Son Dakika
ITViolento terremoto scuote il Venezuela: centinaia di edifici crollati, 32 morti e 700 feritiGLOBALOliver Glasner appointed Nottingham Forest's new head coachJP中国原子力潜水艦のミサイル発射、官房長官「懸念」ITHouse of the Dragon 3: Rhaenyra tra crisi economica e scelte difficiliITLaRoyce Hawkins lascia Chicago P.D. dopo 13 stagioniITSky TG24 Live In Milano: Tajani, Schlein, Renzi, Piantedosi, Crosetto, Sala on Trump, Ukraine, PoliticsFRSepp Blatter s'étonne de la levée de suspension de Folarin Balogun, critiquant l'influence politique à la FIFAARكلوب يهاجم ترمب وإنفانتينو بسبب بالوغون.. وإنجلترا تتأهل بصعوبة في كأس العالمPLPiotr Kuliś, ps. "Matador", zatrzymany w Argentynie. Podejrzany o udział w porwaniu i zabójstwieGLOBALPrince Harry Denied Palace Stay Amid Contradictory AccountsITViolento terremoto scuote il Venezuela: centinaia di edifici crollati, 32 morti e 700 feritiGLOBALOliver Glasner appointed Nottingham Forest's new head coachJP中国原子力潜水艦のミサイル発射、官房長官「懸念」ITHouse of the Dragon 3: Rhaenyra tra crisi economica e scelte difficiliITLaRoyce Hawkins lascia Chicago P.D. dopo 13 stagioniITSky TG24 Live In Milano: Tajani, Schlein, Renzi, Piantedosi, Crosetto, Sala on Trump, Ukraine, PoliticsFRSepp Blatter s'étonne de la levée de suspension de Folarin Balogun, critiquant l'influence politique à la FIFAARكلوب يهاجم ترمب وإنفانتينو بسبب بالوغون.. وإنجلترا تتأهل بصعوبة في كأس العالمPLPiotr Kuliś, ps. "Matador", zatrzymany w Argentynie. Podejrzany o udział w porwaniu i zabójstwieGLOBALPrince Harry Denied Palace Stay Amid Contradictory Accounts
Newsgather
GeriNIST文書「Small Business Cybersecurity」がフリーランスのサイバーセキュリティ対策を解説
NIST文書「Small Business Cybersecurity」がフリーランスのサイバーセキュリティ対策を解説
Teknoloji
ITmedia18.05.2026Teknoloji7 dk okumaJapan

NIST文書「Small Business Cybersecurity」がフリーランスのサイバーセキュリティ対策を解説

Hızlı Bakış

NISTが公開した「Small Business Cybersecurity: Non-Employer Firms」は、フリーランスを含む従業員ゼロの小規模事業者に向けたサイバーセキュリティ対策を解説。資産管理、多要素認証、フィッシング・ランサムウェア対策、バックアップ、ソフトウェアアップデートの重要性を強調している。

Yapay zekâ özeti

Neden Önemli?

NIST has released a draft document, CSWP 50, titled "Small Business Cybersecurity: Non-Employer Firms," which provides cybersecurity guidance tailored for the smallest businesses, including freelancers. The document is based on Cybersecurity Framework 2.0 and covers fundamental security principles and current practices.

Yazı boyutu

今回紹介したいのは、NISTが公開する文書CSWP 50「Small Business Cybersecurity: Non-Employer Firms」です。直訳すれば「非雇用企業の中小企業サイバーセキュリティ」。日本でもフリーランスとして働く人の多くはこれに相当するはずで、筆者を含む多くの方がドキッとするタイトルかもしれません。

本文書は2026年4月にドラフトが公開され、現在はアップデートが適用されるフェーズにあります。しかし、ドラフトの内容でも、フリーランスの働き手がサイバーセキュリティをどこまで考える必要があるか、示唆に富む内容になっていました。

この文書は、先のサイバーセキュリティフレームワーク2.0をベースとして、事業主以外に従業員がいない最小規模の企業向けにカスタマイズした内容です。

本文書はセキュリティの基礎的な部分から、現状に即した考え方まで、短いながらカバー範囲は広い内容となっています。セキュリティの原則である「CIAの3要素」、機密性(Confidentiality)、完全性(Integrity)、可用性(Availability)から始まり、真っ先に触れられているのはマルウェア対策ソフトの導入……ではなく、サイバーセキュリティの外部/内部コンテキストを理解し、サイバーセキュリティリスク管理を開始することから始める、としています。具体的には、「資産の棚卸し」です。

ここでは、各資産に対し、下記の点がチェック項目として提示されています。

資産の識別情報

資産所有者

その資産によって受信、処理、保存、送信される重要なデータは何か

資産が使われる場所

侵害された場合の予想される影響度

強力で一意のパスワードが設定されているか

多要素認証(MFA)が有効になっているか

個人事業主であってもデータを含む資産を保持しており、その内容もなんとなく理解はしているはずです。本文書ではこれを正しく、表形式で棚卸しすることが、最初のステップだとしています。これは非常に説得力のある内容であり、組織のサイバーセキュリティ対策における第一歩です。

ということで、フリーランスライターの自分も、この表を埋めてみました。ものによってはNGな項目もありますが、重要なのは○を増やすことというよりも、×に相当する部分が今どのくらいあるかという「可視化」です。この点はアセスメントサービス事業者への取材で毎回聞くフレーズですが、我がこととなるととたんに「なるほど!」と理解できるようになりますね。

筆者の資産管理(ごく一部のみ)

資産の識別情報 資産所有者 重要なデータ 資産が使われる場所 侵害された場合の予想される影響度 強力で一意のパスワードが設定されているか 多要素認証(MFA)が有効になっているか クラウドアカウント 自分 メール、原稿、発注書/請求書 クラウド 重大 Yes Yes スマートフォン 自分 メール、写真、パスワード、MFA、カレンダー、メモ、連絡先 ほか モバイル 重大 Yes Yes PC 自分 原稿、取材資料 自宅、モバイル 重大 Yes Yes ボイスレコーダー 自分 取材音声(場合により社外情報を含む) モバイル 重大 No No

実際に運用するには、契約している(業務に少しでも関連する)サブスクリプションサービスを列挙すれば、個人のサービス管理台帳としても活用できそうです。無駄な支出が分かるかもしれません。

個人を襲う脅威「フィッシング」と「ランサムウェア」を考える

本文書はサイバーセキュリティフレームワーク2.0で触れられている、「統治」や「特定」「防御」「検知」「対応」「復旧」の各項目に沿って構成されており、個人事業主のレベルでもできる、それぞれの対応ポイントをまとめています。

その中でも、特に「防御」の部分ではフィッシングに対する記述が1ページ割かれています。とはいえ、難しいことではなく、下記のような一般的で重要なポイントが記されています。

添付ファイルのダウンロードやリンクのクリックのリクエストは慎重に扱うこと

犯罪者は個人に迅速に行動してほしいと望んでいるため、たとえ正当に見えても、リクエストについて少し時間を取って考えること。メッセージ自体ではなく、既知の連絡先情報または公開企業Webサイトの情報を使用してリクエストを検証すること

送信元メールアドレスをチェックすること(通常は銀行がGmailドメインから送信しないはず)

個人が銀行口座番号や顧客情報、社会保障番号などの機密情報を開示または変更するよう求める要請には気を付けること

さらに、ランサムウェアに関しても1ページでまとめています。こちらも、未知のソースからのリンクをクリックしないことや認可したアプリケーションのみ実行すること、可能な限り管理者権限のないユーザーで操作することなどが挙げられています。

まとめると、個人事業主のレベルでも必要なセキュリティ対策は、まず何はなくとも「重要資産の棚卸し」。利用するサービスや使用するデバイスをしっかりと把握し、資産を管理すること。その中では「多要素認証の利用」および「強力で一意のパスワードの設定」が求められます。加えて、フィッシング対策、ランサムウェア対策として利用者ができるレベルの対策をとりつつ、基本中の基本である「バックアップの実施」および「ソフトウェアアップデートの実施」を徹底することが、本書で求められている内容です。

サイバーセキュリティフレームワーク2.0ではあまりにも高度すぎるという個人事業主も、本書(付録を除けばわずか19ページ)を片手に読み解けば、セキュリティレベルを高めるだけでなく、セキュリティの基礎知識もカバーできます。英語が苦手という方も、生成AIサービスを片手にぜひ読み解いてみてください(公開資料なので安心して使えるはずです)。

日本では?

個人事業主のレベルを対象とした文書は、とてもめずらしいものだと思います。日本ではどうなのかというと、近い位置にあるのは「SECURITY ACTION セキュリティ対策自己宣言」かもしれません。これは中小規模の企業に向け、セキュリティアセスメントとなる表を元に自己評価することで★1、★2を宣言できる仕組みです。また、資料としては「中小企業の情報セキュリティ対策ガイドライン」が公開されており、2026年3月には最新の第4.0版が公開されました。

SECURITY ACTIONの★1、★2の先には、任意の制度としての「サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)」が運用開始予定で、こちらもぜひ、注目してほしいと思います。

しかし、これはあくまで日本の中小規模の企業向けのもの。日本にはライターやデザイナーをはじめ、多数のフリーランス事業者も同じ職場で働いているはず。サプライチェーンが重視される今も、セキュリティ対策は個人事業主のモラルに頼っているというのが現状です。今後はもしかしたら、個人事業主でもセキュリティ対策がどこまで進んでいるか、調査されるかもしれません。その前に、まずはNISTの「Small Business Cybersecurity: Non-Employer Firms」を眺め、資産管理表を作ってみることから初めてみてはいかがでしょうか。

Açık Sorular

  • 具体的な日本国内での個人事業主向けセキュリティ対策の推進状況
  • NIST文書の最終版公開時期
  • サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)の詳細

İlgili Konular

Bu haber ilk olarak şurada yayınlandı: ITmedia.

İlgili Haberler

KDDI、メールシステム不正アクセスで約1223万件のメールアドレスと約761万件のパスワード漏えいを確認
Gelişiyor·1 sa önce

KDDI、メールシステム不正アクセスで約1223万件のメールアドレスと約761万件のパスワード漏えいを確認

KDDIは、ISP事業者向けメールシステムへの不正アクセスにより、約1223万件のメールアドレスと約761万件のパスワードが漏えいしたことを確認したと発表した。当初の発表より漏えい件数が増加した。影響はauメールなど他のKDDIサービスには及んでいない。

ITmedia
Bu konuda daha fazlaNIST