「サイバーセキュリティ2025」のポイントと中小企業における課題と対策について
本ページでは、国家サイバー統括室(旧NISC)が令和7年6月に公表した「サイバーセキュリティ2025」の内容を中小企業向けに要約し、政府方針に沿った実践的な対応策を紹介します。
2025年の「経済財政運営と改革の基本方針(骨太の方針2025)」では、我が国の持続的な経済成長に向けた中核施策として、中小企業の生産性向上と賃上げ能力の強化が掲げられています。その実現手段として、デジタルトランスフォーメーション(DX)の推進と、それに伴うサイバーセキュリティ対策の強化が明示されており、両者は中小企業支援の両輪として位置づけられています。
この方針に基づき、「サイバーセキュリティ2025」は、DXの加速に伴うサイバーリスクの増大を踏まえ、中小企業を含む社会全体の経済安全保障、事業継続、国民の安心・安全を支えるための包括的な施策群を体系的に整理したものです。 自社の状況に応じたセキュリティ対策の検討・実施に役立てていただければ幸いです。
1. 概要
- 「サイバーセキュリティ2025」の主な目的は、国家及び社会全体のサイバーセキュリティ水準を向上させることです。特に、サイバー攻撃が巧妙化・複合化し、地政学的なリスクとも連動する中で、国民、企業、政府機関などが一体となって取り組むべき方向性を提示しています。主要な柱は以下3つです。
- 重要インフラの安定稼働と安全性確保:電力、通信、金融などの基幹システムをサイバー攻撃から守る。
- サプライチェーン全体のセキュリティ強化:大企業だけでなく、その取引先である中小企業を含めた全体のセキュリティレベルを引き上げる。
- 国民一人ひとりのセキュリティ意識向上と対策推進:個人のデジタルリテラシーを高め、日々の生活におけるセキュリティ対策を促す。
- 重要インフラの安定稼働と安全性確保:電力、通信、金融などの基幹システムをサイバー攻撃から守る。
2.昨年度のサイバー攻撃の状況
- 2024年度は、サイバー攻撃が質・量ともに一段と高度化しました。特に顕著だったのは、中小企業を狙ったランサムウェア攻撃の増加と、サプライチェーンを標的とした攻撃の深刻化です。政府機関や重要インフラへの攻撃も継続的に発生し、国家レベルの脅威として認識されました。
3.中小企業の課題
- 多くの中小企業が直面するサイバーセキュリティの課題は、主に以下の点に集約されます。
- 専門人材の不足:社内にセキュリティ担当者がいない、または知識・経験が不足している
- 予算の制約:セキュリティ対策に十分な予算を割けない
- 情報不足と対策の遅れ:最新の脅威情報や適切な対策方法を把握できていない
- サプライチェーン攻撃のターゲット化:大企業を狙う攻撃者が、セキュリティが手薄な中小企業を侵入口として利用するケースが増加
4.今年度の政府の取り組み
- 以下は、サイバーセキュリティ2025および「喫緊に取り組むべき事項」(令和7年5月29日)で示された、中小企業向けの具体的な支援策です。
- SECURITY ACTION(自己宣言制度)
- 情報セキュリティ対策に不安を抱える企業向けに、段階的な目標設定(一つ星・二つ星)を通じて取り組みを促す
- 自社Webサイト等に宣言ロゴを掲出することで、対外的な信頼向上にも寄与
- 「サイバーセキュリティお助け隊」サービス
- IT に不慣れな中小企業でも、地域の認定事業者から低コストで専門支援を受けられる
- 提供内容は、セキュリティ診断、ウイルス対策支援、インシデント対応、社員向け教育など
- 情報処理安全確保支援士とのマッチング支援
- 国家資格を有する専門家(登録セキスペ)が、中小企業の体制構築を伴走支援
- 経営層との連携を図りながら、社内ルール策定やリスク管理体制の整備を支援
- セキュリティ要件適合評価及びラベリング制度(JC-STAR)の推進
- IoT
製品等に対するセキュリティ適合評価とラベリングを通じて、信頼性のある製品選定を支援
- 公共調達や大手企業の選定基準との連携も進行中
- IoT
製品等に対するセキュリティ適合評価とラベリングを通じて、信頼性のある製品選定を支援
- サプライチェーン強化に向けたセキュリティ対策評価制度(新制度)【検討中】
- 企業のサプライチェーン上での重要度・影響度に応じたセキュリティ対策水準(★3〜★5)を設定・評価する制度
- 現在2026 年度の制度開始に向けて検討が進められており、段階的な対策の明確化と発注者側との整合性確保を目的とする
- 企業のサプライチェーン上での重要度・影響度に応じたセキュリティ対策水準(★3〜★5)を設定・評価する制度
- 補助金・税制優遇支援
- IT 導入補助金(セキュリティ対策枠)などの施策により、初期費用の軽減を支援
- 地域セミナー・オンライン研修の展開
- 商工会議所や IPA による初心者向けの講座を全国展開
- 社員教育コンテンツの拡充とアクセス改善を推進
- J-CSIP(情報共有イニシアティブ)の活用
- 中小企業が直接参加できない場合でも、IPA・JPCERT/CC などが公開する脅威情報を定期的に収集・活用可能
- SECURITY ACTION(自己宣言制度)
5.中小企業が今すぐ取り組めるステップ
| アクション | 内容 | 利用方法 |
|---|---|---|
| SECURITY ACTIONを宣言 | 最初の一歩として社内状況をチエックし、対外的信頼性を向上 | SECURITY ACTION セキュリティ対策自己宣言 |
| お助け隊サービスの導入 | 地域事業者からセキュリティ診断・設定支援を受ける | サイバーセキュリティお助け隊サービス制度 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構 |
| 支援士との連携 | 継続的な体制構築と社員教育 | 登録セキスペを探すなら「検索サービス」 | デジタル人材の育成 | IPA 独立行政法人 情報処理推進機構 |
| JC-STAR製品を活用 | IoT機器等における製品選定の信頼性向上 | セキュリティ要件適合評価及びラベリング制度(JC-STAR) | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構 |
| J-CSIP等の公開情報収集 | 脅威動向と推奨対策を自社に反映 | サイバー情報共有イニシアティブ J-CSIP(ジェイシップ) | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構 |
| 地域研修に参加 | 社員のセキュリティ意識向上・行動変容 | 地域の商工会議所等支援機関Webサイト |
中小企業の皆さまが継続的かつ安心して事業を展開できるよう、サイバーセキュリティ対策は"実践と支援の両輪"で進めることが重要です。まずはできるところから一歩ずつ始めましょう。
[関連リンク]
- サイバーセキュリティ 2025(2024 年度年次報告・2025 年度年次計画)
- 経済財政運営と改革の基本方針2025 : 経済財政政策 - 内閣府
- 中小企業の情報セキュリティ対策ガイドライン | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
- SECURITY ACTION セキュリティ対策自己宣言
- サイバーセキュリティお助け隊サービス制度 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
- セキュリティ要件適合評価及びラベリング制度(JC-STAR) | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
- サイバー情報共有イニシアティブ J-CSIP(ジェイシップ) | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
