「うちの会社のセキュリティ、何から手をつければいいんだろう」──多くの中小企業の経営者の方が抱えるこの問いに、日本で最も正面から答えてきたのが IPA(独立行政法人情報処理推進機構)です。2026 年 3 月には『中小企業の情報セキュリティ対策ガイドライン』が 第 4.0 版 に改訂され、ガイドラインの 25 項目自社診断のうち、「ウェブサイトを安全に運用する」という項目が明確に強化されました。
私たち MintSpark が公開している無料診断ツール coremeo-check は、まさにこの「ウェブサイトを安全に運用する」を、ウェブの専門家でない方でも 5 分で外部観測できるように作りました。本記事では、coremeo-check が IPA の指針のどこに対応しているのか、逆に「ここは IPA でカバーすべき」という境界を、できるだけ正直に整理します。
IPA のガイドラインの全体像
IPA の中小企業向け指針は、おおまかに 3 つの層に分かれています。
- 情報セキュリティ 6 か条(SECURITY ACTION「一つ星」相当)
経営者がまず意識すべき最小単位。第 4.0 版で「バックアップを取ろう!」が追加され、5 か条から 6 か条に。 - 5 分でできる!情報セキュリティ自社診断 25 項目(SECURITY ACTION「二つ星」相当)
組織として総合的に 25 観点を点数化する仕組み。Excel/PDF で配布。 - 安全なウェブサイトの作り方(技術指針)
ウェブ開発者・運用担当者向けに、SQL インジェクション・XSS など 11 種類の脆弱性と運用上の対策を解説。
当社の coremeo-check は、このうち主に 2 番目(25 項目自社診断)の項目 19「ウェブサイトを安全に運用する」を、外部観測で機械的にチェックするものです。3 番目の技術指針とも親和性が高く、診断項目はほぼここに含まれます。
IPA「情報セキュリティ 6 か条」と coremeo-check の関係
まず、最も基本的な「6 か条」と当社診断の関係を見てみます。
| IPA 6 か条 | coremeo-check の対応 |
|---|---|
| ① OS・ソフトウェアを常に最新に | △ WordPress のバージョン露出は間接的に観測 |
| ② ウイルス対策ソフトを導入 | × 端末の話なので対象外 |
| ③ パスワードを強化 | × 運用ポリシーなので対象外 |
| ④ 共有設定を見直す | × 社内ネットワークの話なので対象外 |
| ⑤ バックアップを取る | × 対象外 |
| ⑥ 脅威や攻撃の手口を知る | △ 診断結果の「impact」文がその役割を一部担います |
結論として、6 か条と coremeo-check は本質的に「補完関係」です。6 か条は経営者の意識づくり・組織の運用面に焦点があり、ウェブサイトという「外から見えている顔」のチェックは別の道具が必要だからです。だからこそ、両方を併用していただくことで「組織の内側」と「外から見える状態」の両方が見える化されます。
25 項目自社診断のうち、coremeo-check が直接対応する項目
25 項目のうち、ウェブサイト技術に直接関わるのは 項目 11 と項目 19 の 2 つです。それぞれの IPA の文言を引用しつつ、coremeo-check の対応を示します。
項目 11「インターネットを介したトラブルを防ぐ」
重要な情報をやりとりする場合は、HTTPS 通信(TLS/SSL)に対応したウェブサイト、または VPN 通信を利用する。(IPA「5 分でできる!情報セキュリティ自社診断」項目 11 解説より)
coremeo-check では、この観点を以下のカテゴリでチェックしています:
- HTTPS(通信の暗号化):HTTPS に対応しているか、HTTP からの自動転送が機能しているか
- TLS 証明書(有効期限・発行統制):証明書の期限切れを未然に把握できるか
- 暗号化されていないコンテンツの混在:HTTPS ページに HTTP コンテンツが混じっていないか
項目 19「ウェブサイトを安全に運用する」(第 4.0 版で強化)
CMS や EC サイト構築ソフトなどのソフトウェアで作ったウェブサイトは脆弱性管理を行う。自社のウェブサイトが HTTPS 通信に対応しているか確認する。開発工程やテスト環境などで使用した不要なアカウントは削除する。公開ファイルに個人情報などの非公開情報が含まれていないことを確認する。期間限定のページや不要になったウェブサイトは閉鎖する。(IPA 同診断 項目 19 解説より)
この項目こそ、coremeo-check の中核領域です。当社診断のほぼすべてのカテゴリがここに対応します:
- WordPress の攻撃面:ログイン ID の漏えい、XML-RPC、readme.html 等の不要情報露出
- セキュリティ用の応答ヘッダ:クリックジャッキング・MIME スニッフィングの防御
- 公開してはいけない情報の露出:.git / .env / wp-config のバックアップ/phpinfo など、IPA が直接名指しで挙げる「公開すべきでない情報」のチェック
- なりすましメール対策(SPF / DMARC / DKIM):ドメイン認証はメール経路の安全運用と表裏一体
- ブラックリスト診断:メール到達性、サイト評価の確認
とりわけ「公開してはいけない情報の露出」は、IPA の対策例で 「公開ファイルに個人情報などの非公開情報が含まれていないことを確認する」と明記されている項目で、開発時に置いたデバッグ用ファイルや、git からの設定流出など、実務で本当に多い事故をカバーしています。
逆に、coremeo-check では確認できない項目
誠実にお伝えします。25 項目のうち、残り 23 項目は 外部観測ではどうやっても確認できません。なぜなら、これらは社内のルール・運用・教育といった「組織の内側」だからです。
- パスワードを「長く・複雑に・使い回さない」を運用できているか
- 定期的にバックアップを取り、戻せることを確認しているか
- 不審メールの URL を従業員が安易にクリックしない教育ができているか
- 退職者のアカウントを速やかに削除できているか
- セキュリティ事故が起きたときの連絡先・体制が決まっているか
これらは IPA が無料で公開している 「5 分でできる!情報セキュリティ自社診断」(オンライン版)で、25 項目を点数化して把握できます。組織として「うちは何ができていて、何ができていないか」の総合点数を出したいなら、まずこれをやっていただくのが最短です。
補完関係:内側と外側を両方見る
整理すると、coremeo-check と IPA の自社診断は 競合関係ではなく補完関係です。
| 領域 | 主な担い手 |
|---|---|
| 組織のルール・運用・教育(25 項目のうち項目 11・19 以外) | IPA 自社診断 |
| ウェブサイト・メールの外から見える状態(2 項目) | coremeo-check |
言い換えると、IPA の自社診断で「組織の内側」が見え、coremeo-check で「外から見える顔」が見える、という分担です。両方やって初めて、「うちの会社のセキュリティ、今どんな状態か」がほぼ全方位で把握できます。
SECURITY ACTION との関係
IPA は、中小企業の取り組みを後押しするために SECURITY ACTION 自己宣言制度を運用しています。基準は 2 段階あります:
- 一つ星:情報セキュリティ 6 か条への取り組みを宣言
- 二つ星:25 項目自社診断 + 情報セキュリティ基本方針の策定・公開
coremeo-check の診断は、二つ星の基準である「25 項目自社診断」の項目 11・項目 19 を外部観測で補強する位置づけと整理できます。「自社で OK と答えた項目を、本当に外から見ても OK か」を確認する道具、とお考えください。
MintSpark が大事にしている設計思想
coremeo-check を作るうえで、IPA のガイドラインから学んだ大切な原則が 2 つあります。
① 攻撃的なアクセスは一切行わない設計:診断は「ブラウザでサイトを 1 回開く」相当の範囲に限定し、ログイン試行や脆弱性スキャン的な能動アクセスはしません。これは IPA の脆弱性診断ガイドラインや、無料ツールが負うべき社会的責任とも整合します。
② 経営者の言葉で「何が起きうるか」を伝える:「ヘッダが設定されていません」では意思決定につながりません。当社診断は、🔴・🟡 がついた項目について「取引先に偽の請求書メールが届くリスク」のように、ビジネスに翻訳された言葉で結果を示します。これは IPA が「経営者編・実践編」の二層構成を取っていることへの、私たちなりの応答です。
まずは両方を、5 分ずつ試してみてください
本記事を読み終わったいま、もし「うちはどっちもまだやっていない」ということでしたら、順番はどちらが先でも構いません。両方とも完全無料、登録不要(IPA はオンライン版、当社は URL の入力だけ)で 5 分前後で完了します。
両方の診断を実施したうえで、「自社の弱点をどう塞ぐのが妥当か」をご一緒に考えるご相談も、無料でお受けしています(30 分・オンライン)。「うちは IT 部門がないから」という会社こそ、その「無いこと」を踏まえた現実的な進め方をご案内できます。
