「サプライチェーン強化に向けたセキュリティ対策評価制度(★3)が2026年度末に始まるらしい。取引先から求められる前に何か準備しておきたい。でも何から手をつければいいか分からない。」
この状態にある経営者・担当者に、今日すぐできることがあります。
SECURITY ACTION(セキュリティアクション)の★1・★2への取り組みです。費用はゼロ。審査はありません。IPAの公式サイトから申し込めば今日中に完了します。
重要なのは、★1・★2は「宣言すること」が目的ではありません。自社のセキュリティ現状を確認する機会として使うことが、★3対応の第一歩になります。
本記事では、SECURITY ACTIONの★1・★2の手順と、それを★3への準備として活用する方法を解説します。
この記事でわかること
- SECURITY ACTIONとは何か(費用・審査・制度の位置づけ)
- ★1と★2の違いと今日始める手順
- 情報セキュリティ5か条の具体的な内容
- ★2の自社診断・基本方針の作り方
- ★3対応への接続として活用する方法
SECURITY ACTIONとは何か|費用ゼロ・審査なしの自己宣言制度
SECURITY ACTIONは、IPA(独立行政法人情報処理推進機構)が運営する中小企業向けの情報セキュリティ自己宣言制度です。
3つの特徴:
費用はゼロです。申し込みから宣言後のロゴマーク利用まで一切費用がかかりません。審査はありません。IPAがセキュリティ対策の状況を認定する制度ではなく、企業が自らの取り組みを宣言する制度です。今日始められます。申し込みフォームへの入力から完了まで15分程度です。
★1・★2とSCS評価制度(★3・★4)の関係:
| 段階 | 制度 | 費用 | 審査 |
|---|---|---|---|
| ★1・★2 | SECURITY ACTION(自己宣言) | 無料 | なし |
| ★3・★4 | SCS評価制度 | 有料 | 専門家確認・第三者審査 |
★1・★2はSCS評価制度とは別の制度です。★1・★2を取得したからといって★3が取れるわけではありません。しかしIPAは★1・★2をSCS評価制度への取り組みの前段として位置づけており、現状把握の入口として機能します。
補助金との関係: IT導入補助金をはじめとする一部の補助金では、SECURITY ACTIONの宣言が申請要件になっています。補助金申請を検討している場合は★1・★2を先に宣言しておくことで要件をクリアできます。
SECURITY ACTION★1・★2の違いと選び方
| 項目 | ★1(一つ星) | ★2(二つ星) |
|---|---|---|
| 要件 | 情報セキュリティ5か条に取り組む | 5か条+自社診断+基本方針の策定・公開 |
| 所要時間 | 数時間〜1日 | 数日〜1週間 |
| 難易度 | 低い(今日できる) | やや高い(方針の文書化が必要) |
| 対外的なアピール度 | 基本レベル | 組織的な取り組みを示せる |
どちらから始めるか: セキュリティ対策に初めて取り組む場合は★1から始めます。★1の5か条に取り組んだ上で自社の現状が把握できたら★2にステップアップする順序が自然です。既にある程度の対策が整っている場合は★2から始めても問題ありません。
SECURITY ACTION★1のやり方|情報セキュリティ5か条
★1で取り組む「情報セキュリティ5か条」
★1を宣言するには、以下の5か条に取り組むことを宣言します。
1条:OSやソフトウェアを最新の状態にする パソコン・サーバー・スマートフォンのOSとソフトウェアのアップデートを適用します。古いバージョンには脆弱性があり、攻撃者に悪用されるリスクがあります。自動更新を有効にするだけで対応できます。
2条:ウイルス対策ソフトを導入する 全端末にウイルス対策ソフトを導入し、常に最新の状態に保ちます。既に導入済みの場合は定義ファイルが更新されているかを確認します。
3条:パスワードを強化する 使い回しをやめ・推測されにくいパスワードを設定します。複数のサービスで同じパスワードを使っている場合は変更が必要です。パスワードマネージャーの活用も有効です。
4条:共有設定を見直す 社内ネットワークやクラウドストレージの共有設定を確認します。不要な共有を解除し、必要な人だけがアクセスできる状態にします。退職者のアカウントが残っていないかも確認します。
5条:脅威や攻撃の手口を知る 不審なメール・偽サイト・フィッシング詐欺などの手口を社員に周知します。「怪しいメールのリンクをクリックしない」という基本的な知識を全社員が持っている状態にします。
★1の申し込み手順
- IPA公式の「一つ星」を宣言するページにアクセスする
- 個人情報の取扱いへの同意・事業者情報を入力する
- 「★一つ星」を選択して送信する
- 1〜2週間程度でロゴマークのダウンロードが可能になる
申し込み前に5か条を実施している必要はありません。「取り組むことを宣言する」制度のため、申し込みと並行して5か条への取り組みを始めることができます。むことを宣言する」制度のため、申し込みと並行して5か条への取り組みを始めることができます。
SECURITY ACTION★2のやり方|自社診断と基本方針の策定
★2で追加で取り組むこと
★2は★1の5か条に加えて2つが必要です。
①「5分でできる!情報セキュリティ自社診断」の実施 IPAが提供する25項目のチェックシートです。自社のセキュリティ対策状況を確認できます。チェック項目には対策例も記載されているため、不足している対策を把握する機会として使えます。この診断が★3の26項目との現状ギャップを把握する起点になります。
②情報セキュリティ基本方針の策定と外部公開 「自社の情報セキュリティに関する基本的な考え方・方針」を1枚の文書にまとめて自社サイトや会社案内に掲載します。IPAがWordファイルのサンプルを公開しており、会社名・日付・代表者名を変更するだけで完成します。独自に作成する必要はありません。
★2の申し込み手順
- IPAの「5分でできる!情報セキュリティ自社診断」を実施する
- IPAのサンプルを使って情報セキュリティ基本方針を作成する
- 自社サイト・会社案内・パンフレット等に掲載して外部公開する
- IPA公式の「二つ星」を宣言するページから「★二つ星」を選択して申し込む
SECURITY ACTION★1・★2を★3への準備として活用する
宣言して終わりにしないための使い方があります。
5か条は★3の26項目と重なる
★1の5か条と★3の26項目を照合すると、重複する部分があります。
| 5か条 | ★3の対応項目 |
|---|---|
| OSやソフトウェアを最新に | 4-4-4(セキュリティパッチ・アップデートの手続) |
| ウイルス対策ソフトの導入 | 4-4-5(マルウェア感染からの保護) |
| パスワードの強化 | 4-1-5・4-1-6(パスワード設定・管理ルール) |
| 共有設定の見直し | 4-1-7(アクセス権の管理ルール) |
| 脅威・手口を知る | 4-2-2(セキュリティインシデント発生時の教育・訓練) |
5か条に取り組む過程で「うちは既にできている・できていない」を確認することが、★3の26項目のうち自社の現状ギャップを把握する最初の一歩になります。
自社診断は★3のギャップ分析として使える
★2の「5分でできる!情報セキュリティ自社診断」の25項目は、★3の26項目と設計思想が近い。診断で「対応できていない」と分かった項目は、★3取得に向けて優先的に対応すべき項目の候補になります。
セキュリティ対策評価制度が中小企業に与える影響でも整理していますが、★3の申請受付は2026年度末頃に開始予定です。今からSECURITY ACTIONで現状を把握しておくことで、★3取得に向けた準備期間を確保できます。
まとめ|SECURITY ACTIONは今日始める理由がある
★3への対応を来年急に求められたとき、ゼロから始めると時間と費用がかかります。SECURITY ACTIONの★1・★2は、その準備を今日・無料・審査なしで始められる唯一の入口です。
セキュリティ対策を何から始めるかでも整理していますが、完璧な対策より始めることが先です。5か条の確認から始めるだけで「自社は何ができていて・何ができていないか」が見えてきます。
今日できることは一つです。IPAの「SECURITY ACTION自己宣言申込みフォーム」にアクセスして★1の申し込みを完了させる。15分でできます。宣言した後に5か条を一つずつ確認していくことが、★3対応への最初の一歩になります。
コメント