情報セキュリティマネジメント試験で出題される中小企業の情報セキュリティ対策ガイドラインについて、情報資産管理台帳との関係、クラウドサービスの扱い、ひっかけポイントを初心者向けに整理します。

最終更新日:2026年5月10日

sg security-management guideline information-asset

中小企業の情報セキュリティ対策ガイドラインとは?SG試験向けにわかりやすく解説

まず結論

中小企業の情報セキュリティ対策ガイドラインは、IPAが公開している、中小企業向けの情報セキュリティ対策の進め方をまとめた資料です。

SG試験では、細かい版番号よりも、次の考え方が大切です。

情報資産を漏れなく洗い出し、重要度を評価し、必要な対策につなげる。

特に、情報資産管理台帳に関する問題では、

  • 紙の資料
  • 電子データ
  • 社外サーバ
  • クラウドサービス
  • 個人所有端末にある業務情報

なども含めて、漏れなく記入するという考え方が問われます。

直感的な説明

このガイドラインは、

中小企業が「何からセキュリティ対策を始めればよいか」を示す道案内

のようなものです。

情報セキュリティ対策というと、

  • 高価なセキュリティ製品を入れる
  • 専門的なシステムを作る
  • 難しいルールを大量に作る

というイメージを持ちやすいです。

しかし、最初に大切なのは、

守るべき情報がどこにあるかを把握すること

です。

何を守るのかが分からなければ、適切な対策も決められません。

定義・仕組み

中小企業の情報セキュリティ対策ガイドラインは、IPAが中小企業向けに公開している実践的なガイドです。

主な目的は、

  • 経営者がセキュリティ対策の必要性を理解する
  • 実務担当者が具体的な対策を進める
  • 情報資産を洗い出し、リスクに応じた対策を行う
  • 社内ルールや管理台帳を整備する

ことです。

試験では、特に情報資産管理台帳との関係で出題されやすいです。

情報資産管理台帳とは

情報資産管理台帳は、組織が持つ情報資産を一覧化するものです。

たとえば、次のような情報を整理します。

項目
情報資産名 顧客名簿、契約書、設計データ
保管場所 社内サーバ、クラウド、紙ファイル
管理者 総務部、営業部、システム管理者
重要度 高・中・低など
利用者 担当部署、利用者

ポイントは、最初から重要そうなものだけを選ばないことです。

まずは洗い出し、台帳に記入し、その後で重要度を評価します。

どんな場面で使う?

中小企業の情報セキュリティ対策ガイドラインは、次のような場面で使われます。

1. 自社の情報資産を整理するとき

まず、会社が持っている情報を洗い出します。

例:

  • 顧客情報
  • 従業員情報
  • 見積書
  • 契約書
  • 図面
  • 売上データ
  • メール
  • クラウド上の共有ファイル

ここで大切なのは、保管場所で除外しないことです。

社内にある情報だけでなく、クラウドサービスや社外サーバ上の情報も対象になります。

2. 情報資産の重要度を評価するとき

情報資産は、すべて同じ重要度ではありません。

たとえば、公開済みのパンフレットより、未公開の顧客リストや契約情報の方が重要度は高くなります。

ただし、重要度は時間とともに変わることがあります。

その場合でも、台帳には現時点の評価値を記入します。

また、重要度の変化を細かく更新するのが難しい場合は、最大値で評価する考え方もあります。

3. セキュリティ対策を決めるとき

情報資産を洗い出したら、次にリスクを考えます。

たとえば、

  • 漏えいしたら困るか
  • 改ざんされたら困るか
  • 使えなくなったら困るか

を考えます。

その結果に応じて、アクセス制限、バックアップ、暗号化、持ち出しルールなどの対策を決めます。

よくある誤解・混同

誤解1:重要な情報だけ台帳に書けばよい

これは誤りです。

情報資産管理台帳では、最初から「重要ではない」と判断して除外するのではなく、まず洗い出して記入することが大切です。

その後で、重要度を評価します。

誤解2:紙と電子データの両方にあるなら片方だけでよい

これも誤りです。

紙媒体と電子データの両方で保管している場合でも、管理上必要であれば漏れなく記入します。

情報資産管理台帳は、セキュリティ対策を検討するための基本資料です。

誤解3:クラウド上の情報は自社の台帳に書かなくてよい

これも誤りです。

クラウドサービス上に保存している情報も、自社が利用・管理すべき情報資産です。

そのため、台帳に記入します。

誤解4:重要度が変わる情報は、確定してから記入する

これも誤りです。

重要度が時間とともに変わる場合でも、現時点の評価値を記入します。

重要度の変化を台帳で追うのが難しい場合は、最大値で評価する考え方があります。

試験での切り分けポイント

SG試験では、次のように考えると選択肢を切りやすいです。

「記入しない」「片方だけ」は疑う

情報資産管理台帳は、情報資産を漏れなく把握するためのものです。

そのため、

  • 重要なものだけ記入する
  • 紙か電子データの片方だけ記入する
  • クラウド上の情報は除外する

といった選択肢は、基本的に疑います。

「洗い出してから評価」が正しい流れ

順番は、

  1. 情報資産を洗い出す
  2. 台帳に記入する
  3. 重要度を評価する
  4. リスクに応じて対策する

です。

先に重要度を決めて、重要そうなものだけ台帳に書く、という流れではありません。

クラウドも情報資産の保管場所として扱う

クラウドサービスを使っていても、そこにある情報が自社の業務情報であれば、管理対象です。

「社内にないから対象外」とは考えません。

まとめ(試験直前用)

中小企業の情報セキュリティ対策ガイドラインは、IPAが公開している中小企業向けの実践的なセキュリティ対策のガイドです。

試験では、特に情報資産管理台帳との関係で問われます。

直前確認では、次の3点を押さえておきましょう。

  • まず洗い出す:重要そうなものだけに絞らない
  • 漏れなく記入する:紙・電子・クラウドも対象
  • 記入後に評価する:重要度は後から判断する

迷ったら、

情報資産管理台帳は、セキュリティ対策を考えるための基本資料

と考えると判断しやすいです。

関連用語

  • 情報資産
  • 情報資産管理台帳
  • リスクアセスメント
  • 情報セキュリティポリシー
  • クラウドサービス
  • 個人情報

© 2024-2026 stemtazoo. All rights reserved.