情報セキュリティの基礎「セキュリティアクション」メリットと導入方法

「セキュリティアクション」とは?

「SECURITY ACTION(セキュリティアクション)」とは、独立行政法人情報処理推進機構(IPA)が主導する、企業が実施すべき複数のセキュリティ対策を定めた国内中小企業のセキュリティレベルを底上げするための制度です。

ISOやプライバシーマークとは異なり、いわゆる「審査」は無く、自己宣言する仕組みになっているのが特徴です。

セキュリティアクションの制度詳細は、IPAホームページ「SECURITY ACTION セキュリティ対策自己宣言」をご覧ください。

「SECURITY ACTION」の難易度は?

「SECURITY ACTION」では、セキュリティの強度を星の数で示しており、★1(1つ星)と★2(2つ星)があります。★の数が多くなるほどセキュリティ対策の要求が多く厳しくなり、取組難易度も上がります。★1から取り組む企業もありますが、必ずしも★1から取り組まなくてはならないわけではなく、★2から取り組むことも可能です。

「★1 (1つ星)」は何をする?

★1は、6つの対策(情報セキュリティ6か条)で構成されています。本来、6か条だけでは足りないのですが、その中でも「これだけはどうしても」という極めて基本的な対策です。厳しい言い方をすれば、「これくらいはやっていないと話にならない」という対策です。

★1の「情報セキュリティ6か条」とは?

★1の「情報セキュリティ6か条」とは、次の6つです。

  1. 1.OSやソフトウェアは常に最新の状態にしよう!
  2. 2.ウイルス対策ソフトを導入しよう!
  3. 3.パスワードを強化しよう!
  4. 4.共有設定を見直そう!
  5. 5.バックアップを取ろう!
  6. 6.脅威や攻撃の手口を知ろう!

詳しくはSECURITY ACTIONホームページ『「一つ星」を宣言する』をご参照ください。

「★2(2つ星)」は何をする?

★2は25個の項目で構成されており、★1よりも数が多くなっているだけでなく、内容もより細かくなっています。また、★1との大きな違いは、方針の策定と公開、各項目に対応したルールの策定を要求している点です。

25項目の詳細はSECURITY ACTIONホームページ『「二つ星」を宣言する』をご参照ください。

★2の「25項目」とは?

★2の25項目は、「情報セキュリティを自社で診断できる資料」として「基本的対策」、「従業員としての対策」、「組織としての対策」の3つの対策に分けられ、次のことが述べられています。

<基本的対策>

  1. 1.パソコンやスマートフォンなど情報機器のOSやソフトウェアは常に最新の状態にしていますか?
  2. 2.パソコンやスマートフォンなどにはウイルス対策ソフトを導入し、ウイルス定義ファイルは最新の状態にしていますか?
  3. 3.パスワードは破られにくい「長く」「複雑な」パスワードを設定していますか?
  4. 4.データの共有設定を必要な人に限定していますか?
  5. 5.故障や誤操作、ウイルス感染などによる重要情報※2の消失に備えて定期的にバックアップを取得していますか?
  6. 6.新たな脅威や攻撃の手口を知り対策を社内共有する仕組みはできていますか?

<従業員としての対策>

  1. 7.電子メールの添付ファイルや本文中のURLリンクを介したウイルス感染に気をつけていますか?
  2. 8.電子メールやFAXの宛先の送信ミスを防ぐ取り組みを実施していますか?
  3. 9.重要情報の受け渡しは、暗号化など安全な手段で行っていますか?
  4. 10.無線LANを安全に使うために適切な暗号化方式を設定するなどの対策をしていますか?
  5. 11.インターネットを介したウイルス感染やSNSへの書き込みなどのトラブルへの対策をしていますか?
  6. 12.紛失や盗難を防止するため、重要情報が記載された書類や電子媒体は机上に放置せず、書庫などに安全に保管していますか?
  7. 13.重要情報が記載された書類や電子媒体を持ち出す時は、盗難や紛失の対策をしていますか?
  8. 14.情報が記載された書類や重要なデータが保存された媒体を破棄する時は、復元できないようにしていますか?
  9. 15.離席時にパソコン画面の覗き見や勝手な操作ができないようにしていますか?
  10. 16.関係者以外の事務所への立ち入りを制限していますか?
  11. 17.退社時にノートパソコンや備品を施錠保管するなど盗難防止対策をしていますか?

<組織としての対策>

  1. 18.内部ネットワークを守るため、不正アクセス対策機能を設定していますか?
  2. 19.ウェブサイトで公開すべきでない情報を公開していませんか?
  3. 20.従業員に情報セキュリティに関する教育や注意喚起を行っていますか?
  4. 21.個人所有の情報機器を業務で利用する場合のセキュリティ対策を明確にしていますか?
  5. 22.重要情報の授受を伴う取引先との契約書には、秘密保持条項を規定していますか?
  6. 23.クラウドサービスやウェブサイトの運用などで利用する外部サービスは、安全・信頼性を把握して選定していますか?
  7. 24.セキュリティ事故が発生した場合に備え、緊急時の体制整備や対応手順を作成するなど準備をしていますか?
  8. 25.情報セキュリティ対策(上記1~24など)をルール化し、従業員に明示していますか?

★2の「方針」とは?

いわゆる「情報セキュリティ基本方針」であり、組織の情報セキュリティの方向性を示す文書です。方針の内容について細かい要求はありませんが、IPAが情報セキュリティ基本方針(サンプル)を公開しているので、それを参考にすることができます。

サンプルをダウンロードすると、必要な項目を自社の事情に応じた内容に書き換えるだけで、自社の「情報セキュリティ基本方針」を作成することができます。

「方針の公開」とは?

自社で定めた方針は、自社のホームページ上に載せるのが一般的ですが、会社案内に掲載するケースや、店頭受付があるような会社の場合は、紙媒体で配付できるようにするといった手段が考えられます。

「セキュリティ対策自己宣言」とは?

「セキュリティ対策自己宣言」は、★1、★2ともに第三者による審査は無く、取組みを自ら宣言する仕組みになっているため客観性には欠けますが、IPAに自己宣言の申し込みをすることができます。

IPAに申し込みをすると、ロゴを使用することができるようになるとともに、SECURITY ACTIONホームページ「宣言事業者一覧」に組織名が登録され、検索できるようになります。

「★1」と「★2」どちらに取り組むべき?

「★1」に取り組むべき企業や組織

「情報セキュリティの重要性は分かるけど、これまで全く手を付けることができていない・・・」といった企業や組織にお奨めします。

ルールの内容云々ではなく、まずは情報セキュリティという概念を組織に取り入れましょう。

「★2」に取り組むべき企業や組織

「多少なりとも情報セキュリティに取り組んできたけど、何となく取り組んできただけ・・・」といった企業や組織にお奨めします。★1を飛ばしてここからという選択も有りです。

「★2」に取り組むことをきっかけに、企業全体で情報セキュリティのレベルを高めることにつながります。

「SECURITY ACTION」取り組み支援

当社では、「SECURITY ACTION」取り組み支援を行っています。

「★1」の取り組み支援

項目支援内容
6か条の解説6か条が何を求めているのかを解説します。
現状確認6か条に対する現状(どこまで対応できているか)を確認します。
実装6か条の各要求にどのように応えるか助言を提供します。
質疑応答各種ご質問にお答えし、ご相談を承ります。
  • 料金:5万円程度(オンラインでの打合せの場合)
  • 支援期間:~1ヶ月

「★2」の取り組み支援

項目支援内容
診断25項目が何を求めているか解説しながら、現状確認を兼ねて診断していきます。
文書策定ルールのサンプルを提供し、診断結果をふまえてカスタマイズのための助言を提供します。
レビュールールをカスタマイズされた結果を拝見し、改善のための助言を提供します。
質疑応答各種ご質問にお答えし、ご相談を承ります。
  • 料金:15~20万円(オンラインでの打合せの場合)
  • 支援期間:1~2カ月

「SECURITY ACTION」の先に

「★1」や「★2」の先に、SCS評価制度として★3~5が存在します。ただし、★5の内容は検討段階なので、2026年5月現在で未定です。その他、ISMS認証(ISO27001)等の各種認証が存在しています。

SCS評価制度とは?

★3~5のSCS評価制度とは、「サプライチェーン強化に向けたセキュリティ対策評価制度」のことで、経済産業省・国家サイバー統括室が主導している、サプライチェーンにおいて求められるセキュリティ対策を共通基準の「★」で可視化する制度です。

ISMS(ISO/IEC27001)認証とは?

★3~5は、ISMS認証(ISO/IEC27001)等の各種認証取得にも関わってきます。

ISMSとは、組織として情報セキュリティを計画・運用し、継続的に改善していくための仕組みです。2005年頃から認証制度として運用されており、日本では8,000以上の組織が認証を取得しています。

ISMS認証取得支援については、こちらのページをご覧ください。

SCSとISMSどちらが上位?

SCSの★4までの観点は、ほぼ全てISMSの要求事項に含まれます。それに対して、ISMSの要求事項には、★3や★4に含まれない観点が存在します。

その点で言えばISMSのほうが上位に思われますが、ISMSは各種情報セキュリティの観点は示されているものの、リスクベースでの活動を求めているため、あまり具体的な基準が示されていません。

したがいまして、ISMS認証を取得している組織であっても、漫然と取り組んでいると★3や★4の要求を満たしきれていないケースもあり得るので、どちらが上位であるとは言い切れません。

よくある質問Q&A

Q. セキュリティアクションとは何ですか?

中小企業自らが情報セキュリティ対策に取組むことを自己宣言する制度で、安全・安心なIT社会を実現するために創設されました。組織の取組目標に応じて一つ星と二つ星があります。

Q. セキュリティアクションは、個人事業主や小規模企業でも取り組めますか?

セキュリティアクションは、企業規模の制限は設けておらず、個人事業主、中小企業、団体等も取り組むことが可能です。

Q. 費用はどれくらいかかりますか?

自己宣言をする際には費用はかかりません。ただし、ウイルス対策ソフトを導入する等、条件を達成するための投資は必要となる場合があります。

Q. 一つ星とは何を意味していますか?

一つ星は、これから「情報セキュリティ6か条」に取り組むことを宣言するものです。情報セキュリティの対策を全くしていない、セキュリティについて何も知らないといった方向けです。

Q. 二つ星とは何を意味していますか?

二つ星は、「5分でできる!情報セキュリティ自社診断」と「情報セキュリティ基本方針」を策定し外部公開した上で、情報セキュリティ対策に取り組むことを宣言するものです。「多少なりとも情報セキュリティに取り組んできたけど、何となく取り組んできただけ・・・」という方にお奨めです。

Q. 情報セキュリティ基本方針とは何ですか?

「情報セキュリティ基本方針」とは、理念、指針、原則、目標等を表した「方針書」「宣言書」等のことです。IPA公式サイトのサンプルを使用するか、独自に策定して外部へ公開してください。また、既にISMSで要求されている基本方針を公開されている場合は、そちらが「情報セキュリティ基本方針」に該当するため、新たに作成する必要はありません。

Q. 一つ星の自己宣言をしていませんが、二つ星から始めても問題ないですか?

問題ありません。取得希望組織のレベルに応じて選択することが可能です。

Q. 自己宣言を申し込む際に準備しておくことはありますか?

一つ星、二つ星どちらを宣言するか決めた上で申込を実施します。基本的には対策実施前でも申し込むことができますが、二つ星は、外部へ公開が必要な方針等がありますので、申込後であってもそれらの策定と公開は必要です。

Q. 自己宣言に有効期間はありますか?

有効期限はありません。

Q. 会社の合併等で社名が変更となった場合は、自己宣言はそのまま引き継げますか?

引き継ぐことはできません。変更となる場合は、新しい社名で自己宣言をやり直す必要があります。

Q. 自己宣言を持続するために必要なことはありますか?

あくまで自社が情報セキュリティ対策に取り組むことを、外部に向けて宣言する制度のため特にはありません。但し、申込後は年に1回程度、自社診断を活用し、定期的に自社の情報セキュリティ対策状況を把握し、向上する計画を立て実施することが望ましいです。

Q. セキュリティアクションの申込からロゴマークを使用(申込完了)するまではどのような手続きが必要ですか?

IPAホームページ「SECURITY ACTION 自己宣言の申込方法」からお申し込みいただくことが可能です。取得希望企業が必要情報を入力し、申込手続き完了のメールを受信後にロゴマークが使用できます。なお、一つ星と二つ星のロゴマークを同時に使用することはできません。

Q. SCS評価制度とは何ですか?

SCS評価制度とは、★3、★4、★5に組み分けされている、サプライチェーンにおける企業の位置づけや想定リスク等を踏まえて求められるセキュリティ対策の水準を定め、企業の対応状況を可視化する制度です。既にセキュリティアクションの二つ星以上の対策ができている組織は取得を検討してもよいかもしれません。

ご相談やお見積りは、下記の電話番号、
もしくはメールフォームにて承っております。
お気軽にご相談ください。

03-3497-5070

受付時間:平日 9:00~18:00

メールフォーム