menu

パソコン情報漏洩対策のセキュリティコラム

menu

IPAが推奨する中小企業のためのセキュリティアクションとは?

IPAが推奨する中小企業のためのセキュリティアクションとは?のアイキャッチ画像
ホーム > パソコン情報漏洩対策のセキュリティコラム > 未分類 > IPAが推奨する中小企業のためのセキュリティアクションとは?

サイバー攻撃が増加する中、中小企業は限られたリソースにもかかわらず狙われやすい立場に置かれています。

例えば、脆弱なパスワードや更新不足のソフトウェアが原因で情報漏洩や事業停止、さらには信頼失墜を招くケースは少なくありません。

本記事を通じて、IPA(情報処理推進機構)が提唱する「SECURITY ACTION(セキュリティアクション)」を活用することで得られるメリットと、それに続く具体的な対策の全体像を理解できます。

目次
  1. IPAが推奨する「SECURITY ACTION」とは?その目的と意義
  2. 「一つ星」と「二つ星」:SECURITY ACTIONの二段階目標を徹底解説
    1. STEP1: 「一つ星」達成への道 – まずは「情報セキュリティ5か条」から
    2. STEP2: 「二つ星」達成への挑戦 – より強固なセキュリティ体制を目指す
      1. 自社診断の活用
      2. 情報セキュリティ基本方針の策定
      3. 外部公開の意義
  3. SECURITY ACTIONを宣言する中小企業が得られる3つの大きなメリット
    1. 1. 対外的な信頼性の向上と取引機会の拡大
    2. 2. 補助金・助成金の申請要件クリアによる資金調達のチャンス
    3. 3. 社内のセキュリティ意識向上とBCP対策の強化
  4. SECURITY ACTIONの具体的な宣言方法と申請ステップ
  5. SECURITY ACTION宣言後も気を抜かない!次のステップと継続的な対策
    1. 1. 定期的な見直しと最新情報のキャッチアップ
    2. 2. 従業員への継続的な教育と啓発
    3. 3. 専門家や外部サービスの活用も視野に
  6. まとめ

IPAが推奨する「SECURITY ACTION」とは?その目的と意義

中小企業の多くは、大企業と比べてセキュリティ予算や専任担当者が限られています。

その一方で、取引先や顧客の情報を扱うため、攻撃者にとっては格好の標的となりがちです。

こうした背景から、IPA(情報処理推進機構)は「SECURITY ACTION」という制度を創設しました。

これは、中小企業が情報セキュリティ対策に自ら取り組むことを宣言する制度です。

この制度の最大の特徴は、専門的な知識や大規模な設備投資が不要で、企業規模や業種を問わず始められる点です。

企業が自主的にセキュリティ対策を進めることで、顧客や取引先の安心感を高め、安全で信頼できるIT社会の実現に貢献します。

制度は「宣言」を通じて企業の意識を高めることを目的としており、取り組みを可視化することで社内外へのアピールも可能になります。

宣言後には、IPAが提供するロゴマーク(一つ星・二つ星)を名刺やWebサイトに掲載でき、対外的な信頼性向上につながります。

(出典:IPA「SECURITY ACTION セキュリティ対策自己宣言」 )

「一つ星」と「二つ星」:SECURITY ACTIONの二段階目標を徹底解説

SECURITY ACTIONは、取り組みの段階に応じて「一つ星」と「二つ星」の2つの目標が設定されています。ここでは、それぞれの特徴と達成に必要なステップを解説します。

まずは、初めの一歩である「一つ星」から確認していきましょう。

STEP1: 「一つ星」達成への道 – まずは「情報セキュリティ5か条」から

「一つ星」は、中小企業が最低限押さえておくべき「情報セキュリティ5か条」を実践することが条件です。

この5か条は、IPAが中小企業向けに提唱している基本的かつ効果的な対策です。

  1. OSやソフトウェアは常に最新の状態にする
    自動更新設定を有効化し、セキュリティパッチを速やかに適用します。特にサポート期限切れのOSやアプリは早急に更新が必要です。
  2. ウイルス対策ソフトを導入し、常に最新の状態に保つ
    無料ソフトよりも、業務利用に適した有償版を導入し、リアルタイム保護を有効化します。
  3. パスワードを強化する
    英数字・記号を組み合わせた12文字以上のパスワードを設定し、多要素認証(MFA)の併用を推奨します。
  4. 共有設定を見直す
    ファイル共有やクラウドサービスのアクセス権限を最小限にし、不要な共有は即時停止します。
  5. 脅威や攻撃手口を知る
    IPAやNISCの情報発信を定期的に確認し、新たな攻撃手口に備えます。

(出典:IPA「SECURITY ACTION セキュリティ対策自己宣言」

STEP2: 「二つ星」達成への挑戦 – より強固なセキュリティ体制を目指す

「二つ星」は、「一つ星」の実践に加えて「5分でできる!情報セキュリティ自社診断」を実施し、診断結果から課題を把握した上で「情報セキュリティ基本方針」を策定・公開することが条件です。

自社診断の活用

15問程度のチェックに答えるだけで、現状の弱点が見える化されます。結果を社内で共有し、改善計画を立てることが重要です。

情報セキュリティ基本方針の策定

目的・適用範囲・対策方針を明文化し、自社Webサイトや社内ポータルに掲載します。

例:

当社は、お客様情報を含む全ての情報資産を適切に保護します。情報セキュリティの維持・改善のため、従業員教育と定期的な見直しを行います。

外部公開の意義

方針を公表することで、取引先や顧客への透明性を示し、信頼性を高められます。

SECURITY ACTIONを宣言する中小企業が得られる3つの大きなメリット

SECURITY ACTIONを宣言することで得られるメリットは、単なる対策アピールにとどまりません。取引機会の拡大や資金調達の優位性、さらには社内体制の底上げなど、中小企業にとって実利の大きい効果が期待できます。

ここでは3つの視点から詳しくみていきます。

1. 対外的な信頼性の向上と取引機会の拡大

SECURITY ACTIONのロゴマークは、名刺やWebサイト、会社案内などに掲載可能です。

これにより、顧客や取引先に「この企業は情報セキュリティ対策に真剣に取り組んでいる」という印象を与えられます。

特に、サプライチェーン全体でセキュリティ意識を高める流れが強まっている中、取引先の選定条件としてセキュリティ対策の有無が重視されるケースも増えています。

2. 補助金・助成金の申請要件クリアによる資金調達のチャンス

近年のIT導入補助金やものづくり補助金では、SECURITY ACTIONの宣言が申請条件や加点項目として扱われる事例があります。これにより、宣言を行っていない企業よりも有利に補助金を獲得できる可能性が高まります。

さらに、地方自治体が独自に設ける助成金制度でも、宣言企業を優遇する動きが広がっています。例えば、東京都や大阪府では、宣言を条件とした中小企業向けIT導入助成制度が実施されています。申請時には、宣言証明書やロゴ使用許諾証の提示が求められるため、事前に準備しておくことが重要です。

3. 社内のセキュリティ意識向上とBCP対策の強化

SECURITY ACTIONは、外部向けだけでなく、社内の意識改革にも効果を発揮します。宣言をきっかけに、社員1人ひとりが情報管理の重要性を再認識し、日常業務でのセキュリティ行動が習慣化されやすくなります。

また、インシデント発生時の対応力向上や事業継続計画(BCP)の基礎構築にもつながります。

SECURITY ACTIONの具体的な宣言方法と申請ステップ

SECURITY ACTIONの宣言は、IPAの公式サイトからオンラインで簡単に行えます。ここでは、申請に必要な情報や手順を、順を追って解説します。初めて取り組む企業でも、以下の流れに沿えばスムーズに進められます。

(以下、出典はすべて、「IPA「SECURITY ACTION セキュリティ対策自己宣言」

1.公式サイトにアクセス

IPAの「SECURITY ACTION」専用ページにアクセスします。

https://www.ipa.go.jp/security/security-action/

トップページには制度の概要や二段階目標、一つ星・二つ星の条件が掲載されています。

2.「自己宣言の申込」ボタンを押下して、申請ページへ遷移します。

3.「SECURITY ACTION自己宣言のお申し込み手順」に則り、申請を行っていきます。

申し込みは「自己宣言申し込みフォーム」より行うことができます。

4.申し込みフォーム内では以下の手順で申し込みを行っていきます。

①個人情報の取り扱いを確認し、「同意して進む」をクリック。

②「SECURITY ACTIONロゴマーク使用規約」を確認し、「仕様規約に同意する」をクリック。

③自己宣言の取組み内容(一つ星or二つ星)の選択を行う。
自己宣言の目的、担当者等の入力を行う。
ロゴマークの種類、自己宣言の目的、反社会的勢力排除に関する誓約、担当者名、メールアドレス、アンケートを入力し、「次へ」をクリック。

④事業者情報の入力を行う。

法人/個人事業主を選択後に、会社情報(法人番号、事業者名、住所、電話番号、業種、所属団体、メールアドレス)を入力し、「次へ」をクリック。

5.最後に入力内容を確認し、問題なければ「登録」ボタンを押下する事で、申し込みは完了。

6.1週間程度で自己宣言IDをお知らせするメールが届く。

7.1~2週間程度でロゴマークのダウンロードが可能となった旨、またロゴマークを使用するための解凍パスワードが送付されてくるので、ロゴマークをダウンロードする。

注意点

申請からロゴマーク利用開始までの期間は、通常1〜2週間程度です。

ロゴマークの利用は、宣言した段階に応じたデザイン(一つ星または二つ星)のみ可能です。

宣言後も、条件を満たし続けることが求められます。虚偽申告や基準未達成が判明した場合は、使用停止となることがあります。

SECURITY ACTION宣言後も気を抜かない!次のステップと継続的な対策

SECURITY ACTIONは宣言して終わりではありません。

むしろ、宣言後の取り組みこそが企業の信頼性を高め、セキュリティ体制を強化する鍵となります。

ここでは、宣言後に実施すべき継続的な対策を3つの観点から解説します。

1. 定期的な見直しと最新情報のキャッチアップ

OSやソフトウェアのアップデートは、サイバー攻撃から企業を守る最も基本的で効果的な方法です。

特にゼロデイ攻撃のような新たな脅威に備えるためには、自動更新を有効化するだけでなく、更新履歴やパッチ適用状況を定期的に確認することが重要です。

また、IPAやNISC(内閣サイバーセキュリティセンター)が発信する最新の脅威情報をチェックし、自社に影響がある場合は速やかに対応策を講じます。

月に一度は公式サイトやメールマガジンで最新情報を収集する習慣を持ちましょう。

2. 従業員への継続的な教育と啓発

社員1人ひとりがセキュリティ意識を高く持つことで、ヒューマンエラーによるインシデントを大幅に減らせます。

定期的な情報セキュリティ研修の実施や、標的型攻撃メール訓練の導入は有効です。

IPAが提供する「5分でできる!情報セキュリティポイント学習」などの無料教材は、短時間で学べるため業務に組み込みやすく、日常的な啓発活動に適しています。

また、社内ポータルや掲示板での注意喚起も有効な手段です。

3. 専門家や外部サービスの活用も視野に

社内だけでの対応が難しい場合は、専門家や外部サービスの利用も検討しましょう。

例えば、中小企業診断士やセキュリティコンサルタントによる診断、IPAが連携する「サイバーセキュリティお助け隊」サービスなどがあります。

外部サービスを利用する判断基準としては、以下のようなケースが挙げられます。

  • 自社で脅威分析や侵入検知の仕組みを構築できない
  • 重大インシデント発生時に対応できる要員が不足している
  • 補助金や助成金を活用して高度な対策を導入したい

こうした外部リソースを柔軟に活用することで、自社のリスク耐性を一段と高めることが可能です。

まとめ

SECURITY ACTIONは、中小企業が自らの情報セキュリティ対策を可視化し、社内外に対して取り組み姿勢を示せる有効な制度です。

「一つ星」では情報セキュリティ5か条の実践、「二つ星」では自社診断と基本方針の策定・公開が求められます。

これにより、対外的な信頼性向上や補助金申請の優位性、社内意識の底上げなど、多方面での効果が期待できます。

ただし、宣言はゴールではなくスタートです。

定期的な見直し、従業員教育、そして必要に応じた外部サービスの活用を通じて、継続的にセキュリティ体制を強化することが重要です。

SECURITY ACTIONをきっかけに、自社の情報セキュリティレベルを一段と高めていきましょう。