1. はじめに
近年、ランサムウェアやフィッシングといったサイバー攻撃は、大企業に関する被害が大きく報道される一方、中小企業も多くそのターゲットとされています。中小企業への攻撃が、関連する大企業につながるサプライチェーン全体への攻撃の足掛かりとされるケースは少なくありません。こうした攻撃による被害は、特に経営資源の限られる中小企業にとって、事業継続そのものを危うくするリスクとなり得ます。しかしながら、多くの中小企業では、十分な対策や体制整備が進んでいないのが実情であり、多くの経営層がサイバーセキュリティを自社の経営課題として十分に認識していないという課題が浮き彫りになっています。
本記事では、独立行政法人情報処理推進機構(IPA)の調査結果を基に、こうした中小企業の現状を整理します。その上で、限られた人員や予算の中でサイバーセキュリティガバナンスを実現する取組として、「NIST サイバーセキュリティフレームワーク(CSF)」を中小企業で導入・活用する方法について検討します。
2. 中小企業におけるサイバーセキュリティ対策の実施状況と課題
中小企業における情報セキュリティ対策の実態を把握するため、IPAが実施した「2024年度 中小企業における情報セキュリティ対策に関する実態調査」の結果を参照します 。
独立行政法人情報処理推進機構「2024 年度 中小企業における情報セキュリティ対策に関する実態調査 - 報告書 -」
(閲覧日:2026/4/22)の「3.1 調査概要」・「3.2 調査結果(単純集計)」より当法人にて加工して掲載
アンケート結果によると、「セキュリティ対策投資をしていない」との回答が6割以上に及び、半数以上の中小企業の経営層が情報セキュリティ対策に消極的なようです。その理由として、「必要性を感じていない」、「費用対効果が見えない」との回答が、「どこからどう始めたらよいかわからない」を大きく上回っており、そもそも取り組むべき課題と認識されていない様子がうかがえます(下図)。
【図:セキュリティ投資の状況】
独立行政法人情報処理推進機構「2024 年度 中小企業における情報セキュリティ対策に関する実態調査 - 報告書 -」
(閲覧日:2026/4/22)の「3.2.4 情報セキュリティに関する意識・状況」Q6-2、Q7より当法人にて加工して掲載
実際、「サイバーインシデント被害にあっていない」とする回答が8割近くに上っており(下図左)、セキュリティ対策投資の必要性を感じていないというのも、無理もないかもしれません。しかしながら、令和6年のランサムウェア被害件数について、前年と比較して大企業の被害件数が減少する一方、中小企業の被害件数は37%増加しているとの報告もあります。※被害にあってからでは遅いのです。また、セキュリティ対策が不十分な場合、攻撃の検知が遅れる可能性が高く、被害にあっていないという認識そのものが誤っていることもあり得ます。
※ 警察庁サイバー警察局「令和6年におけるサイバー空間をめぐる脅威の情勢等について」(令和7年3月)(閲覧日:2026/4/22)を参考に記載
とはいえ、中小企業において、限られたリソースの中で、セキュリティ専門人材を雇用したり、専門部署を整備したりするのは、困難かもしれません。実際、情報セキュリティ対策の実施体制についての回答結果は下図右の通りとなっており、中小企業における組織的な取り組みは、実施されていない場合が多いことがわかります。
【図:インシデント発生件数 / 情報セキュリティ対策の体制】
独立行政法人情報処理推進機構「2024 年度 中小企業における情報セキュリティ対策に関する実態調査 - 報告書 -」
(閲覧日:2026/4/22)の「3.2.4 情報セキュリティに関する意識・状況」Q34、Q22より当法人にて加工して掲載
では、ここまで見てきたような実情にある中小企業が、セキュリティ対策を効果的に実現するには、どうすればよいでしょうか。以下のような取り組みが重要と考えられます。
【中小企業におけるセキュリティ対策のポイント】
これらを実現し、情報セキュリティ対策およびサイバー攻撃への対策を実施する方法として、NIST CSFを取り上げ、その理由と活用法をご紹介します。
3. セキュリティ対策に効果的なセキュリティフレームワーク - NIST CSF
◆ NIST CSFとは
NIST CSF(The NIST Cybersecurity Framework 2.0)とは、サイバーセキュリティリスクに対応するために米国国立標準技術研究所によって策定されたフレームワークです。セキュリティフレームワークは、組織が情報セキュリティを体系的に管理・改善するための指針や構造をまとめた枠組みで、国内外の公的機関や標準化団体より、その目的や用途に応じて数多く策定・発行されています。前述の中小企業におけるサイバーセキュリティ対策の実態を踏まえ、有効性が高いと言えるものの1つが、NIST CSFです。
NIST CSFは、インシデント発生前対策としての「統治」・「特定」、発生後対策としての「防御」・「検知」・「対応」・「復旧」という、計6つの機能で構成されており、最新版の2.0では様々な業界・規模の組織で活用できるように見直しが実施されています。※
※ NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY「NIST Releases Version 2.0 of Landmark Cybersecurity Framework | NIST」(Released February 26, 2024, Updated February 19, 2025)(閲覧日:2026/4/22)を参考に記載
NIST CSFは、以下の3つの要素で構成されています。
1) CSF Core(CSFコア)
CSFの中心的な構成要素であり、サイバーセキュリティ活動で求められる成果を体系化したものです(下図)。
【図:CSF Coreの構成】
独立行政法人情報処理推進機構(IPA)「NIST サイバーセキュリティフレームワーク(CSF)」を基に当法人にて加工・加筆して掲載
これらの6つの機能は、さらに「カテゴリ」と「サブカテゴリ」に分かれており、具体的な成果指標と紐づいています。特に、バージョン2.0で新設された「Govern」は、役割分担や説明責任を明確にする内容を含んでおり、経営層が主体的に対策に関与する必要があるという課題の解決に寄与します。
2) CSF Tiers(CSFティア)
組織のサイバーセキュリティリスク管理の実践における厳格さ(rigor)を評価するための4段階の指標です。自組織のセキュリティ対策状況を客観的に把握し、目標とのギャップを埋めるための改善計画を立てる際に役立ちます。
3) CSF Profiles(CSF組織プロファイル)
組織の目標やリスク、リソースに応じて、CSF Coreのどの項目を重点的に実施するかを定義したものです。「現在の状況」と「目指すべきレベル」を明確にし、その差分を特定することで、優先順位に基づいた現実的な投資計画の策定に繋がります。
◆ NIST CSF活用のメリットと実効性
これらNIST CSFの3要素を組み合わせることで、NIST CSFは「どこにリスクがあるか」「どのレベルまで実施するか」「どのように対策するか」を明確にし、組織の戦略を体系的に構築できます。NIST CSFは、ISMS等の認証制度とは異なり、重点を置くべき項目やリスクの高い箇所に的を絞って管理策を採用できる柔軟性を備えています。そのため、予算や人員が限られる場合でも「部分的・段階的な取り組み」を実現するための指針となります。
また、他のフレームワークに比べ、有事への対応が充実していることも大きな特徴です。例えば、インシデント発生後の外部のステークホルダーとのコミュニケーションも含まれている、といった点です。たとえ1件の顧客との契約であっても、失えば大きな損失に直結する恐れのある中小企業にとって、NIST CSF 2.0を採用し、万が一インシデントが発生しても、早期再開と適切な対外対応が可能な態勢を整えることは、既存顧客との信頼関係を維持し、廃業リスクを低減させる有力な手段となります。
ここまでの内容を踏まえ、「想定外のアクセスによる情報漏洩を防ぐ」という目標に対し、中小企業が優先的に検討すべき管理策としてNIST CSF Coreの6つの機能に対応させた採用例を、下表に示します。
【表:NIST CSFを基にした管理策の例】
4. おわりに
企業の経営活動にとってリスクとなるサイバー攻撃への対策は、大企業のみならず中小企業にとっても、重要な課題です。その一方で、中小企業では専任人材の不足や費用対効果の判断が難しいといった事情から、対策が思うように進みにくい側面があるものと思われます。
これらの課題に対応する有効な選択肢の一つが、経営層の責任を明確化する項目が盛り込まれ、各組織が定めた重点項目から段階的に着手できるセキュリティフレームワークの活用です。中でも、多様な業種や規模に適用できる特徴を持ち、インシデント発生後の対応にも重点が置かれたNIST CSFは、実効性のある体制を築く一助となるでしょう。
その第一歩として、まずは自組織の状況を把握することが大事です。客観的に現状を知るためには、第三者評価が有効です。三優監査法人では、サイバーセキュリティ態勢の評価をご支援しておりますので、お気軽に以下よりお問い合わせください。
Contact Us - BDO
近年、ランサムウェアやフィッシングといったサイバー攻撃は、大企業に関する被害が大きく報道される一方、中小企業も多くそのターゲットとされています。中小企業への攻撃が、関連する大企業につながるサプライチェーン全体への攻撃の足掛かりとされるケースは少なくありません。こうした攻撃による被害は、特に経営資源の限られる中小企業にとって、事業継続そのものを危うくするリスクとなり得ます。しかしながら、多くの中小企業では、十分な対策や体制整備が進んでいないのが実情であり、多くの経営層がサイバーセキュリティを自社の経営課題として十分に認識していないという課題が浮き彫りになっています。
本記事では、独立行政法人情報処理推進機構(IPA)の調査結果を基に、こうした中小企業の現状を整理します。その上で、限られた人員や予算の中でサイバーセキュリティガバナンスを実現する取組として、「NIST サイバーセキュリティフレームワーク(CSF)」を中小企業で導入・活用する方法について検討します。
2. 中小企業におけるサイバーセキュリティ対策の実施状況と課題
中小企業における情報セキュリティ対策の実態を把握するため、IPAが実施した「2024年度 中小企業における情報セキュリティ対策に関する実態調査」の結果を参照します 。
独立行政法人情報処理推進機構「2024 年度 中小企業における情報セキュリティ対策に関する実態調査 - 報告書 -」
(閲覧日:2026/4/22)の「3.1 調査概要」・「3.2 調査結果(単純集計)」より当法人にて加工して掲載
アンケート結果によると、「セキュリティ対策投資をしていない」との回答が6割以上に及び、半数以上の中小企業の経営層が情報セキュリティ対策に消極的なようです。その理由として、「必要性を感じていない」、「費用対効果が見えない」との回答が、「どこからどう始めたらよいかわからない」を大きく上回っており、そもそも取り組むべき課題と認識されていない様子がうかがえます(下図)。
【図:セキュリティ投資の状況】
独立行政法人情報処理推進機構「2024 年度 中小企業における情報セキュリティ対策に関する実態調査 - 報告書 -」
(閲覧日:2026/4/22)の「3.2.4 情報セキュリティに関する意識・状況」Q6-2、Q7より当法人にて加工して掲載
実際、「サイバーインシデント被害にあっていない」とする回答が8割近くに上っており(下図左)、セキュリティ対策投資の必要性を感じていないというのも、無理もないかもしれません。しかしながら、令和6年のランサムウェア被害件数について、前年と比較して大企業の被害件数が減少する一方、中小企業の被害件数は37%増加しているとの報告もあります。※被害にあってからでは遅いのです。また、セキュリティ対策が不十分な場合、攻撃の検知が遅れる可能性が高く、被害にあっていないという認識そのものが誤っていることもあり得ます。
※ 警察庁サイバー警察局「令和6年におけるサイバー空間をめぐる脅威の情勢等について」(令和7年3月)(閲覧日:2026/4/22)を参考に記載
とはいえ、中小企業において、限られたリソースの中で、セキュリティ専門人材を雇用したり、専門部署を整備したりするのは、困難かもしれません。実際、情報セキュリティ対策の実施体制についての回答結果は下図右の通りとなっており、中小企業における組織的な取り組みは、実施されていない場合が多いことがわかります。
【図:インシデント発生件数 / 情報セキュリティ対策の体制】
独立行政法人情報処理推進機構「2024 年度 中小企業における情報セキュリティ対策に関する実態調査 - 報告書 -」
(閲覧日:2026/4/22)の「3.2.4 情報セキュリティに関する意識・状況」Q34、Q22より当法人にて加工して掲載
では、ここまで見てきたような実情にある中小企業が、セキュリティ対策を効果的に実現するには、どうすればよいでしょうか。以下のような取り組みが重要と考えられます。
【中小企業におけるセキュリティ対策のポイント】
これらを実現し、情報セキュリティ対策およびサイバー攻撃への対策を実施する方法として、NIST CSFを取り上げ、その理由と活用法をご紹介します。
3. セキュリティ対策に効果的なセキュリティフレームワーク - NIST CSF
◆ NIST CSFとは
NIST CSF(The NIST Cybersecurity Framework 2.0)とは、サイバーセキュリティリスクに対応するために米国国立標準技術研究所によって策定されたフレームワークです。セキュリティフレームワークは、組織が情報セキュリティを体系的に管理・改善するための指針や構造をまとめた枠組みで、国内外の公的機関や標準化団体より、その目的や用途に応じて数多く策定・発行されています。前述の中小企業におけるサイバーセキュリティ対策の実態を踏まえ、有効性が高いと言えるものの1つが、NIST CSFです。
NIST CSFは、インシデント発生前対策としての「統治」・「特定」、発生後対策としての「防御」・「検知」・「対応」・「復旧」という、計6つの機能で構成されており、最新版の2.0では様々な業界・規模の組織で活用できるように見直しが実施されています。※
※ NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY「NIST Releases Version 2.0 of Landmark Cybersecurity Framework | NIST」(Released February 26, 2024, Updated February 19, 2025)(閲覧日:2026/4/22)を参考に記載
NIST CSFは、以下の3つの要素で構成されています。
1) CSF Core(CSFコア)
CSFの中心的な構成要素であり、サイバーセキュリティ活動で求められる成果を体系化したものです(下図)。
【図:CSF Coreの構成】
独立行政法人情報処理推進機構(IPA)「NIST サイバーセキュリティフレームワーク(CSF)」を基に当法人にて加工・加筆して掲載
これらの6つの機能は、さらに「カテゴリ」と「サブカテゴリ」に分かれており、具体的な成果指標と紐づいています。特に、バージョン2.0で新設された「Govern」は、役割分担や説明責任を明確にする内容を含んでおり、経営層が主体的に対策に関与する必要があるという課題の解決に寄与します。
2) CSF Tiers(CSFティア)
組織のサイバーセキュリティリスク管理の実践における厳格さ(rigor)を評価するための4段階の指標です。自組織のセキュリティ対策状況を客観的に把握し、目標とのギャップを埋めるための改善計画を立てる際に役立ちます。
3) CSF Profiles(CSF組織プロファイル)
組織の目標やリスク、リソースに応じて、CSF Coreのどの項目を重点的に実施するかを定義したものです。「現在の状況」と「目指すべきレベル」を明確にし、その差分を特定することで、優先順位に基づいた現実的な投資計画の策定に繋がります。
◆ NIST CSF活用のメリットと実効性
これらNIST CSFの3要素を組み合わせることで、NIST CSFは「どこにリスクがあるか」「どのレベルまで実施するか」「どのように対策するか」を明確にし、組織の戦略を体系的に構築できます。NIST CSFは、ISMS等の認証制度とは異なり、重点を置くべき項目やリスクの高い箇所に的を絞って管理策を採用できる柔軟性を備えています。そのため、予算や人員が限られる場合でも「部分的・段階的な取り組み」を実現するための指針となります。
また、他のフレームワークに比べ、有事への対応が充実していることも大きな特徴です。例えば、インシデント発生後の外部のステークホルダーとのコミュニケーションも含まれている、といった点です。たとえ1件の顧客との契約であっても、失えば大きな損失に直結する恐れのある中小企業にとって、NIST CSF 2.0を採用し、万が一インシデントが発生しても、早期再開と適切な対外対応が可能な態勢を整えることは、既存顧客との信頼関係を維持し、廃業リスクを低減させる有力な手段となります。
ここまでの内容を踏まえ、「想定外のアクセスによる情報漏洩を防ぐ」という目標に対し、中小企業が優先的に検討すべき管理策としてNIST CSF Coreの6つの機能に対応させた採用例を、下表に示します。
【表:NIST CSFを基にした管理策の例】
4. おわりに
企業の経営活動にとってリスクとなるサイバー攻撃への対策は、大企業のみならず中小企業にとっても、重要な課題です。その一方で、中小企業では専任人材の不足や費用対効果の判断が難しいといった事情から、対策が思うように進みにくい側面があるものと思われます。
これらの課題に対応する有効な選択肢の一つが、経営層の責任を明確化する項目が盛り込まれ、各組織が定めた重点項目から段階的に着手できるセキュリティフレームワークの活用です。中でも、多様な業種や規模に適用できる特徴を持ち、インシデント発生後の対応にも重点が置かれたNIST CSFは、実効性のある体制を築く一助となるでしょう。
その第一歩として、まずは自組織の状況を把握することが大事です。客観的に現状を知るためには、第三者評価が有効です。三優監査法人では、サイバーセキュリティ態勢の評価をご支援しておりますので、お気軽に以下よりお問い合わせください。
Contact Us - BDO