情報セキュリティ入門に最適!SECURITY ACTIONとは?

情報セキュリティ入門に最適!SECURITY ACTIONとは?
2024.12.26

情報セキュリティは年々重要になってきており、今まで情報セキュリティに取り組んで来なかった中小企業も取り組みを始める企業が増加しています。今から情報セキュリティに取り組む中小企業向けにIPA(情報処理推進機構)が推奨しているのが「SECURITY ACTION(セキュリティアクション)」です。このコラムではSECURITY ACTIONの解説とその取り組み方について解説します。

セキュリティ無料相談

目次

SECURITY ACTIONとは

「SECURITY ACTION※1」は、中小企業自らが情報セキュリティ対策に取り組むことを「自己宣言」する制度です。 基本的な対策に取り組む「一つ星宣言」と一つ星から一歩踏み込んだ対策を実践する「二つ星宣言」があります。いずれも取り組みやすいフレームワークとなっており、これらを実践することで企業は「SECURITY ACTION一つ星」または「SECURITY ACTION二つ星」を宣言することができます。 IPAが公開している「中小企業の情報セキュリティ対策ガイドライン※2」の中でもセキュリティ対策の初めのステップとして記載されています。

※1 SECURITY ACTION https://www.ipa.go.jp/security/security-action/
※2 中小企業の情報セキュリティ対策ガイドライン https://www.ipa.go.jp/security/guide/sme/about.html

SECURITY ACTIONを宣言するメリット

自社のセキュリティ強化のきっかけになる

SECURITY ACTIONを宣言し対策を実践することは、企業内で情報セキュリティに対する意識を高めるきっかけになります。IPAのアンケートによると、SECURITY ACTIONに取組んだ企業が感じた効果の一位は「経営層の情報セキュリティ対策に関する意識の向上」で23.0%、二位が「従業員による情報管理や情報セキュリティに関する意識の向上」で22.8%となっています。SECURITY ACTIONには対策製品の導入から経営層や社員のガバナンス強化まで様々な内容が含まれているため、会社全体でセキュリティ対策意識の向上も図ることができます。

取引先へのアピールになる

SECURITY ACTIONを宣言することで取引先に対し情報セキュリティに取り組んでいることをアピールできます。近年サプライチェーン企業を狙ったサイバー攻撃が増えていることもあり、取引先に対してセキュリティ対策の実施を求める企業が増加しています。そのような取引先へのアピールとしてもSECURITY ACTIONは有用です。一点だけ注意したいのは、この宣言は企業が自ら情報セキュリティに取り組んでいることを宣言するものでIPAや第三者が認定するものではありません。「SECURITY ACTION一つ星に認定」や「SECURITYACTION二つ星を取得」などの表現は正しくないため注意しましょう。

補助金の申請ができる

SECURITY ACTIONの宣言が補助金の申請条件となっているものがあります。これらの補助金を活用したい場合にはSECURITY ACTIONを宣言する必要があります。

  • IT導入補助金
  • ものづくり補助金(デジタル枠)
  • 事業継承、引継ぎ補助金(経営革新)
  • 地域医療介護総合確保基金を利用したICT導入支援事業による補助金(介護分野ICT化等事業費補助金)
  • 事業再構築補助金(サプライチェーン強靭化枠)
  • 地方自治体独自の補助金 など

補助金のために宣言をして効果があるのか?と疑問に思われる方がいるかもしれません。しかし、IPAの調査ではSECURITY ACTIONを宣言した理由の75.1%が補助金を申請するためと回答した一方で、宣言したことで何らかの情報セキュリティ対策効果があったと回答した企業は4割となっており、補助金を目的でSECURITY ACTIONに取り組んだが結果的に情報セキュリティの向上が図られているという結果が出ています

SECURITY ACTION一つ星

SECURITY ACTION一つ星は中小企業が最低限行うべき情報セキュリティ対策を5つに絞った「セキュリティ5か条」に取り組むものです。セキュリティ対策にまだ取り組んでいない企業はこの5か条に取り組むところから始めてみましょう。5か条で挙げられている項目はどれも基本的な内容ですぐ実践できるものとなっています。次の節では5か条の中身について解説します。

セキュリティ5か条 その1 OSやソフトウェアは常に最新の状態にしよう!

OSやソフトウェアの更新を怠るとセキュリティ上の欠陥が残ったままになるため、攻撃者にそこを突かれて不正アクセスされたり、ウイルス感染したりする原因になります。それを防ぐためには、OSやソフトウェアを常に最新の状態に保つ必要があります。OSやソフトウェアのバージョン管理は手作業でもできますが、管理する端末台数が増えるとその分だけ手間がかかります。この作業が大変だと感じている方はIT資産管理ソフトの導入がおすすめです。IT資産管理ソフトはバージョン管理を一元化することができるため管理の手間を減らすことができます。

セキュリティ5か条 その2 ウイルス対策ソフトを導入しよう!

近年ランサムウェアをはじめとしたウイルスによる被害が増えています。攻撃者の手口は巧妙化しており、どんなに気をつけていても感染してしまう可能性はあります。ウイルス対策ソフトを導入することで感染の予防と万が一感染した場合でもウイルスの駆除を行うことができます。

セキュリティ5か条 その3 パスワードを強化しよう!

弱いパスワードを使用していると攻撃者に簡単に推測や解析され不正にログインされる可能性があるため、強固なパスワードを使用しましょう。安全なパスワードの作り方は他のコラムで解説しています。

セキュリティ5か条 その4 共有設定を見直そう!

ネットワークストレージやネットワークカメラなどの共有設定を間違えると第三者からデータにアクセスされる可能性があります。特にネットワークカメラや複合機などのIoT機器は初期設定のまま使用されており、外部からアクセスが可能になっていることも多く注意が必要です。ネットワークに接続されている機器の設定を見直し、第三者が利用できる設定になっていないことを確認しましょう。

セキュリティ5か条 その5 脅威や攻撃の手口を知ろう!

サイバー攻撃の手口は日々進化しており、それを防ぐにはこちらも最新の手口や攻撃の情報を知ることが重要です。IPAなどのセキュリティ専門機関のWebサイトや、警察庁や経済産業省などの省庁が発刊する注意喚起情報を確認するなどで最新の攻撃情報を集めましょう。

SECURITY ACTION二つ星

SECURITY ACTION一つ星は社員や担当者がすぐにできる対策なのに対し、SECURITY ACTION二つ星は経営層も関わるガバナンスを含んだ内容になっています。二つ星は一つ星を宣言していなくても取り組むこともできるので自社のセキュリティ対策の状況や申請したい補助金の要件などによってどちらから取り組むか選択しましょう。二つ星で実践する内容は、「5分でできる!情報セキュリティ自社診断」と「情報セキュリティ基本方針の策定」です。まずは「5分でできる!情報セキュリティ自社診断」を行って自社のセキュリティ対策状況を把握します。それをもとに「情報セキュリティ基本方針」を決定し、外部に公開します。

5分でできる!情報セキュリティ自社診断

「5分でできる!情報セキュリティ自社診断」は25個の評価項目から自社のセキュリティの取り組み状況を把握するチェックシートを用いて行います。評価は大きく「基本的対策」「従業員としての対策」「組織としての対策」の3つに分かれています。これを行うことで自社のセキュリティ対策状況を可視化し、対策の弱い部分を発見することができます。 各評価項目の内容について簡単に紹介すると「基本的対策」はSECURITY ACTION一つ星のセキュリティ5か条を少し細かくした内容となっています。「従業員としての対策」では無線LANの暗号化設定のような技術的な対策と離席時のパソコンの画面の覗き見を防止するなどの人的対策もチェック項目に入っています。「組織としての対策」では従業員の管理や社内ルールなどガバナンスに関することのほか、クラウドサービスなどの外部サービスの選定に関することなどがチェック項目に入っています。記入は基本的には経営者又は情報システム担当や部門長などセキュリティ対策の実施状況がわかる人が行います。

情報セキュリティ基本方針

「情報セキュティ基本方針」とは、経営者が定めた情報セキュリティ対策に関する理念、指針、原則、目標等を表した「方針書」「宣言書」等のことです。企業のWebサイトで企業情報などとともに掲載されていることも多いので、見たことがある方もいると思います。情報セキュリティ基本方針を定めることは、自社のセキュリティ意識の向上と顧客や取引先からの信頼性向上につながります。内容としては、管理体制の整備や法令・ガイドラインの順守などが含まれます。前節の情報セキュリティ自社診断を行い、自社の状況を把握した上で事業や顧客の期待に沿った情報セキュリティ基本方針を策定しましょう。IPAから「情報セキュリティ基本方針(サンプル)※3」が公開されています。1から作るのが難しい方はこちらを参考に作成しましょう。

※3 IPA:中小企業の情報セキュリティ対策ガイドライン 「付録2:情報セキュリティ基本方針(サンプル)」https://www.ipa.go.jp/security/guide/sme/about.html

SECURITY ACTION自己宣言の申込方法

SECURITY ACTIONを宣言し、ロゴマークを使用するにはIPAのサイトより申請が必要です。申請の流れは以下のようになっており、5番目まで完了するとロゴマークをダウンロードして使用することができます。

  1. SECURITY ACTIONの取り組みを実施する
  2. 申込フォームから宣言の内容(一つ星 or 二つ星)や企業情報などを入力
    https://www.ipa.go.jp/security/security-action/entry/
  3. 申込受付メールの受信
  4. 自己宣言ID通知メールの受信
  5. ロゴマーク使用許可通知メールの受信

まとめ

このコラムでは情報セキュリティの入門として「SECURITY ACTION」について解説しました。情報セキュリティをこれから取り組む方は、まずSECURITY ACTION一つ星から初めてみることをお勧めします。 ALSOKではセキュリティの専門家が無料で相談を受け付けています。「ITに詳しい担当者がいない 」「何から始めればよいかわからない」などお悩みをお持ちの方はぜひ下記のURLからお問合せください。

セキュリティ無料相談