中小企業を対象としたセキュリティ対策自己宣言「SECURITY ACTION（セキュリティ・アクション）」をご存じでしょうか。

　サイバー攻撃の脅威は、企業規模を問わず、だれにでも起き得る可能性があります。昨年から今年にかけても、出版大手のKADOKAWAの子会社が運営するニコニコ動画や飲料メーカー大手のアサヒグループホールディングスがサイバー攻撃の被害により、サービス停止に追い込まれました。

　いずれもランサムウェアへの感染が原因ですが、実はランサムウェア被害の割合は大企業よりも中小企業の方が多いのが現実です。しかも被害件数は拡大傾向にあり、警察庁への報告件数ベースで2024年は37％も増加しました（関連記事：「情報セキュリティ10大脅威2025」のポイントを探る」）。

　背景には、今のサプライチェーンを前提としたビジネスにあります。大企業ともなればセキュリティにかける予算もありサイバー攻撃に対する防御壁も高いといえます。そこで、サイバー犯罪者はITシステムでつながったターゲット企業の子会社や取引先を経由して標的企業を狙います。これは、セキュリティ障壁が低い関連企業は、標的企業に比べて侵入しやすいことが理由です。

　行政もサイバー攻撃対策としてセキュリティ体制の強化を進めており、2026年度から「サプライチェーン強化に向けたセキュリティ対策評価制度」をスタートさせます。サプライチェーンを構成する企業全体のセキュリティレベル向上を主目的としており、構成企業の中小企業にも影響します。

　とはいえ、これまでセキュリティ対策に体系的に取り組んでいなかった中小企業にとっては、なかなかハードルの高いものとなる可能性があります。そこで前段階として注目したい制度が、SECURITY ACTIONなのです。以下、制度概要を見ていきましょう。

段階を踏んでステップアップ

　SECURITY ACTIONとは、中小企業が情報セキュリティ対策に取り組むことを自己宣言する制度です。「安心・安全なIT社会を実現する」ことを目的に創設されました。

　セキュリティへの対策と同時に、ロゴマークを無料で使用できるなど、対外的なPRや顧客・取引先との信頼関係構築にもつながります。また、IT導入補助金のセキュリティ対策推進枠やものづくり補助金デジタル枠など、SECURITY ACTION宣言が申請要件とされている補助金もあります。

　この制度の特徴は、“自己宣言”であること。運用母体は独立行政法人情報処理推進機構（IPA）ですが、SECURITY ACTIONに取り組む企業の情報セキュリティ対策状況をIPAが認定するものではありません。あくまでも宣言である点は、取り組みやすさでもあり留意点でもあるしょう。

　自己宣言では、目標に応じて2つのステップ、「★（一つ星）」と「★★（二つ星）」があります。体系的なセキュリティ対策に取り組むのが初めてでも段階を踏んで進めることができ、一つ星からスタートして二つ星へとステップアップすることができます。

SECURITY ACTIONでは、取り組み段階に応じて2つのステップがあり、それぞれでロゴマークを使用できる（出典：IPAのSECURITY ACTION公式サイトより引用）

　2026年度から始まる前述のセキュリティ対策評価制度は、三段階（三つ星／四つ星／五つ星）のセキュリティレベルが想定されており、SECURITY ACTIONは同評価制度の前段階に相当する取り組みに位置付けられます。これにより、全5段階の評価制度となる予定です。

　この点からも、情報セキュリティ対策に取り組んだことのない中小企業、特にサプライチェーンを構成する企業はSECURITY ACTIONを宣言することでセキュリティ対策評価制度へとスムーズにつなげていくことができるのではないでしょうか。

最も基本的な「★（一つ星）」宣言

　ここからは、SECURITY ACTIONの「★（一つ星）」について見ていきましょう。★（一つ星）とは、企業や組織が取り組むべきセキュリティの最も基本的な対策のこと。別の見方をすれば、必ず取り組むべきものです。

　SECURITY ACTIONの★（一つ星）を宣言するには、具体的なセキュリティ対策として満たすべき項目があります。その指針となる資料が「中小企業の情報セキュリティ対策ガイドライン（関連記事：セキュリティ◎DX時代に中小企業や小規模事業者が倣うべき体系的教科書」です。

　同ガイドラインに付されている「情報セキュリティ5か条」に取り組むことが、「★（一つ星）」宣言では求められます。

SECURITY ACTIONの「★（一つ星）」宣言において取り組むべきセキュリティ対策の概要（出典：「中小企業の情報セキュリティ対策ガイドライン」付録1をもとに編集部で作成）

　記載された5項目は、いずれも基本的なことばかりです。最低限のセキュリティ対策として必ずといってよいほど言及される項目ですが、意外と見落とされていることも多いだけに、確実にチェックしましょう。

　例えば、「1：OSやソフトウェアは常に最新の状態にしよう！」や「ウイルス対策ソフトを導入しよう！」について、端末の管理漏れがないかどうかのチェックが必要です。社内に保管されている予備機やBYOD（業務に利用する個人所有端末）なども含めて端末資産管理を行い、OSやアプリケーションなどのアップデート状況をしっかりと確認することが求められます。

　また、「3：パスワードを強化しよう！」では、VPNやクラウドサービスなど対応すべきものが増えています。長く複雑にするなどパスワード自体を強化するのはもちろんですが、多要素認証などのさまざまな技術やサービスを用いた対策も検討したいところです。

　これら5項目の対策が済んだ、あるいはすでに同等のセキュリティ体制が整っている中小企業は、SECURITY ACTIONの「★（二つ星）」に取り組みます。

「★★（二つ星）」宣言で対外的に積極PR

　SECURITY ACTIONの「★★（二つ星）」を宣言するには、前述の情報セキュリティ5か条を実施したうえで、「5分でできる！情報セキュリティ自社診断」の実施と、「情報セキュリティ基本方針の策定／外部公開」が求められます。

　まず、「5分でできる！情報セキュリティ自社診断」は、中小企業の情報セキュリティ対策ガイドラインの付録3を使用します。同診断は25のチェック項目で構成されており、質問に回答することにより自社の情報セキュリティ対策状況を把握することが可能です。

　このツールにはチェック項目だけでなく、個々の項目に関する具体的な対策例が記載されています。対策が不十分な項目ついては、解説を参考に見直しや運用のルール化などに取り組むことが必要でしょう。

「5分でできる！情報セキュリティ自社診断」は、中小企業の情報セキュリティ対策ガイドラインの付録3として用意されている。全8枚の資料だ

　次いで、「情報セキュリティ基本方針の策定」を実施し、外部公開します。情報セキュリティ基本方針とは、情報セキュリティに関わる理念や指針、原則などを示した宣言書のことです。

　この宣言書は独自に策定してもよいですが、中小企業の情報セキュリティ対策ガイドラインの付録2として用意されている「情報セキュリティ基本方針（サンプル）」をベースに作成すると簡単です。サンプルは、Wordファイルで1枚なので、それほど負担とはなりません。

　策定した基本方針の外部公開については、「自社ウェブサイトへの掲載」「会社案内やパンフレットへの掲載」「その他の方法」が挙げられています。

　セキュリティ対策自己宣言において求められている内容は以上ですが、さらに踏み込んで情報セキュリティ対策を組織的な取り組みとするには、中小企業の情報セキュリティ対策ガイドライン付録4の「情報セキュリティハンドブック（ひな形）」を活用して、従業員が実行すべき社内ルールとして全社に周知するとよいでしょう。

　いずれにしても、中小企業の情報セキュリティ対策ガイドラインのステップ1とステップ2に取り組むことで、「★★（二つ星）」宣言への対応は万全です。

自己宣言には申し込みが必要

　セキュリティ対策自己宣言を実施し、SECURITY ACTIONのロゴマークを使用するには自己宣言の申し込みが必要です。公式サイト内の「自己宣言申込みフォーム」から手続きを行い、自己宣言ID通知とロゴマーク使用許諾通知をメールで受け取ります。

自己宣言の申込みフロー。申込みから通常1～2週間でロゴマークの使用が可能となる（出典：IPAのSECURITY ACYION公式サイトから引用）

　ロゴマーク使用許諾通知メールを受信した後、ダウンロードして自社のコーポレートサイトや名刺などに使うことができるようになります。また、ロゴマークの使用を申し込んだ事業者は、宣言事業者一覧に企業名が掲載されます。

　以上、SECURITY ACYIONの概要です。この制度は2017年4月にスタートして以降、8年目に突入しました。自己宣言した事業者数は40万件（2025年4月時点）を超えています。どこからセキュリティ対策に取り組めばよいか分からないという事業者にとっては入りやすいスキームだけに、自己宣言を検討する価値があるのではないでしょうか。

外部リンク