受付時間 9:00〜17:00(平日のみ)
文字サイズ
文字サイズ
「SECURITY ACTION」は中小企業自らが、セキュリティ対策に取り組むことを自己宣言する制度です。安全・安心なIT社会を実現するために、独立行政法人情報処理推進機構(IPA)によって創設されました。
SECURITY ACTIONの自己宣言企業数:40万社を突破(令和7年4月23日発表)
| ★一つ星 | 「情報セキュリティ5か条」に取り組むことを宣言 |
| ★★二つ星 | 「5分でできる!情報セキュリティ自社診断」で自社の情報を把握
②情報セキュリティ方針を策定 ③外部に公開したことを宣言 |
| 1.使用規約を確認 | 「ロゴマーク使用規約確認」にて規約を確認します。 |
| 2.必要事項を入力 | 「事業者情報入力」、「自己宣言入力」それぞれの画面で必要事項を入力します。 |
| 3.確認メールを受信 | 「自己宣言受付確認のお知らせ」メールを受信します。
メール本文中のURLを押します。 |
| 4.自己宣言IDのお知らせ | 「自己宣言完了のお知らせ」メールにて、ログインに利用する自己宣言IDをお知らせします。 |
| 5.ロゴマークダウンロード | 自己宣言完了後、1~2週間程度でロゴマークのダウンロードに必要な手順をメールでお知らせします。 |
| One Point |
| 取得時における注意点
「SECURITY ACTION」はセキュリティ対策状況などをIPAが認定するものではありません。「SECURITY ACTION」の取組に関してWebサイトなどにおいて次のような不適切な表現を使用されますと、第三者の誤解を生ずる可能性が懸念されますので、ご注意願います。 ×「一つ星(二つ星)の認定を受けました」「一つ星(二つ星)を取得しました」 〇「一つ星(二つ星)を宣言しました」 |
IPA.”SECURITY ACTION セキュリティ対策自己宣言”.
https://www.ipa.go.jp/security/security-action
経済産業省では、中小企業を含めたサプライチェーンにおけるセキュリティ対策の重要性を踏まえ、各企業のセキュリティ対策状況を可視化する仕組み(サプライチェーン強化に向けたセキュリティ対策評価制度)の構築を検討しています。各企業のサプライチェーンにおける重要性や影響度を踏まえ、求められるセキュリティ対策について区分を★3、★4、★5の3つに分けることを想定しています。先行する一つ星★1・二つ星★2(従来の SECURITY ACTION)はすでに運用中(IPA)です。★3〜★5 を含む 新たな評価制度(サプライチェーン強化セキュリティ評価制度)の開始は 2026年度(秋頃・10月頃)が検討され制度開始に向けて評価基準や運用方法の整備が進行中です。
| 詳細理解のため参考となる文献(参考文献) | |
| SECURITY ACTION セキュリティ対策自己宣言 | https://www.ipa.go.jp/security/security-action/ |
| サプライチェーン強化に向けたセキュリティ対策評価制度構築に向けた中間取りまとめ | https://www.meti.go.jp/press/2025/04/20250414002/20250414002.html |
「情報セキュリティ5か条」は、企業の規模に関係なく、重要なセキュリティ対策をまとめたものです。初めてセキュリティ対策に取り組む場合でも、実施しやすい内容となっています。情報セキュリティ5か条は、共通する基本的なセキュリティ対策をまとめたものであり、必ず実行することが重要です。
| 1.OSやソフトウェアは常に最新の状態にしよう!
OSやソフトウェアを古いまま放置していると、セキュリティ上の問題が解決されず、悪意のあるウイルスに感染してしまう危険性があるため、最新の状態にします。 |
|
| 対策: | ⚫︎ パソコンやルーターのソフトウェアやファームウェアを最新化します。
⚫︎ OSやソフトウェアアップデートを実行します。 |
| 2.ウイルス対策ソフトを導入しよう!
ID・パスワードを盗まれないようにウイルス対策ソフトを導入し、ウイルス定義ファイル(パターンファイル)は常に最新の状態になるようにします。 |
|
| 対策: | ⚫︎ ウイルス定義ファイルが自動更新されるように設定します。
⚫︎ 統合型のセキュリティ対策ソフトを導入します。 |
| 3.パスワードを強化しよう!
パスワードが推測や解析されたり、流出したID・パスワードが悪用されたりすることで、不正にログインされます。パスワードは長く、複雑に、使い回さないようにします。 |
|
| 対策: | ⚫︎ 同じID、パスワードを複数サービス間で使い回さないようにします。例として、10文字以上で「大文字」「小文字」「数字」「記号」を含めます。また、「名前」「電話番号」「誕生日」「簡単な英単語」等は使わず、推測できないようにします。 |
| 4.共有設定を見直そう!
データ保管等のWebサービスやネットワーク接続した複合機の設定を間違ったために、無関係な人に情報を覗き見られるトラブルが増えています。無関係な人が、Webサービスや機器を使うことができるような設定になっていないことを確認します。 |
|
| 対策: | ⚫︎ Webサービス、ネットワーク接続の複合機・カメラ等の共有範囲を限定します。
⚫︎ 従業員の異動や退職時には速やかに設定を変更(削除)します。 |
| 5.脅威や攻撃の手口を知ろう!
取引先や関係者と偽ってウイルス付きのメールを送る巧妙な手口が増えています。脅威や攻撃の手口を知って対策をとります。 |
|
| 対策: | ⚫︎ IPA等のセキュリティ専門機関のWebサイトやメールマガジンで最新の脅威や攻撃の手口を知ります。
⚫︎ インターネットバンキングやクラウドサービス等が提供する注意喚起を確認します。 |
(出典) IPA「情報セキュリティ5か条」をもとに作成
| 詳細理解のため参考となる文献(参考文献) | |
| 情報セキュリティ5か条 | https://www.ipa.go.jp/security/security-action/download/5point_poster.pdf |
「5分でできる!情報セキュリティ自社診断」を利用することで、自社のセキュリティ対策が、どれくらい実施できているかを把握できます。自社診断は、次ページに示す25項目の設問に答えるだけでセキュリティ対策の実施状況が把握できます。
| Part1 基本的対策
No.1~5は企業の規模や形態を問わず、必須の5項目です。いずれも一度行えば良いものではなく、継続的な実施が欠かせないため、運用ルールとして社内に定着させる必要があります。 |
| Part2 従業員としての対策
No.6~18は従業員として注目すべき項目です。重要情報を日々扱っていると慣れによる人為的ミスが発生しやすくなります。また、脅威が日々変化しているので、油断しないように注意する必要があります。 |
| Part3 組織としての対策
No.19~25は組織としての方針を定めた上で、実施すべきセキュリティ対策です。情報セキュリティのルールは明文化して社内で共有することにより、従業員の意識を高めるようにします。 |
経営者または情報システム担当や部門長など実施状況を把握している人が記入します。事業所が複数、部署が多いなど一人で記入することが難しい場合は、事業所、部署ごとに記入し、責任者・担当者が集計します。
設問ごとに、以下の点数をつけ、全項目の合計点で組織全体のセキュリティ対策実施状況を確認します。回答が「わからない」となっている項目を確認します。
| 項目 | 点数 |
| 実施している | 4点 |
| 一部実施している | 2点 |
| 実施していない | 0点 |
| わからない | -1点 |
| 合計得点 | 現在の状況 | 次の対策 |
| 100点満点 | 入門レベルのセキュリティ対策は達成 | さらに強化 |
| 70~99点 | 部分的な対策が不十分 | 100点満点への挑戦 |
| 50~69点 | 対策が不十分 | 低い項目から改善 |
| 49点以下 | 事故がいつ起きても不思議ではない | 早急に改善 |
(出典) IPA「 5分でできる!情報セキュリティ自社診断」をもとに作成
| 詳細理解のため参考となる文献(参考文献) | |
| 5分でできる!情報セキュリティ自社診断 | https://www.ipa.go.jp/security/sme/f55m8k0000001waj-att/000055848.pdf |
| No | 診断内容 | |
| 基本的対策 | 1 | パソコンやスマホ等情報機器のOSやソフトウェアは常に最新の状態にしていますか? |
| 2 | パソコンやスマホ等にはウイルス対策ソフトを導入し、ウイルス定義ファイルは最新の状態にしていますか? | |
| 3 | パスワードは破られにくい「長く」「複雑な」パスワードを設定していますか? | |
| 4 | 重要情報に対する適切なアクセス制限を行っていますか? | |
| 5 | 新たな脅威や攻撃の手口を知り対策を社内共有する仕組みはできていますか? | |
| 従業員としての対策 | 6 | 電子メールの添付ファイルや本文中のURLリンクを介したウイルス感染に気をつけていますか? |
| 7 | 電子メールやFAXの宛先の送信ミスを防ぐ取組みを実施していますか? | |
| 8 | 重要情報は電子メール本文に書くのではなく、添付するファイルに書いてパスワード等で保護していますか? | |
| 9 | 無線LANを安全に使うために適切な暗号化方式を設定する等の対策をしていますか? | |
| 10 | インターネットを介したウイルス感染やSNSへの書き込み等によるトラブルへの対策をしていますか? | |
| 11 | パソコンやサーバーのウイルス感染、故障や誤操作による重要情報の消失に備えてバックアップを取得していますか? | |
| 12 | 紛失や盗難を防止するため、重要情報が記載された書類や電子媒体は机上に放置せず、書庫等に安全に保管していますか? | |
| 13 | 重要情報が記載された書類や電子媒体を持ち出す時は、盗難や紛失の対策をしていますか? | |
| 14 | 離席時にパソコン画面の覗き見や勝手な操作ができないようにしていますか? | |
| 15 | 関係者以外の事務所への立ち入りを制限していますか? | |
| 16 | 退社時にノートパソコンや備品を施錠保管する等盗難防止対策をしていますか? | |
| 17 | 事務所が無人になる時の施錠忘れ対策を実施していますか? | |
| 18 | 重要情報が記載された書類や重要なデータが保存された媒体を破棄する時は、復元できないようにしていますか? | |
| 組織としての対策 | 19 | 従業員に守秘義務を理解してもらい、業務上知り得た情報を外部に漏らさない等のルールを守らせていますか? |
| 20 | 従業員にセキュリティに関する教育や注意喚起を行っていますか? | |
| 21 | 個人所有の情報機器を業務で利用する場合のセキュリティ対策を明確にしていますか? | |
| 22 | 重要情報の授受を伴う取引先との契約書には、秘密保持条項を規定していますか? | |
| 23 | クラウドサービスやWebサイトの運用等で利用する外部サービスは、安全・信頼性を把握して選定していますか? | |
| 24 | セキュリティ事故が発生した場合に備え、緊急時の体制整備や対応手順を作成する等準備をしていますか? | |
| 25 | 情報セキュリティ対策(上記1~24等)をルール化し、従業員に明示していますか? | |
(出典) IPA「 5分でできる!情報セキュリティ自社診断」をもとに作成
経営者が策定した情報セキュリティに関する基本方針を、従業員や関係者に伝達するために、簡潔な文書を作成する必要があります。基本方針の作成には、特定の書き方が定められているわけではありません。そのため、事業の特徴や顧客の期待などを考慮し、経営者と連携しながら、自社に適した基本方針を策定します。
基本方針は従業員の指針となり、関係者に対して取組を明示するためのものです。そのため、作成した文書は従業員や顧客などの関係者に周知する必要があります。
| 情報セキュリティ基本方針(サンプル)
株式会社○○○○(以下、当社)は、お客様からお預かりした/当社の/情報資産を事故・災害・犯罪等の脅威から守り、お客様ならびに社会の信頼に応えるべく、以下の方針に基づき全社で情報セキュリティに取組みます。
1.経営者の責任 当社は、経営者主導で組織的かつ継続的に情報セキュリティの改善・向上に努めます。
2.社内体制の整備 当社は、情報セキュリティの維持および改善のために組織を設置し、情報セキュリティ対策を社内の正式な規則として定めます。
3.従業員の取組み 当社の従業員は、情報セキュリティのために必要とされる知識、技術を習得し、情報セキュリティへの取組みを確かなものにします。
4.法令および契約上の要求事項の遵守 当社は、情報セキュリティに関わる法令、規制、規範、契約上の義務を遵守するとともに、お客様の期待に応えます。
5.違反および事故への対応 当社は、情報セキュリティに関わる法令違反、契約違反および事故が発生した場合には適切に対処し、再発防止に努めます。
制定日:20○○年○月○日 株式会社○○○○ 代表取締役社長 ○○○○ |
(出典) IPA「情報セキュリティ基本方針(サンプル)」をもとに作成
情報セキュリティ基本方針の記載項目例
セキュリティ管理体制の整備 / 法令・ガイドラインなどの遵守 / セキュリティ対策の実施 / 継続的改善など