サイバー攻撃の対象は、大企業だけではありません。昨今では中小企業が標的となるケースも増えており、セキュリティ対策の重要性が高まっています。こうした背景から注目を集めているのが、IPAが推進する「セキュリティアクション」という制度です。
本記事では、セキュリティアクションの概要やメリット、具体的な導入手順まで詳しく解説します。制度を活用する際の注意点も紹介しますので、自社のセキュリティ対策を見直すきっかけとして、ぜひ参考にしてください。
IPAのセキュリティアクション(SECURITY ACTION)とは
セキュリティアクションとは、中小企業自らが情報セキュリティ対策に取り組むことを自己宣言する制度です。日本のIT施策を支える公的機関である、IPA(情報処理推進機構)によって創設されました。
安全・安心なIT社会を実現するために、中小企業が初歩的な対策から段階的に取り組めるよう設計されています。まずは、セキュリティアクションという制度の目的や対象者を把握しておきましょう。
制度の目的
セキュリティアクションが創設された目的は、中小企業における情報セキュリティ対策の普及と底上げです。
近年は、サプライチェーン(製品の開発から消費者に届くまでの供給網)の弱点を狙うサイバー攻撃が増加しています。セキュリティ対策が手薄になりがちな中小企業を踏み台にして、大企業へ侵入する手口です。
こうした被害を防ぐためには、規模を問わず、すべての企業がセキュリティ対策のレベルを引き上げる必要があります。その後押しとなるのが、セキュリティアクションです。
サプライチェーンのセキュリティについては、以下の記事で詳しく解説しています。あわせてお読みください。
サプライチェーンを狙う攻撃が増加中!企業が今すぐ始めるべきセキュリティ対策とは
制度の対象者
セキュリティアクションは業種や地域を問わず、幅広い事業者が対象です。中小企業はもちろん、小規模事業者や個人事業主など、情報システムを利用するすべての事業者が参加の対象となります。
また、制度への申し込みや利用にあたって費用はかかりません。無料で参加できるため、予算が限られている事業者でも手軽にセキュリティ対策の第一歩を踏み出せます。
中小企業のセキュリティ対策については、以下の記事で詳しく解説しています。あわせてお読みください。
中小企業こそ必須!セキュリティ対策の基本からポイントまで解説
セキュリティアクション(SECURITY ACTION)の取り組み目標
セキュリティアクションには、企業の取り組み状況に応じた2段階の目標が設定されています。ここでは、一つ星と二つ星のそれぞれの目標レベルについて見ていきましょう。
- ★一つ星(情報セキュリティ5か条の実践)
- ★★二つ星(情報セキュリティ基本方針の策定・公開)
★一つ星(情報セキュリティ5か条の実践)
一つ星は、IPAがまとめた「情報セキュリティ5か条」に取り組む初歩的な目標レベルです。具体的には、以下の5つの基本的な対策を実践します。
- OSやソフトウェアは常に最新の状態にしよう
- ウイルス対策ソフトを導入しよう
- パスワードを強化しよう
- 共有設定を見直そう
- 脅威や攻撃の手口を知ろう
出典:IPA「情報セキュリティ5か条」
特別な知識や大きな投資がなくても始めやすい、基本的なセキュリティ対策が中心です。これまでセキュリティ対策にあまりリソースをかけられなかった事業者や、これから本格的な対策を始める事業者は、まずこの段階から着実に進めるとよいでしょう。
★★二つ星(情報セキュリティ基本方針の策定・公開)
二つ星は、より高度なセキュリティ対策を目指す目標レベルです。一つ星のように具体的な対策内容が定められているわけではありません。自社にあわせた最適な「情報セキュリティ基本方針」を定め、外部へ公開することが要件となります。
情報セキュリティ基本方針とは、情報セキュリティに対する考え方やルールをまとめたものです。策定にあたっては、IPAが提供する「5分でできる!情報セキュリティ自社診断」を実施し、事前に現状を把握します。
情報セキュリティに対する考え方やルールを事業者が独自に確立することが求められる分、一つ星よりも高度な対策状況を示す宣言となります。
セキュリティアクション(SECURITY ACTION)を自己宣言するメリット
セキュリティアクションを自己宣言することは、事業者にさまざまなメリットをもたらします。ここでは、主な3つのメリットについて見ていきましょう。
- 社内のセキュリティ意識向上を図れる
- 対外的な信頼性向上につながる
- 各種補助金を利用しやすくなる
メリット①社内のセキュリティ意識向上を図れる
セキュリティアクションを自己宣言することで、社内のセキュリティ意識向上を図れます。自己宣言を通して、情報セキュリティ5か条や情報セキュリティ基本方針といった具体的な行動指針が明確になるためです。
行動指針が整理されると、従業員一人ひとりが日々の業務で意識すべきポイントを理解しやすくなります。たとえば、ソフトウェアの更新やパスワード管理、情報の取り扱いなど、基本的な対策を共通認識として持てるでしょう。
また、組織としてセキュリティ対策に取り組む姿勢を示すことで、教育やルール整備も進みやすくなります。結果として、個人任せになりがちな対策が組織的な取り組みへと変わり、全体のセキュリティ水準の底上げにつながります。
メリット②対外的な信頼性向上につながる
セキュリティアクションの自己宣言は、対外的な信頼性向上にも直結する取り組みです。制度に申し込むと、専用のロゴマークを無償で利用する権利を得られます。このロゴは、自社が情報セキュリティ対策に積極的であることの証です。
取得したロゴマークを名刺や自社サイト、パンフレットなどに掲示すれば、取引先や顧客に対して安心感を与えやすくなります。結果として、新規案件の獲得促進や既存顧客との関係強化につながるでしょう。
メリット③各種補助金を利用しやすくなる
セキュリティアクションの自己宣言は、資金調達の面でも有利に働きます。国や地方自治体が提供している、さまざまな補助金を利用しやすくなるためです。
たとえば、経済産業省が推進する「デジタル化・AI導入補助金(旧:IT導入補助金)」では、セキュリティアクションの一つ星または二つ星の宣言が必須要件です。ほかにも「ものづくり補助金」や「事業再構築補助金」など、幅広い補助金で要件や加点対象となります。
出典:IPA「SECURITY ACTIONを申請・加点要件としている補助金・助成金等の一覧」
補助金の獲得だけを目的とするのは、制度の本来の趣旨から外れます。しかし、セキュリティ対策と並行してデジタル化や業務改善も進めたい企業にとっては非常に魅力的です。費用負担を抑えつつ事業を成長させたい場合は、積極的な活用をおすすめします。
セキュリティアクション(SECURITY ACTION)の導入手順
セキュリティアクションの自己宣言は、Web上で完結するシンプルな手続きです。ここでは、申し込みからロゴマーク取得までの具体的な流れを4ステップで解説します。
- ステップ①自社のセキュリティ状況を確認する
- ステップ②取り組み目標を選択する
- ステップ③IPA公式サイトから自己宣言(申し込み)を行う
- ステップ④継続的な取り組みと改善を行う
ステップ①自社のセキュリティ状況を確認する
まずは、自社のセキュリティ対策がどこまで進んでいるか、状況を確認しましょう。具体的には「情報セキュリティ5か条」の内容がすべて守られているか、自社の現状と照らしてチェックします。
取り組み目標(一つ星・二つ星)を決めるうえでは、自社のセキュリティ状況が重要な判断材料です。以降の取り組み方針を誤らないよう、現状を正しく把握してください。
ステップ②取り組み目標を選択する
次に、自社のセキュリティ状況を踏まえて一つ星か二つ星かの取り組み目標を選択しましょう。どちらを選択するかによって、取り組みの難易度も進め方も変わってきます。
具体的な選択基準として、以下のいずれかに該当する場合は二つ星を選択するのが妥当といえます。いずれにも該当しない場合、まずは一つ星を選択しましょう。
- 「情報セキュリティ5か条」の内容がすべて守られている
- 申請予定の補助金がセキュリティアクションの二つ星を要件としている
- 情報セキュリティ基本方針を策定済みである(ISO27001(ISMS)認証を取得済みなど)
- 本格的な情報セキュリティ対策への意欲が高く、他社にもアピールしたい
自社の実態や目的にあった取り組み目標を設定することが大切です。
ステップ③IPA公式サイトから自己宣言(申し込み)を行う
続いて、IPAのWebサイトから自己宣言の申し込みを行いましょう。公式サイトの自己宣言申し込みフォームにアクセスし、画面の指示にしたがって手続きを進めます。
なお、2026年4月から申し込み方法が変更され、新たなシステムが導入されます。新システムを利用するためには、「GビズID(行政サービスなどにログインするための共通アカウント)」のプライムまたはメンバーのアカウントが必須です。
これから申し込みを検討している事業者は、事前にアカウントの発行手続きを済ませておくとスムーズでしょう。最新の情報は、IPAの公式サイトを確認してください。
ステップ④継続的な取り組みと改善を行う
自己宣言の申し込み後、しばらくするとロゴマーク使用許諾の通知メールが届きます。メールに従ってロゴをダウンロードすれば、名刺や自社サイト、パンフレットなどで活用できるようになります。
しかし、ロゴマークを取得して終わりではありません。セキュリティアクションの本質は、宣言した内容を自社の実務へ落とし込むことです。掲げた取り組み目標にあわせ、継続的なセキュリティ対策を進めましょう。
サイバー攻撃の手口やセキュリティ環境は、日々変化しています。定期的に自社の取り組みを見直し、新たな課題があれば改善していく姿勢が大切です。
セキュリティアクション(SECURITY ACTION)を活用する際の注意点
セキュリティアクションを正しく活用するために、2つの注意点を押さえておきましょう。
- 自己宣言しただけで終わりにしない
- ロゴマークはルールを守って活用する
注意点①自己宣言しただけで終わりにしない
セキュリティアクションの自己宣言自体に、有効期限はありません。裏を返せば、宣言した状態を継続的に維持する責任があるということです。自己宣言しただけで終わりにせず、実態のともなった対策を続けなければなりません。
ロゴマークを外部へ掲示している以上、その宣言に反しない取り組みが求められます。定期的な自社診断の実施や、従業員への教育を欠かさず行う姿勢が大切です。セキュリティ対策を形骸化させないよう、社内体制を整えておきましょう。
注意点②ロゴマークはルールを守って活用する
セキュリティアクションのロゴマークには、IPAが定めた一定の使用規約があります。ロゴマークを活用する際には、このルールをしっかりと守らなければなりません。
たとえば、ロゴマークの縦横比の変更や、色の変更などの変形は禁止されています。また、IPAが自社の製品やサービスを保証していると誤認させるような表示も認められていません。使用規約を事前に確認し、適切な利用を心がけましょう。
出典:IPA「SECURITY ACTION ロゴマーク使用規約(自己宣言事業者)」
まとめ
セキュリティアクションは、中小企業が無理なく情報セキュリティ対策を始められる有効な制度です。自己宣言を通して社内のセキュリティ意識向上を図れるだけでなく、対外的な信頼性向上や各種補助金の要件達成などにも役立ちます。
制度への参加に費用はかからず、専用のWebサイトから簡単に申し込みが可能です。まずは自社の現状を正しく把握し、一つ星の宣言から対策を始めてみてはいかがでしょうか。