対策の不備を狙って行われています。そのため、「当たり前のことを確実に実施する」ことが、最も効果的なセキュリティ対策の一つといえます。
申請しやすくなったSECURITY ACTION
2026年4月以降、SECURITY ACTIONは法人向け共通認証システム「GビズID」を利用した新しい申請方式へ移行しました。これにより、オンラインでの申請手続きがよりスムーズになり、ロゴマークの取得や管理も容易になっています。
情報セキュリティ対策は、一度実施すれば終わりではなく、継続的な取り組みが重要です。SECURITY ACTIONへの参加は、自社の対策を見直すきっかけになるだけでなく、社内のセキュリティ意識を高め、取引先からの信頼向上にもつながります。まずは基本となる5か条(改訂後は6か条)を理解し、できるところから着実に実践していきましょう。
なぜ2026年に改訂されたのか|背景にある脅威の変化
ランサムウェア被害の中小企業への拡大
情報セキュリティ5か条が2026年に改訂された最大の理由は、中小企業を取り巻くサイバー攻撃の脅威が大きく変化したためです。特に深刻なのが、ランサムウェアによる被害の拡大です。
ランサムウェアとは、企業の業務データを暗号化して利用できなくし、その復旧と引き換えに身代金を要求するマルウェアを指します。近年では、データを暗号化するだけでなく、盗み出した情報を公開すると脅す「二重脅迫型」が主流となり、被害はさらに深刻化しています。
感染経路も、メールの添付ファイルだけではありません。VPN機器やサーバの脆弱性を悪用した侵入、リモートアクセスの不正利用、認証情報の窃取など、さまざまな手口が確認されています。「中小企業だから狙われない」という考えはもはや通用せず、IPAが公表した「情報セキュリティ10大脅威 2026」でも、「ランサム攻撃による被害」は組織編の第1位となっています。
>>ランサムウェアの被害事例、対策方法について詳しく知りたい方はこちら
取引先を踏み台にする「サプライチェーン攻撃」
もう一つの大きな背景が、サプライチェーン攻撃の増加です。これは、セキュリティ対策が比較的手薄な中小企業へ侵入し、その企業を経由して取引先や親会社などへ攻撃を広げる手法です。
近年は、大企業が自社だけでなく取引先にも一定のセキュリティ水準を求めるケースが増えています。実際、IPAの「情報セキュリティ10大脅威 2026」では、「サプライチェーンや委託先を狙った攻撃」が組織編の第2位に位置付けられています。
そのため、中小企業にとって情報セキュリティは、自社を守るためだけの取り組みではありません。取引先との信頼関係を維持し、ビジネスを継続するための重要な経営課題となっています。
>>サプライチェーン攻撃の手法や対策方法について詳しく知りたい方はこちら
SCS評価制度の考え方を反映
こうした状況を踏まえ、2026年版(第4.0版)の情報セキュリティ6か条では、経済産業省が推進する「サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)」の考え方も取り入れられました。
SCS評価制度では、企業単体ではなく、サプライチェーン全体でセキュリティレベルを高めることが重視されています。中小企業にも最低限のセキュリティ対策を継続的に実施することが求められるようになり、その考え方が今回の改訂にも反映されています。
こうした背景から、新たに追加されたのが「バックアップを取ろう!」です。ランサムウェア被害を完全に防ぐことは難しいからこそ、万一感染しても事業を継続できるよう、復旧手段としてバックアップの重要性が改めて明確に位置付けられました。
出典:IPA(独立行政法人情報処理推進機構)「中小企業の情報セキュリティ対策ガイドライン」
https://www.ipa.go.jp/security/guide/sme/about.html
新しくなった「情報セキュリティ6か条」を一気に把握
6か条の一覧と各条のポイント
改訂後の6か条は、従来の5項目に第5条を加えた構成です。自社でできているか、各条のポイントとあわせてチェックしてみてください。
第1条 OSやソフトウェアは常に最新の状態にしよう!攻撃者の多くは公表済みの既知の脆弱性を突いて侵入します。OS・ブラウザ・Office・業務システムの更新は、費用をかけずにできる最も効果の高い対策です。
第2条 ウイルス対策ソフトを導入しよう!マルウェアの検知・駆除の基本ですが、後述のとおり「完全な盾」ではない点に注意が必要です。
第3条 パスワードを強化しよう!使い回しや単純なパスワードは侵入の入口になります。長く複雑な設定に加え、多要素認証の併用やパスワード管理ツールの利用も検討しましょう。
第4条 共有設定を見直そう!ファイルサーバやクラウドの共有が、知らぬ間に社外からアクセスできる状態になっていないか定期的に確認します。
第5条(新設) バックアップを取ろう!ランサムウェア対策の要として、今回の改訂で独立した一項目として格上げされました。正しい取り方のポイントは後の章で詳しく解説します。
第6条 脅威や攻撃の手口を知ろう!IPAや警察庁などが公開する最新情報を定期的に確認すること自体が、立派な対策です。
見落としがちな注意点
第4.0版で特に強調されたのが「ウイルス対策ソフトは完全な盾ではない」という点です。攻撃者は検知を回避する手法を日々進化させているため、導入=安心と考えるのは危険で、OSの更新・多要素認証・バックアップなどを組み合わせる「多層防御」が前提になります。また、第4条の共有設定では、テレワーク導入時に急ごしらえで作成した共有リンクやフォルダが社外公開の設定のまま放置されているケースがあります。「設定したつもり」で止まっていないか、定期的な棚卸しを習慣にしましょう。
注目は新設の第5条「バックアップ」
今回の改訂で最も注目されるのが、独立した項目として加わった「バックアップを取ろう!」です。これまでバックアップは推奨レベルの位置づけでしたが、ランサムウェア被害の深刻化を受けて、すべての企業が取り組むべき基本対策の一つへと格上げされました。なぜここまで重視されるのか、そして「正しい取り方」とは何かを、次章以降で詳しく解説します。
新第5条「バックアップ」がなぜ重要なのか
バックアップの有無が被害の深刻さを分ける
2026年版の情報セキュリティ6か条で、新たに追加されたのが「バックアップを取ろう!」です。この追加は、バックアップの重要性が急に高まったというよりも、近年のランサムウェア被害を踏まえ、その必要性が改めて明確になったことを意味しています。
ランサムウェアに感染すると、社内のファイルや業務システムのデータが暗号化され、通常は利用できなくなります。さらに最近では、データを盗み出したうえで公開をちらつかせる「二重脅迫型」が主流となり、企業の被害は大きくなりました。
こうした状況で、バックアップの有無は事業継続を左右します。適切なバックアップがあれば、身代金を支払わなくてもデータを復元でき、業務停止期間を最小限に抑えることが可能です。実際に、クラウドへ定期的にバックアップを取得していた企業では、感染後も比較的短期間でシステムを復旧し、事業への影響を大幅に軽減できた事例が報告されています。
バックアップは「保険」ではなく「必須インフラ」
一方で、バックアップが存在しない場合、状況は大きく異なります。業務データを復旧できず、営業活動や顧客対応、会計処理などが長期間停止する恐れがあります。復旧作業に数週間を要するケースも珍しくなく、その間の売上減少や信用失墜によって、経営そのものが大きな打撃を受ける可能性も否定できません。
特に中小企業では、限られた人員で業務を運営しているため、データを失った影響はより深刻になりがちです。最悪の場合、事業継続そのものが困難になるケースもあるでしょう。
このような背景から、バックアップは「万が一のための保険」ではなく、事業を継続するための「必須インフラ」と考えるべき時代になりました。IPAが今回の改訂でバックアップを独立した項目として追加したのも、データ保護の中核として、その重要性を明確に示すためです。
取り方を誤ると役に立たない
ただし、バックアップは「取得している」という事実だけでは不十分です。保存方法や運用方法を誤ると、いざという時に役立たない可能性があります。
例えば、バックアップを社内サーバと同じネットワーク内だけに保存している場合、ランサムウェアの感染によってバックアップデータまで暗号化されてしまうかもしれません。また、バックアップを何か月も更新していなければ、復元できても直近の受注情報や顧客データ、会計データなどが失われる恐れがあります。
実際には、「バックアップは取っていたが復元できなかった」「復旧できても最新データが残っていなかった」といった事例も少なくありません。そのため重要なのは、バックアップの有無だけではなく、「確実に復旧できる形」で運用することです。
正しいバックアップの取り方|押さえるべき3つのポイント
ポイント1|本番環境から切り離して保管する
バックアップを取得していても、本番環境と同じ場所に保存していては十分とはいえません。社内サーバと同じネットワーク上にバックアップを保管している場合、ランサムウェアに感染するとバックアップデータまで暗号化され、復旧できなくなる恐れがあります。
こうしたリスクを避けるために推奨されているのが「3-2-1ルール」です。これは世界的にも広く採用されているバックアップの基本原則で、次の3つを実践することを意味します。
・データのコピーを3つ保持する
・2種類以上の異なる媒体に保存する
・そのうち1つはオフサイト(遠隔地・別環境)に保管する
例えば、業務用サーバに加えて外付けストレージへ保存し、さらにクラウドにもバックアップを取得すれば、この考え方に近づけることができます。特にクラウドバックアップは、本番環境から物理的・論理的に切り離して保管できるため、ランサムウェア対策として非常に有効です。また、複数時点のバックアップを保持する「世代管理」に対応したサービスも多く、感染前の状態へ戻しやすいというメリットがあります。
ポイント2|定期的に取得する
バックアップは、安全な場所に保存するだけでは十分ではありません。取得する頻度も同じくらい重要です。
例えば、最後のバックアップが1か月前だった場合、復旧できてもその後に作成・更新したデータはすべて失われてしまいます。営業資料や受発注データ、会計情報などを再入力する負担は非常に大きく、業務への影響も避けられないでしょう。
そのため、最低でも週1回以上、更新頻度の高い重要データについては毎日、あるいは数時間ごとなど、業務内容に応じた間隔で自動的にバックアップを取得する仕組みを整えることが重要です。手動での運用は取り忘れや担当者不在による漏れが発生しやすいため、自動バックアップを基本とする運用をおすすめします。
ポイント3|復元テストを実施する
意外と見落とされがちなのが、バックアップデータが実際に復元できるかどうかを確認することです。
バックアップファイルが破損していたり、設定ミスによって必要なデータが保存されていなかったりすると、いざという時に復旧できません。「バックアップは取っていたのに戻せなかった」という事態は決して珍しくないのです。
そのため、定期的に復元テストを実施し、正常にデータを戻せるかを確認しましょう。あわせて、システム全体の復旧にどの程度の時間がかかるのかも把握しておくことが重要です。バックアップは、取得・保管・復元まで一連の流れが機能して初めて、本来の役割を果たします。
中小企業はクラウドバックアップが現実的
これら3つのポイントを自社だけで運用するのは、専任のIT担当者がいない中小企業にとって簡単ではありません。社内サーバだけで管理すると本番環境から十分に切り離せず、手動運用ではバックアップの取得漏れや復元テストの未実施も起こりがちです。
その点、クラウドバックアップサービスを利用すれば、本番環境から切り離した場所への保管、自動バックアップ、世代管理などを比較的容易に実現できます。さらに、復元機能や運用管理を効率化できるサービスも多く、NASやサーバ、クラウドストレージなど複数のデータをまとめて保護できる点も大きなメリットです。
サービスを選ぶ際は、保存したいデータ量だけでなく、「どれくらいの時間で業務を再開する必要があるか(RTO)」や、「どこまで最新のデータを復旧したいか(RPO)」も考慮すると、自社に最適なバックアップ環境を構築しやすくなります。バックアップは取得することが目的ではなく、「確実に復旧できること」が最終的なゴールであると意識した運用が重要です。
6か条以外の改訂ポイントと今すぐの一歩
「5分でできる!情報セキュリティ自社診断」に2項目追加
現状の対策レベルをチェックリスト形式で手軽に確認できる無料ツールに、今回「外部から内部ネットワークへの不要な通信を遮断しているか」「ウェブサイトを安全に運用しているか」の2項目が追加されました。とくに前者は、社内のサーバや機器がインターネットに直接さらされていないかを確認する重要な観点です。「どこから手をつければよいか分からない」という方は、まずこの自社診断から始めましょう。
サプライチェーン対策と人材育成の付録
前章で触れたSCS評価制度の考え方が明確に取り込まれ、大手企業と取引のある中小企業の情シス担当者は特に意識したいところです。あわせて、セキュリティ人材の確保・育成に関する付録も新設されました。外部リソースの活用方法や実践事例が紹介されており、経営層にセキュリティ投資を説明する際の資料としても役立ちます。
SCS評価制度の仕組みや中小企業への影響については、SCS評価制度とは?中小企業が知っておくべき取引先要件とセキュリティ対策で詳しく解説しています。
今すぐの一歩はバックアップ体制の確認から
ガイドライン第4.0版はIPA公式サイトから無料でダウンロードできます。まずは6か条のチェックリストで自社の現状を確認し、「バックアップ」が未整備の企業は、今日の業務終わりにでも現状を確認してみてください。
使えるねっとの「使えるデータプロテクト」は、本番環境から切り離した安全なクラウド上にデータを自動でバックアップできるサービスです。世代管理や復元にも対応し、ランサムウェア対策に求められる「隔離・定期取得・復元」を専門知識がなくても実践できます。バックアップ体制を見直したい方は、お気軽に使えるねっとまでご相談ください。
クラウドでのデータ管理や保管場所の考え方については、以下の関連記事もあわせてご覧ください。
>>データレジデンシーとは?意味・重要性と企業が知るべきデータ保管の基本
FAQ
「情報セキュリティ6か条」とは何ですか?
IPAの「中小企業の情報セキュリティ対策ガイドライン」第4.0版(2026年3月公開)で示された基本対策です。従来の5か条(OS等の更新、ウイルス対策ソフト、パスワード強化、共有設定の見直し、脅威を知る)に、新たに「バックアップを取ろう!」が加わりました。
なぜバックアップが追加されたのですか?
中小企業にも広がるランサムウェア被害への対応です。データを暗号化されても、適切なバックアップがあれば身代金を払わずに復旧でき、被害を最小化できます。バックアップの有無で被害規模が大きく変わるため、独立した項目として格上げされました。
バックアップで気をつけるポイントは何ですか?
3つあります。①本番環境から切り離した場所に保管する(3-2-1ルール)、②定期的に取得する、③復元テストを実施して実際に戻せることを確認する、です。社内の同一ネットワークだけに置くと、ランサムウェアに一緒に暗号化される危険があります。
クラウドバックアップと社内バックアップはどちらがよいですか?
ランサムウェア対策の観点では、本番環境から切り離せるクラウドバックアップが有利です。社内サーバだけに保管していると、感染時に一緒に暗号化されるリスクがあります。社内と社外(クラウド)を併用し、3-2-1ルールを満たす方法が理想的です。
SECURITY ACTIONの宣言方法は変わりましたか?
2026年4月以降、GビズIDを用いた仕組みへ移行し、オンライン申請やロゴマークの取得がしやすくなりました。一つ星は情報セキュリティ6か条への取り組みを宣言することで取得できます。
SCS評価制度と情報セキュリティ6か条の関係は?
SCS評価制度は経済産業省が推進するサプライチェーン全体のセキュリティ評価の仕組みです。2026年版ガイドライン(第4.0版)にその考え方が反映されており、中小企業も6か条を実践することで取引先への信頼証明につながります。詳しくは[SCS評価制度の解説記事]をご覧ください。
お電話でのお問い合わせはこちら:03-4590-8198
(営業時間:10:00-17:00)














