まずは「重要資産の棚卸し」を　NISTが示す「個人事業主」レベルの防衛ラインとは

　米国立標準技術研究所（NIST）が公開している、「NIST サイバーセキュリティフレームワーク」（NIST CSF）を聞いたことはありますか。2024年にはバージョン2.0が公開され、組織におけるサイバーセキュリティを形作る基盤として、事前対策としての「統治」や「特定」「防御」、そして事後対策としての「検知」や「対応」「復旧」をカバーするものです。経済産業省とIPAが共同で策定した「サイバーセキュリティ経営ガイドライン」とともに、企業を守る上で重要な文書となっています。

【画像3枚】まずは「重要資産の棚卸し」を　NISTが示す「個人事業主」レベルの防衛ラインとは

　……とはいえ、このNIST CSFはセキュリティ管理者など、専門職に近い人向けの資料といえるでしょう。私も当然、概略は押さえているものの、自らこれを実践する立場ではありません。

　しかし、それも今日までかもしれません。NISTは2026年4月、CSFよりも対象が広いであろう、「個人事業主」にそのカバー範囲を広げました。今回はその内容をピックアップし、自戒とともに紹介したいと思います。

●「いかなる規模の企業も、インシデントの発生を防ぐことはできない」からこそ

　今回紹介したいのは、NISTが公開する文書CSWP 50「Small Business Cybersecurity: Non-Employer Firms」です。直訳すれば「非雇用企業の中小企業サイバーセキュリティ」。日本でもフリーランスとして働く人の多くはこれに相当するはずで、筆者を含む多くの方がドキッとするタイトルかもしれません。

　本文書は2026年4月にドラフトが公開され、現在はアップデートが適用されるフェーズにあります。しかし、ドラフトの内容でも、フリーランスの働き手がサイバーセキュリティをどこまで考える必要があるか、示唆に富む内容になっていました。

　この文書は、先のサイバーセキュリティフレームワーク2.0をベースとして、事業主以外に従業員がいない最小規模の企業向けにカスタマイズした内容です。

　本文書はセキュリティの基礎的な部分から、現状に即した考え方まで、短いながらカバー範囲は広い内容となっています。セキュリティの原則である「CIAの3要素」、機密性（Confidentiality）、完全性（Integrity）、可用性（Availability）から始まり、真っ先に触れられているのはマルウェア対策ソフトの導入……ではなく、サイバーセキュリティの外部／内部コンテキストを理解し、サイバーセキュリティリスク管理を開始することから始める、としています。具体的には、「資産の棚卸し」です。

　ここでは、各資産に対し、下記の点がチェック項目として提示されています。

・資産の識別情報

・資産所有者

・その資産によって受信、処理、保存、送信される重要なデータは何か

・資産が使われる場所

・侵害された場合の予想される影響度

・強力で一意のパスワードが設定されているか

・多要素認証（MFA）が有効になっているか

　個人事業主であってもデータを含む資産を保持しており、その内容もなんとなく理解はしているはずです。本文書ではこれを正しく、表形式で棚卸しすることが、最初のステップだとしています。これは非常に説得力のある内容であり、組織のサイバーセキュリティ対策における第一歩です。

　ということで、フリーランスライターの自分も、この表を埋めてみました。ものによってはNGな項目もありますが、重要なのは○を増やすことというよりも、×に相当する部分が今どのくらいあるかという「可視化」です。この点はアセスメントサービス事業者への取材で毎回聞くフレーズですが、我がこととなるととたんに「なるほど！」と理解できるようになりますね。

筆者の資産管理（ごく一部のみ）

　実際に運用するには、契約している（業務に少しでも関連する）サブスクリプションサービスを列挙すれば、個人のサービス管理台帳としても活用できそうです。無駄な支出が分かるかもしれません。

●個人を襲う脅威「フィッシング」と「ランサムウェア」を考える

　本文書はサイバーセキュリティフレームワーク2.0で触れられている、「統治」や「特定」「防御」「検知」「対応」「復旧」の各項目に沿って構成されており、個人事業主のレベルでもできる、それぞれの対応ポイントをまとめています。

　その中でも、特に「防御」の部分ではフィッシングに対する記述が１ページ割かれています。とはいえ、難しいことではなく、下記のような一般的で重要なポイントが記されています。

・添付ファイルのダウンロードやリンクのクリックのリクエストは慎重に扱うこと

・犯罪者は個人に迅速に行動してほしいと望んでいるため、たとえ正当に見えても、リクエストについて少し時間を取って考えること。メッセージ自体ではなく、既知の連絡先情報または公開企業Webサイトの情報を使用してリクエストを検証すること

・送信元メールアドレスをチェックすること（通常は銀行がGmailドメインから送信しないはず）

・個人が銀行口座番号や顧客情報、社会保障番号などの機密情報を開示または変更するよう求める要請には気を付けること

　さらに、ランサムウェアに関しても1ページでまとめています。こちらも、未知のソースからのリンクをクリックしないことや認可したアプリケーションのみ実行すること、可能な限り管理者権限のないユーザーで操作することなどが挙げられています。

　まとめると、個人事業主のレベルでも必要なセキュリティ対策は、まず何はなくとも「重要資産の棚卸し」。利用するサービスや使用するデバイスをしっかりと把握し、資産を管理すること。その中では「多要素認証の利用」および「強力で一意のパスワードの設定」が求められます。加えて、フィッシング対策、ランサムウェア対策として利用者ができるレベルの対策をとりつつ、基本中の基本である「バックアップの実施」および「ソフトウェアアップデートの実施」を徹底することが、本書で求められている内容です。

　サイバーセキュリティフレームワーク2.0ではあまりにも高度すぎるという個人事業主も、本書（付録を除けばわずか19ページ）を片手に読み解けば、セキュリティレベルを高めるだけでなく、セキュリティの基礎知識もカバーできます。英語が苦手という方も、生成AIサービスを片手にぜひ読み解いてみてください（公開資料なので安心して使えるはずです）。

●日本では？

　個人事業主のレベルを対象とした文書は、とてもめずらしいものだと思います。日本ではどうなのかというと、近い位置にあるのは「SECURITY ACTION セキュリティ対策自己宣言」かもしれません。これは中小規模の企業に向け、セキュリティアセスメントとなる表を元に自己評価することで★1、★2を宣言できる仕組みです。また、資料としては「中小企業の情報セキュリティ対策ガイドライン」が公開されており、2026年3月には最新の第4.0版が公開されました。

　SECURITY ACTIONの★1、★2の先には、任意の制度としての「サプライチェーン強化に向けたセキュリティ対策評価制度（SCS評価制度）」が運用開始予定で、こちらもぜひ、注目してほしいと思います。

　しかし、これはあくまで日本の中小規模の企業向けのもの。日本にはライターやデザイナーをはじめ、多数のフリーランス事業者も同じ職場で働いているはず。サプライチェーンが重視される今も、セキュリティ対策は個人事業主のモラルに頼っているというのが現状です。今後はもしかしたら、個人事業主でもセキュリティ対策がどこまで進んでいるか、調査されるかもしれません。その前に、まずはNISTの「Small Business Cybersecurity: Non-Employer Firms」を眺め、資産管理表を作ってみることから初めてみてはいかがでしょうか。