目次
SECURITY ACTION宣言とは
SECURITY ACTION宣言は、経済産業省所管のIPAが運営する、企業が自らの情報セキュリティ対策への取り組みを対外的に宣言する制度です。宣言には一つ星と二つ星の2段階があり、企業は自社の対策レベルや経営方針に応じていずれかを選択できます。ここでは、SECURITY ACTION宣言の概要について説明します。
SECURITY ACTION宣言の目的と背景
SECURITY ACTION宣言が創設された背景には、中小企業を含むサプライチェーン全体でのセキュリティ対策の底上げが必要という認識があります。従来、情報セキュリティ対策は大企業を中心に進められてきましたが、サプライチェーン攻撃の増加により、取引先企業や協力会社を含めた包括的な対策が不可欠となりました。
SECURITY ACTION宣言は、こうした状況を踏まえ、企業が最低限実施すべきセキュリティ対策を明確化し、自己宣言を通じて対外的な信頼性を確保するための仕組みとして機能しています。この宣言は、企業がセキュリティ対策への取り組み姿勢を明示するだけでなく、取引先からの要求や補助金申請の要件を満たすための実務的なツールとしても活用されています。
IPAによる運営と制度の信頼性
SECURITY ACTION宣言は、経済産業省所管の独立行政法人であるIPAが運営しています。IPAは、日本における情報セキュリティ対策の推進や人材育成、脆弱性情報の収集・公開など、国内のサイバーセキュリティ政策において中心的な役割を担う機関です。
このため、SECURITY ACTION宣言は単なる民間の認証制度ではなく、国が推進する情報セキュリティ施策の一環として位置づけられています。企業がこの宣言を取得することは、国が定める基準に沿ったセキュリティ対策を実施していることの証明となり、取引先や金融機関、補助金審査機関などから高い信頼を得られる要因となります。
対象となる企業と業種
SECURITY ACTION宣言は、業種や企業規模を問わず、あらゆる事業者が取得可能です。特に、中小企業や個人事業主など、専任のセキュリティ担当者を置くことが難しい組織にとって、最低限のセキュリティ対策を明確化し、対外的にアピールできる有効な手段となります。
製造業、建設業、サービス業、IT業、医療・福祉など、業種を問わず幅広い企業が宣言を行っています。また、取引先から情報セキュリティ対策の実施状況を問われるケースが増加しており、取引継続や新規取引の条件として宣言を求められる事例も増えています。SECURITY ACTION宣言は企業規模や業種を問わず、すべての事業者が自社のセキュリティ対策状況を可視化し、対外的な信頼を獲得するための有効な手段として広く活用されています。
一つ星・二つ星の違いと対策内容
SECURITY ACTION宣言には、「一つ星」と「二つ星」の2つのレベルが設定されています。それぞれのレベルは、企業が実施すべきセキュリティ対策の範囲や深さが異なり、自社の現状や取引先からの要求、経営方針に応じて選択できます。まずは、一つ星と二つ星それぞれの定義と、具体的にどのような対策が求められるのかを理解することが重要です。以下では、両者の違いと対策内容について詳しく解説します。
一つ星の概要と基本対策
一つ星は、IPAが公開している「情報セキュリティ5か条」を実施することを宣言するレベルです。この5か条は、企業が最低限実施すべき基本的なIT対策を示しており、専門的な知識がなくても取り組みやすい内容となっています。
情報セキュリティ5か条には、OSやソフトウェアの最新化、ウイルス対策ソフトの導入、パスワードの強化、共有設定の見直し、脅威や攻撃の手口を知ることが含まれており、これらの対策を実施することで基本的なセキュリティレベルを確保できます。一つ星は、セキュリティ対策の第一歩として位置づけられており、特に中小企業や個人事業主にとって取り組みやすい内容です。
二つ星の概要とガバナンス強化
二つ星は、一つ星の対策に加えて、IPAが公開している「5分でできる!情報セキュリティ自社診断」を実施し、その結果を踏まえた対策を講じることを宣言するレベルです。この自社診断は、企業のセキュリティ対策状況を25項目にわたって自己評価するツールであり、組織的な取り組みや経営層の関与を含む包括的な対策が求められます。
二つ星では、技術的な対策だけでなく、情報セキュリティポリシーの策定、従業員への教育・訓練、インシデント発生時の対応体制の整備など、ガバナンスレベルでの対策が重視されます。このため、経営層が情報セキュリティを経営課題として認識し、組織全体で対策を推進する体制が求められます。
一つ星と二つ星の比較と選択基準
一つ星と二つ星は、対策の範囲と深さが異なりますが、どちらのレベルから取得しても構いません。企業は、自社の現状や取引先からの要求、今後の事業展開を踏まえて、適切なレベルを選択することが重要です。
一つ星は、セキュリティ対策の基礎を固めたい企業や、まずは対外的に取り組み姿勢を示したい企業に適しています。一方、二つ星は、取引先から高度なセキュリティ対策を求められている企業や、将来的にサプライチェーン強化に向けたセキュリティ対策評価制度の上位レベルを目指す企業に適しています。
- 一つ星:基本的なIT対策を実施し、対外的な信頼性を確保したい企業
- 二つ星:組織的なガバナンス体制を整備し、より高度なセキュリティレベルを示したい企業
- 取引先からの要求:取引先が求めるレベルに応じて選択
- 補助金申請:補助金の要件として二つ星が求められる場合がある
このように、一つ星と二つ星の違いを理解し、自社の状況に応じて適切なレベルを選択することが、SECURITY ACTION宣言を効果的に活用する第一歩となります。
SECURITY ACTION宣言の取得手順
SECURITY ACTION宣言は、IPAが運営する専用のWebサイトから、企業が自ら申請を行う自己宣言制度です。申請手続きは比較的簡単で、専門的な知識がなくても取り組みやすい設計となっています。ここでは、宣言の取得に必要な具体的な手順と、申請後に利用できるロゴマークの活用方法について解説します。
申請方法と必要な情報
SECURITY ACTION宣言の申請は、IPAの専用Webサイトにアクセスし、必要事項を入力することで完了します。申請にあたっては、企業名、所在地、代表者名、連絡先などの基本情報と、宣言するレベル(一つ星または二つ星)を選択する必要があります。
申請は数分程度で完了し、申請後すぐに宣言が受理されるため、企業はすぐにSECURITY ACTION宣言取得企業としてロゴマークを利用できます。ただし、宣言内容に虚偽がある場合や、実質的な対策を実施していない場合は、宣言の取り消しや企業名の公表などのペナルティが科される可能性があるため、誠実な申請が求められます。
申請手続きは無料で、第三者による監査や審査は不要です。ただし、宣言内容に応じた実質的な対策を実施していることが前提となります。
ロゴマークの利用と対外的なアピール
SECURITY ACTION宣言を取得した企業は、IPAが提供する専用のロゴマークを使用できます。このロゴマークは、企業のWebサイト、名刺、パンフレット、提案資料などに掲載することで、取引先や顧客に対して情報セキュリティ対策への取り組みを視覚的にアピールできます。
ロゴマークには一つ星用と二つ星用の2種類があり、取得したレベルに応じて使い分けます。特に、取引先からセキュリティ対策の実施状況を問われる際に、ロゴマークを提示することで、自社が国の基準に沿った対策を実施していることを簡潔に証明できます。また、ロゴマークの使用により、企業のブランドイメージや信頼性向上にも寄与します。
宣言後の更新と継続的な対策
SECURITY ACTION宣言は、一度申請すれば永続的に有効というわけではなく、毎年の更新手続きが必要です。更新手続きは、前年と同様に専用Webサイトから行い、引き続き宣言内容に沿った対策を実施していることを確認します。
また、宣言後も継続的にセキュリティ対策を改善・強化することが重要です。サイバー攻撃の手口は日々進化しており、一度対策を実施したからといって安心できるものではありません。定期的に自社のセキュリティ対策状況を見直し、必要に応じて一つ星から二つ星へのレベルアップや、後述するサプライチェーン強化に向けたセキュリティ対策評価制度の上位レベルへの移行を検討することが推奨されます。
| 手順 | 内容 | 所要時間 |
|---|---|---|
| 1. 専用サイトにアクセス | IPAのSECURITY ACTION専用サイトを開く | 1分 |
| 2. 必要事項の入力 | 企業情報、宣言レベルを入力 | 3〜5分 |
| 3. 申請完了 | 申請内容を確認し送信、即座に受理 | 1分 |
| 4. ロゴマークの利用 | 提供されたロゴをダウンロードし、各種媒体に掲載 | 随時 |
| 5. 毎年の更新 | 年1回、更新手続きを実施 | 3〜5分 |
このように、SECURITY ACTION宣言の取得手順は非常にシンプルであり、企業が手軽に情報セキュリティ対策への取り組みを対外的に示せる仕組みとなっています。
まとめ
SECURITY ACTION宣言は、企業が情報セキュリティ対策への取り組みを対外的に示すための自己宣言制度であり、サプライチェーン全体でのセキュリティ水準向上を目指す重要な施策です。一つ星と二つ星の2段階があり、企業は自社の状況や取引先の要求に応じて適切なレベルを選択できます。申請手続きは簡単で無料であり、取得後はロゴマークを活用して取引先や顧客に対して信頼性をアピールできます。
2026年から本格運用されるサプライチェーン強化に向けたセキュリティ対策評価制度では、SECURITY ACTION宣言が初期段階として位置づけられており、企業が上位レベルを目指すための基盤となります。取引先選定の基準が厳格化する中、宣言の有無は取引継続や新規取引の条件を左右する重要な要素となっており、補助金申請の要件としても活用されています。
サプライチェーンセキュリティが企業経営における新常識となる中、今こそSECURITY ACTION宣言取得に向けた具体的なアクションを起こすべき時です。
