「セキュリティアクション」セキュリティ対策の自己宣言とは

最終更新日:2021年04月19日

セキュリティアクションとは何か

「SECURITY ACTION」とは安全・安心なIT社会を実現するためにIPA(情報処理推進機構)が創設した、中小企業自らが、情報セキュリティ対策に取組むことを自己宣言する制度です。

この制度のポイントは、IPAが認定するのではなく、自己宣言するという点です。

そのため、「IPAのSECURITY ACTIONとは?」※のページには、注意事項として、「SECURITY ACTION」は情報セキュリティ対策状況等を、IPAが認定するものではありません。と記載があります。

つまり、IPAで「あなた会社は、ちゃんとセキュリティ対策をしていると、IPAが認めましたから、星をあげますよ。」という認定のシステムではなく自社ではセキュリティ対策のための行動を起こしますと宣言するというアクションを起こすことが、セキュリアクションなのです。

SECURITY ACTIONとは?

SECURITY ACTIONの詳細

SECURITY ACTIONは取組み目標に応じて「★一つ星」と「★★二つ星」のロゴマークがあります。

★一つ星のロゴマーク

「★一つ星」のロゴマークは中小企業の情報セキュリティ対策ガイドライン付録の「情報セキュリティ5か条」に取組むことを宣言した中小企業等であることを示すロゴマークです。

★★二つ星のロゴマーク

「★★二つ星」のロゴマークは中小企業の情報セキュリティ対策ガイドライン付録の「5分でできる!情報セキュリティ自社診断」で自社の状況を把握したうえで、情報セキュリティ基本方針*1を定め、外部に公開したことを宣言した中小企業等であることを示すロゴマークです。

セキュリアクションの進め方

進め方は、「取り組み目標を決める」、「自己宣言する」、「ステップアップする」という流れです。

それぞれに少し違いがありますので、詳しく説明していきます。SECURITY ACTION新規申込み手順書の資料もありますのでご参照ください。

参考資料
SECURITY ACTION新規申込み手順書 2021年4月 独立行政法人情報処理推進機構(IPA)セキュリティセンター

「★一つ星」ロゴマークを使用するための取り組み目標について

「★一つ星」ロゴマークを使用するには、中小企業の情報セキュリティ対策ガイドライン付録の「情報セキュリティ5か条」※1に取り組むこととあります。

情報セキュリティ5か条は以下の通りです。(IPAの「中小企業の情報セキュリティ対策ガイドラインの引用について」※2の内容に基づき、掲載内容をそのまま記載します。)

1.OSやソフトウェアは常に最新の状態する
OSやソフトウェアを古いまま放置していると、セキュリティ上の問題点が解消されず、それを悪用したウイルスに感染してしまう危険性があります。お使いのOSやソフトウェアには、修正プログラムを適用する、もしくは最新版を利用するようにしましょう。

対応例:
・Windows OSの場合 Windows Update
・Mac OSの場合 ソフトウェア・アップデート
・Androidの場合

 OSバージョンアップ
・Adobe Flash Player/Adobe Reader/Java実行環境(JRE)など利用中のソフトウェアを最新版にする。

2.ウイルス対策ソフトを導入しよう!
ID・パスワードを盗んだり、遠隔操作を行なったり、ファイルを勝手に暗号化するウイルスが増えています。ウイルス対策ソフトを導入し、ウイルス定義ファイル(パターンファイル)は常に最新の状態になるようにしましょう。

対応例:
・ウイルス定義ファイルが自動更新されるように設定する。
・統合型のセキュリティ対策ソフト(ファイアウォールや脆弱性対策など統合的な機能を搭載したソフト)の導入を検討する。

3.パスワードを強化しよう!
パスワードが推測や解析されたり、ウェブサービスから流出したID・パスワードが悪用されたりすることで、不正にログインされる被害が増えています。パスワードは「長く」、「複雑に」、「使いまわさない」ようにして強化しましょう。
対応例:
・パスワードは英数字記号含めて、10文字以上にする
・名刺、電話番号、誕生日、簡単な英単語はパスワードに使わない
・同じID・パスワードをいろいろなウェブサービスで使い回さない

4.共有設定を見直そう!
データ保管などのウェブサービスやネットワーク接続した複合機の設定を間違ったために、無関係な人に情報を覗き見られるトラブルが増えています。無関係な人が、ウェブサービスや機器を使うことができるような設定なっていないことを確認しましょう。

対応例:
・ウェブサービスの共有範囲を限定する
・ネットワーク接続の複合機やカメラ、ハードディスク(NAS)などの共有範囲を限定する
・従業員の移動や退職時に設定の変更(削除)漏れがないように注意する

5.脅威や攻撃の手口を知ろう!
取引先や関係者と偽ってウイルス付のメールを送ってきたり、正規のウェブサイトに似せた偽サイトを立ち上げてID・パスワードを盗もうとする巧妙な手口が増えています。脅威や攻撃の手口を知って対策をとりましょう。

対応例:
・IPAなどのセキュリティ専門機関のウェブサイトやメールマガジンで最新の脅威や攻撃を手口を知る
・利用中のインターネットバンキングやクラウドサービスなどが提供する注意喚起を確認する。

※1IPA 情報セキュリティ五か条

※2中小企業の情報セキュリティ対策ガイドライン 中小企業の情報セキュリティ対策ガイドラインの引用について

「★★二つ星」ロゴマークを使用するための取り組み目標について

「★★二つ星」ロゴマークを使用するには、中小企業の情報セキュリティ対策ガイドライン付録の「5分でできる!情報セキュリティ自社診断」※1で自社の状況を把握したうえで、情報セキュリティ基本方針を定め、外部に公開することとなっています。

「5分でできる!情報セキュリティ自社診断」は資料内にある診断表、もしくは、情報セキュリティ対策支援サイト※2から診断が可能です。

この情報セキュリティ自社診断は、25の質問をもとに採点します。この診断はPart1基本的対策、Part2従業員としての対策、Part3組織としての対策に分かれています。

また、診断について、それぞれのPartの解説が書かれています。
自社診断を元に、基本方針を決めていきましょう。

※1IPA 5分でできる!情報セキュリティ自社診断
※2 情報セキュリティ対策支援サイト

自己宣言をする

取り組み目標が決定したら、次は自己宣言を行うことになります。自己宣言を行うと、以下のことができます。

・SECURITY ACTION ロゴマークをポスター、パンフレット、名刺、封筒、会社案内、ウェブサイト等に表示して、自らの取組みをアピールすることができます。
・情報セキュリティへの取組みを宣言している中小企業等としてSECURITY ACTIONのウェブサイトに掲載されます。

自己宣言は「SECURITY ACTION自己宣言のTOP」※ページから申し込みを行います。流れは以下の通りです。

情報セキュリティ対策支援サイト SECURITY ACTION自己宣言 《TOP》

SECURITY ACTION 自己宣言事業者の申込方法

1.使用規約を確認
「ロゴマーク使用規約確認」にて規約をご確認ください。
2.必要事項を入力
「事業者情報入力」、「自己宣言入力」それぞれの画面で必要事項をご入力ください。
3.確認メールを受信
「自己宣言受付確認のお知らせ」メールをお送りします。メール本文中のURLを押してください。
4.自己宣言IDのお知らせ
「自己宣言完了のお知らせ」メールにて、ログインに利用する自己宣言IDをお知らせします。
5.ロゴマークダウンロード
自己宣言完了後、1~2 週間程度でロゴマークのダウンロードに必要な手順をメールでお知らせします。

ステップアップする

「★一つ星」から始めた中小企業等は、情報セキュリティをさらに向上させるために「★★二つ星」にステップアップしましょう。

「★★二つ星」から始めた中小企業等は、情報セキュリティをさらに有効にするために情報セキュリティ規程の策定および、規程の継続的な見直しによる新たな脅威等への対応を実施します。

SECURITY ACTIONがIT導入補助金の申請要件として必要に

IT導入補助金2021の公募要領では、申請要件として「★ 一つ星」または「★★ 二つ星」いずれかのセキュリアクション宣言を行うこととなっています。※

昨今のセキュリティ対策に関しての状況から考えると、2022年以降も同要件が盛り込まれていく可能性が高いかと思いますので、IT導入補助金を申請しようとされている個人事業者や、企業の方はSECURITY ACTIONの宣言について積極的に取り組むことをお勧めいたします。

SECURITY ACTION IT導入補助金の申請要件になりました



Industlinkに登録されているサイバーセキュリティのソリューションや企業情報はこちらから

企業一覧
ソリューション一覧
◆無料で学べるITセミナー動画
Industlinkの姉妹サイトIndustlink Collegeで先端IT利活用促進事業で開催したセミナー動画が無料で観れます!この機会に、Industlink Collegeへ登録しませんか?
※会員登録、視聴はすべて無料です。
Industlink Collegeはこちら

事務局への無料相談を実施中

「数あるソリューションのなかでどれが自社に最適か?選びきれない」などとお悩みの方へ。
沖縄県から委託をうけた事務局が中立的な立場でご相談に対応いたします。お気軽にご相談ください。