取引先から「セキュリティ対策してますか?」と聞かれたときの対応法
itはじめに:増える「セキュリティチェック」の要請
最近、取引先から突然こんな書類が届いていませんか?
- 「情報セキュリティに関するチェックシート」
- 「取引先セキュリティ調査票」
- 契約書の中に追加された「情報セキュリティ対策条項」
または、商談の席で「御社ではどのようなセキュリティ対策をされていますか?」と聞かれて、言葉に詰まった経験はないでしょうか。
大企業を中心に、取引先へのセキュリティ対策確認が急速に広がっています。その背景には、サプライチェーン攻撃(取引先のセキュリティの甘さを突いて本命の企業に侵入する手口)の増加があります。
「うちは小さい会社だから関係ない」では済まされない時代になっているのです。
何を聞かれるのか?チェックシートの実態
現在、取引先から送られてくるセキュリティチェックシートは、各社が独自に作成しているのが実態です。そのため、内容や項目数もバラバラで、中小企業にとっては「取引先ごとに異なる要求に対応しなければならない」という大きな負担になっています。
この課題を解決するため、経済産業省は2026年度から「サプライチェーン強化に向けたセキュリティ対策評価制度」を開始する予定で、統一的な評価基準(★3〜★5)が導入されます(出典:経済産業省「サプライチェーン強化に向けたセキュリティ対策評価制度構築に向けた中間取りまとめ」2025年4月14日)。
その最低レベルである★3(Basic)の評価項目は25項目の自己評価とされており、これはIPA(情報処理推進機構)が公開している「5分でできる!情報セキュリティ自社診断」と同じ項目数です。
つまり、現在各社がバラバラに作っているチェックシートも、将来的にはこの25項目に統一されていく見込みが高いと思われます。今のうちにIPAの25項目に対応しておけば、将来の統一基準にもスムーズに対応できるということです。
IPAの診断は25項目で構成されており、3つのパートに分かれています:
Part 1: 基本的対策(5項目)
- OSやソフトウェアの更新
- ウイルス対策ソフトの導入
- 強固なパスワードの使用
- 重要情報へのアクセス制限
- 脅威情報の共有
Part 2: 従業員としての対策(13項目)
- メールのセキュリティ
- バックアップ
- 情報の保管・持ち出し
- 事務所の安全管理
Part 3: 組織としての対策(7項目)
- 守秘義務の周知
- 従業員教育
- ルールの整備
- 事故対応の準備
これらの項目について「実施している / 一部実施 / 実施していない / わからない」を答える形式になっています。
「できてません」とは言いたくない!最低限やるべき3つのこと
取引先にチェックシートを提出する前に、最低限これだけはやっておきましょう。いずれも無料または低コストで、今日から始められる対策です。
1. SECURITY ACTIONに登録する(所要時間:10分、費用:無料)
IPAが提供する「SECURITY ACTION」は、中小企業がセキュリティ対策に取り組んでいることを自己宣言する制度です。
☆一つ星の宣言方法:
- IPAの「5分でできる!情報セキュリティ自社診断」の基本5項目を実施
- SECURITY ACTIONのウェブサイトで企業情報を登録
- 「一つ星」のロゴマークを取得
これだけで、「当社はSECURITY ACTION一つ星を取得しています」と取引先に伝えられます。
メリット:
- 取引先への説明が簡単になる
- 公式ロゴを名刺やウェブサイトに掲載できる
- IT導入補助金などの申請要件を満たせる
SECURITY ACTION公式サイト:
https://www.ipa.go.jp/security/security-action/
2. Windows Defenderを有効にする(所要時間:5分、費用:無料)
「ウイルス対策ソフトは入れてますか?」と聞かれたとき、多くの中小企業が「何も入れていない」と答えてしまいます。
しかし実は、Windows 10/11には標準でウイルス対策機能(Windows Defender)が搭載されています。有効になっていれば、有償のウイルス対策ソフトと同等の保護が得られます。
確認方法:
- Windowsの「設定」を開く
- 「更新とセキュリティ」→「Windows セキュリティ」をクリック
- 「ウイルスと脅威の防止」が「有効」になっているか確認
これで「ウイルス対策ソフトを導入し、定義ファイルを最新に保っています」と回答できます。
3. 自動バックアップを設定する(所要時間:30分、費用:月額数百円〜)
「データのバックアップは取っていますか?」という質問も頻出です。
おすすめの方法:
個人事業主・小規模事業者向け:
- Googleドライブ(Google Workspace):月額680円/ユーザー〜、30GB〜
- Microsoft OneDrive(Microsoft 365):月額750円/ユーザー〜、1TB
具体的な設定:
- Google DriveまたはOneDriveのデスクトップアプリをインストール
- 重要なフォルダ(書類、顧客データなど)を同期フォルダに設定
- 自動バックアップがオンになっていることを確認
これで「クラウドによる自動バックアップを実施しています」と回答できます。
実際の回答例:チェックシートにどう答えるか
IPAの25項目チェックリストに対する、現実的な回答例をご紹介します。
基本的対策(Part 1)
| 項目 | 回答例 | 補足 |
|---|---|---|
| OSやソフトウェアを最新にしているか | 実施している | Windows Updateを自動更新に設定していれば「実施している」と回答可能 |
| ウイルス対策ソフトを導入しているか | 実施している | Windows Defenderが有効なら「実施している」 |
| 強固なパスワードを使っているか | 一部実施している | 完璧でなくても、主要なサービスで12文字以上なら「一部実施」 |
| 重要情報へのアクセス制限をしているか | 一部実施している | Windowsのユーザーアカウント管理をしていれば「一部実施」 |
| 脅威情報を共有する仕組みがあるか | 実施していない → 対応予定 | 月1回のミーティングで情報共有を始めれば「実施している」に変更可能 |
従業員としての対策(Part 2)の重要項目
| 項目 | 最低限の対策 | 回答 |
|---|---|---|
| バックアップを取っているか | GoogleドライブまたはOneDriveで自動同期 | 実施している |
| 離席時にPC画面をロックしているか | Windows + Lキーでロックする習慣をつける | 実施している |
| 重要書類を机上に放置していないか | 終業時に引き出しにしまうルールを作る | 実施している |
組織としての対策(Part 3)
| 項目 | 最低限の対策 | 回答 |
|---|---|---|
| 守秘義務を周知しているか | 入社時に口頭で説明していれば「一部実施」 | 一部実施している |
| セキュリティ教育を行っているか | 「今後、月1回の情報共有を開始予定」と回答 | 対応予定 |
| セキュリティ対策をルール化しているか | SECURITY ACTION一つ星の取得で最低限のルール化 | 一部実施している |
「できていない」項目があっても大丈夫
チェックシートを見て「ほとんどできていない...」と落ち込む必要はありません。
重要なのは:
- 現状を正直に回答すること(虚偽の報告は信頼を失います)
- 改善の意思を示すこと(「対応予定」「今後実施します」でOK)
- 段階的に改善していくこと(一度に完璧を目指さない)
多くの中小企業が同じ状況です。取引先も「100点満点」を求めているわけではなく、「最低限の対策をしているか」「改善の意思があるか」を確認したいのです。
もっと本格的に対策したいなら:公的支援の活用
SECURITY ACTIONや基本対策を実施したら、次のステップとして公的支援制度の活用を検討しましょう。
詳しくは、以前の記事「小規模事業者のためのサイバーセキュリティ入門|無料相談と公的支援で安心対策」をご覧ください。
主な支援制度:
IPAサイバーセキュリティお助け隊
- 24時間監視、緊急対応、サイバー保険などがパッケージで利用可能
- IT導入補助金で最大150万円の補助(中小企業1/2、小規模事業者2/3)
IT経営サポートセンター(中小機構)
- 無料のオンライン相談(Zoom、60分)
- 何度でも利用可能
- セキュリティ専門家が個別アドバイス
IPA情報セキュリティ安心相談窓口
- 電話・メールで無料相談
- 平日10時〜17時
- 年間1万件以上の相談実績
まとめ:取引先への回答、3ステップ
ステップ1:今すぐできる対策(今日〜今週)
- SECURITY ACTION一つ星に登録
- Windows Defenderを確認・有効化
- クラウドバックアップを設定
ステップ2:チェックシートに回答(今週〜来週)
- IPAの「5分でできる!情報セキュリティ自社診断」で現状把握
- できている項目は「実施している」
- できていない項目は「対応予定」として改善計画を添える
ステップ3:継続的な改善(今月〜)
- 月1回のセキュリティミーティングを開始
- 従業員への注意喚起を定期的に実施
- 半年後に再度自社診断を行い改善を確認
実際の回答文例
取引先への回答メールの例:
件名:情報セキュリティチェックシートのご回答
○○株式会社 御中
平素より大変お世話になっております。
ご依頼いただきました情報セキュリティチェックシートにつきまして、
添付の通りご回答申し上げます。
現在当社では、IPA(情報処理推進機構)が推奨する
「SECURITY ACTION」一つ星を取得し、基本的なセキュリティ対策を実施しております。
一部未実施の項目につきましては、改善計画を策定中であり、
○月までに対応を完了する予定でございます。
今後も継続的にセキュリティレベルの向上に取り組んでまいります。
ご不明な点がございましたら、お気軽にお問い合わせください。
さらに学びたい方へ
参考リンク:
- IPA「5分でできる!情報セキュリティ自社診断」
https://www.ipa.go.jp/security/guide/sme/ - IPA「SECURITY ACTION」
https://www.ipa.go.jp/security/security-action/ - 前回の記事:小規模事業者のためのサイバーセキュリティ入門
https://saishinit.com/cybersecurity_for_sme/ - IPA「中小企業の情報セキュリティ対策ガイドライン」
https://www.ipa.go.jp/security/guide/sme/about.html
取引先からのセキュリティチェックは、自社のセキュリティを見直す良い機会でもあります。できるところから少しずつ始めて、段階的にレベルアップしていきましょう。
最新IT活用研究会では、中小事業者・個人事業主の皆様のIT活用をサポートしています。セキュリティ対策についてのご質問やご相談がありましたら、お気軽にお問い合わせください。
\ 最新情報をチェック /
“取引先から「セキュリティ対策してますか?」と聞かれたときの対応法” に対して1件のコメントがあります。
コメントは受け付けていません。