東京都産業労働局 中小企業向けサイバーセキュリティ対策の極意 Ver.4.0 (2025.12.23)
こんにちは、丸山満彦です。
東京都産業労働局の中小企業向けサイバーセキュリティ対策のガイドが更新されていました...
サプライチェーン上重要な中小企業が存在し、その中小企業がランサムウェアにより業務が停止したり、その中小企業を足場によりよりTierの高い企業への侵入につながったり、その中小企業から重要な情報が窃盗されたりすると、国の経済活動に多大な影響がでることがあり得る。
そのため、中小企業全部とは言わないが、企業の規模に関わらず経済活動にとって重要な企業はすべてサイバーセキュリティ対策を実施しておくことが必要となる。
ところが大企業に比較すると中小企業はリソースが限られている。サイバーセキュリティ対策は規模の経済が働く面が大きく、大企業と同じレベルのセキュリティ対策を中小企業が実施しようとすると、経済的になりたたなくなる。
と言う背景もあり、日本のみならず、世界各国で中小企業のサイバーセキュリティ対策というのは重要な政策課題となっています。(少なくとも2003年に経産省でサイバーセキュリティ戦略の議論をしている時からそうでした)。また、個人情報保護法のガイドラインを策定する際にも安全管理措置の面でもその議論はでました。
サイバー以外も含めてですが、J-SOXの議論の時も中小企業(ベンチャー)のIT内部統制の評価についても議論がありました。
規模の経済という構造的な問題なので、対策としては、
・「中小企業がまとまって」対策をする
・「コストを変動費にできる」対策をする
ということしかないと考えています。
お助け隊サービスはどちかというと前者の対策。クラウドサービスの利用は前者かつ後者ともいえると思います。と考えていくと、中小企業はセキュリティ対策を起点としても、クラウドシフトを加速することになります。
結果的に国の産業のクラウド依存が高まっていくことを意味します。欧州、英国、オーストラリア、(最近ではカナダ)ではソブリンクラウドのための制度づくりをしていますよね。。。(米国クラウドベンダーを締め出すのではなく、ソブリンクラウドの要件を決め、それに従っているサービスであれば採用をする一方で、欧州のクラウドベンダーの育成もしていく)
政府、重要インフラ以外にも多くの事業者がクラウドベンダーに依存していくと、集中リスクというのはあり得ますね...
この辺りは少し先の課題かもしれません...
ということで、話を元に戻して、東京都産業労働局の中小企業向けサイバーセキュリティ対策の極意 Ver.4.0 の紹介です。劇場風漫画形式となっています(^^)
●東京都 - 産業労働局 - 中小企業向けサイバーセキュリティ対策の極意ポータルサイト
・2025.12.23 [PDF] Ver.4.0
日本の中小企業セキュリティガイドのようなもの...
| 発行元 | タイトル | 発行/更新年 | 概要 |
| NISC(内閣サイバーセキュリティセンター、政府機関) | 小さな中小企業とNPO向け 情報セキュリティハンドブック(インターネットの安全・安心ハンドブックに統合) | 2023年 (Ver.5.00) |
小規模事業者向けに基本的なセキュリティ対策をハンドブック形式でまとめたもの。パスワード管理や脅威対策を中心に。 |
| 総務省(政府機関) | 中小企業等担当者向けテレワークセキュリティの手引き(チェックリスト)(第3版) | 2022年 (第3版) |
セキュリティ専任担当がいない中小企業等を対象に、テレワーク時の最低限のセキュリティ対策をチェックリスト形式で提供。テレワーク方式確認、脅威カテゴリ別の対策、緊急対応を含む。 |
| IPA(独立行政法人情報処理推進機構) | 中小企業の情報セキュリティ対策ガイドライン | 2023年 (第3.1版) |
経営者向け指針と実践的な対策手法をステップバイステップで説明。付録にチェックリストを含む。 |
| 東京都産業労働局 | 中小企業向けサイバーセキュリティ対策の極意 | 2025年 (Ver.3.0a) |
漫画形式でわかりやすく、サイバー攻撃の現状と必須対策、事故対応を解説。Web版とPDF版あり。 |
| 愛知県 | 経済安全保障 中小企業向け 入門ガイド | 2023年 | 経済安全保障の観点からサイバーセキュリティ対策を含む。従業員意識向上と体制整備を重点。 |
| ITコンソーシアム京都(京都府関連、地方自治体支援) | セキュリティマニュアル | 不明 (最新版参照) |
京都府内中小企業向けにサイバー相談件数推移と対策をまとめたマニュアル。相談窓口情報あり。 |
米国、欧州、英国、オーストラリア、カナダ等の主に中小企業向けのセキュリティガイドのようなもの...
| 国・地域 | 組織 | 発行元 | タイトル | 発行/ 更新年 |
概要 |
| 米国 | 連邦政府機関 | CISA | Cyber Guidance for Small Businesses | 2024年 | 小規模事業者向けの行動計画。CEO、セキュリティマネージャー、ITリーダーの役割ごとに分かれ、MFA導入やバックアップなどの対策を説明。実際の攻撃に基づく。 |
| 米国 | 連邦政府機関 | CISA | Cyber Essentials | 2023年 | 小規模事業者や地方自治体リーダー向けのガイド。アクショナブルな理解を促進し、サイバーハイジーンを強調。 |
| 米国 | 連邦政府機関 | FTC | Cybersecurity for Small Business | 継続(最新2025年) | サイバー攻撃から事業を守るツール。NIST CSF 2.0 Quick Start Guideを基に、ガバナンスとリスク管理を解説。 |
| 米国 | 連邦政府外郭 | NIST | Small Business Cybersecurity Corner | 継続(最新2025年) | 寄稿者からのドキュメントとリソース集。小規模事業者のサイバーセキュリティニーズに対応。 |
| 米国 | 連邦政府機関 | SBA | Strengthen your Cybersecurity | 2024年 | 脅威の概要と保護方法。CISAのスキャニングサービスなどを紹介。 |
| 米国 | 連邦政府機関 | FCC | Cybersecurity for Small Businesses | 継続(最新2025年) | Small Biz Cyber Planner 2.0を提供。カスタマイズされたサイバーセキュリティ計画作成ツール。 |
| 米国 | 連邦政府機関 | DoD Office of Small Business Programs | Cybersecurity Resources | 継続(最新2025年) | 意識向上とコンプライアンスのためのツールとトレーニングプラットフォーム。 |
| 米国 | 州政府機関 | California Attorney General | Guide for Small Businesses to Protect Against Cyber Attacks | 2014年 | 従業員と顧客のリスク低減のための具体的な推奨事項。 |
| 米国 | 州政府機関 | New York Attorney General | Small Business Guide to Cybersecurity in New York State | 不明(最新2023年) | NY州中小企業向けのデータセキュリティガイド。 |
| 米国 | 州政府機関 | New York Attorney General | Data Security Guide | 2023年 | 効果的なデータセキュリティ対策の採用を支援。 |
| 米国 | 州政府機関 | Texas State Securities Board | Are You Secure? | 継続(最新2025年) | サイバーリスクの特定と手順の確立のための計画ガイド。 |
| 欧州 | 連合機関 | ENISA | Cybersecurity Guide for SMEs - 12 Steps to Securing Your Business | 2021年 | COVID-19後のデジタル移行を考慮した12のハイレベルステップ。システムと事業のセキュリティ向上。 |
| 欧州 | 連合機関 | ENISA | Cybersecurity for SMEs - Challenges and Recommendations | 2021年 | SMEの課題と推奨事項。加盟国がSMEを支援するための提案を含む。 |
| 欧州 | 連合外郭 | European DIGITAL SME Alliance | Guide to ISO/IEC 27001 for SMEs | 継続(最新2025年) | ISO 27001の実装のためのハンディガイド。 |
| ドイツ | 連邦政府機関 | BSI | Small and Medium-Sized Enterprises Guidance | 継続(最新2025年) | サイバーセキュリティの基本要素と短い動画。情報セキュリティのキーアスペクトをカバー。 |
| フランス | 政府機関 | ANSSI | Digital Security Best Practices for Business Travellers | 2019年 | 出張中のデジタルセキュリティベストプラクティス。 |
| フランス | 政府機関 | ANSSI | Controlling the Digital Risk | 不明(最新2025年) | 組織のデジタルリスク管理ガイド。 |
| イタリア | 政府機関 | ACN | Practical Guides for SMEs on Cyber Risks | 2025年 | SME向けの実用的ガイド。サイバーリスクの特定と管理。 |
| イタリア | 政府機関 | Cyber 4.0 | Vademecum on Cybersecurity for SMEs | 継続(最新2025年) | ENISAの12ステップを基にしたSME向けガイド。 |
| スペイン | 政府機関 | INCIBE | Spanish National Guidelines for Reporting and Managing Cyber Incidents | 2020年 | サイバーインシデントの報告と管理のためのガイドライン。 |
| スペイン | 政府機関 | INCIBE | Cybersecurity for SMEs and Freelancers | 2023年 | デジタル世界での事業保護。セクター別のアドバイスを含む。 |
| 英国 | 政府機関 | NCSC | Small Business Guide: Cyber Security | 継続(最新2025年) | 5つの簡単ステップ(バックアップ、マルウェア対策、モバイルセキュリティ、パスワード、フィッシング)。時間とお金を節約。 |
| 英国 | 政府機関 | NCSC | Cyber Security: Small Business Guide (PDF Version) | 継続(最新2025年) | 一般的な攻撃からの保護のための低コストでシンプルなテクニックのまとめ。 |
| 英国 | 政府機関 | GOV.UK | Cyber Security Guidance for Business | 継続(最新2025年) | オンラインセキュリティ向上のためのガイダンス。無料の30分セッションを含む。 |
| 英国 | 地方 | NI Cybersecurity Centre | Basic Steps to Cyber Security – Small Organisation Guide | 継続(最新2025年) | 5つの簡単ステップでセキュリティ向上。評判保護に焦点。 |
| 英国 | 市政府 | Bury Council | Cyber Security Guide For Small Businesses | 継続(最新2025年) | 攻撃の兆候、保護方法、無料リソースのリンク。 |
| 英国 | 市政府 | Wandsworth Council | Cyber Security: Small Business Guide | 継続(最新2025年) | バックアップ、パスワードポリシー、アクセス制御の決定。 |
| 英国 | 地方関係 | Northwest Cyber Resilience Centre | Cyber Security Guide for Small Businesses | 継続(最新2025年) | 北西地域の小規模事業者向け。基本、ランサムウェアなどカバー。 |
| 豪州 | 政府機関 | ACSC | Small Business Cyber Security Guide | 2023年(最新2025年) | 基本的なセキュリティ対策を説明。サイバー脅威からの保護に焦点を当て、チェックリストを含む。 |
| 豪州 | 政府機関 | ACSC | Small Business Cloud Security Guides | 2022年(最新2025年) | Essential Eightをクラウド環境に適用したガイド。Microsoft 365、Google Workspaceなどの具体例。 |
| 豪州 | 政府機関 | Business.gov.au | Cyber Security and Your Business | 継続(最新2025年) | サイバー脅威の種類と被害対応。ACSCのリソースを統合した一般ガイド。 |
| 豪州 | 州自治体 | NSW Government | 7 Steps to Cybersecurity for Small Businesses | 継続(最新2025年) | 小規模事業者向けの7ステップガイド。脅威認識から回復計画まで。 |
| 豪州 | 州自治体 | NSW Small Business Commissioner | Cyber Security Awareness | 継続(最新2025年) | マルウェア対策とバックアップの基本。ACSCガイドを補完。 |
| 豪州 | 州自治体 | Business Victoria | Manage Cybersecurity in Your Business | 2025年 | サイバー犯罪の理解と保護方法。報告手順を含む。 |
| 豪州 | 州自治体 | Business Victoria | The Essential Small Business Guide to Cybersecurity | 2021年 | 一般的な脅威と安全策。ACSCに基づく。 |
| 豪州 | 州自治体 | Business Queensland | Keeping Your Business Cyber Secure | 2025年 | Cyber Wardensプログラムを含む対策。脅威防止の短いコース。 |
| 豪州 | 州自治体 | Business Queensland | Cyber Security Self-Help Toolkit for Mentors | 2021年 | メンター向けツールキット。事業者のリスク管理支援。 |
| 豪州 | 州自治体 | Small Business Development Corporation | Cyber Security | 継続(最新2025年) | 情報保護の簡単で効果的な方法。サイバー犯罪者からの防御。 |
| 豪州 | 州自治体 | Small Business Development Corporation | Six Cyber Security Habits to Protect Your Business | 継続(最新2025年) | 悪い習慣の修正と6つの積極的ステップ。 |
| カナダ | 政府機関 | CCCS | Baseline Cyber Security Controls for Small and Medium Organizations | 2020年 | 低コストの13セキュリティコントロール。リスク低減と対応力向上。 |
| カナダ | 政府機関 | CCCS | Cyber Security for Small Business | 2020年 | 基本コントロールの実装支援。サイバー敵対者からの保護。 |
| カナダ | 政府機関 | Get Cyber Safe | Get Cyber Safe Guide for Small and Medium Businesses | 2022年 | リスク理解と対策ステップ。中小企業オーナー向け。 |
| カナダ | 政府機関 | Get Cyber Safe | Get Cyber Safe Guide for Small Businesses | 2024年 | 脅威軽減のためのステップ。デバイス、ネットワーク、データ保護。 |
| カナダ | 政府機関 | Get Cyber Safe | Quick Guide to Cyber Security for Small Business | 2024年 | 6つの簡単ステップ:在庫管理から従業員トレーニングまで。 |
| カナダ | 政府機関 | CyberSecure Canada | CyberSecure Canada | 継続(最新2025年) | ベストプラクティスを使用したプログラム。SMEのセキュリティ強化。 |
| カナダ | 省自治体 | Ontario Government | Cyber Security | 2021年 | サイバーセキュリティの基本と役割。 |
| カナダ | 省自治体 | Alberta Government | Government of Alberta Cybersecurity Strategy 2024 | 2024年 | 脅威情報とリソース提供。SMEを含むデジタル資産保護。 |
| カナダ | 省自治体 | British Columbia Government | CyberBC | 2025年 | 公共セクターのセキュリティ向上。SME支援のためのコラボレーション。 |
Comments