制度活用でお得マネジメント（第2回）中小企業の自己宣言「SECURITY ACTION」

公開日：2018.05.30

ボタンをクリックすることで、Myクリップ一覧ページに追加・削除できます。追加した記事は、「Myクリップ」メニューからいつでも読むことができます。なお、ご利用にはBiz Clipに会員登録（無料）してログインする必要があります。

　企業のIT活用とセキュリティ対策は不可分だ。例えばある大手メーカーは、パートナー企業の選定において、セキュリティ対策を重視する。つまり、セキュリティ対策に積極的に取り組み、安心して取引が行える企業であるとアピールすれば、取引先から信頼される可能性が高まる。

　中小企業が「セキュリティ対策に取り組んでいます」と自己宣言して、対外的にアピールできる制度が2017年から始まっているのをご存じだろうか。この制度は情報処理推進機構（IPA）が創設した。これを利用すれば、名刺やホームページなどに「SECURITY ACTION」と記されたロゴを入れて取り組み姿勢をアピールできるのだ。

ロゴマーク表記で取引先との信頼関係を構築

情報処理推進機構（IPA）で創設した「SECURITY ACTION」制度は、安全・安心なIT社会の実現に向け、中小企業自らがセキュリティ対策を自己宣言するものだ。自己宣言の条件については、IPA公開の「中小企業の情報セキュリティ対策ガイドライン第2.1版」（以下、ガイドライン）をベースにした2段階の取り組み目標を設けている。

　SECURITY ACTIONの進め方は次の通りだ。まず、「1段階目（一つ星）」または「2段階目（二つ星）」のいずれかの取り組み目標を選ぶ。次に「SECURITY ACTION自己宣言者サイト」から、IPAにSECURITY ACTIONロゴマーク使用を申請する。ロゴマークをダウンロードしたら、自社の会社案内や名刺、ホームページ、ポスターなどに表示。ロゴマークの表記により、セキュリティに対する取り組みを自己宣言する。

　この制度のポイントは、認定制度ではないところだ。「自己宣言」にしている意図を理解したい。中小企業のセキュリティ意識を啓発し、自発的な対策を促進する制度だからだ。そのため、制度利用のハードルは高くない。セキュリティ対策に取り組むことを宣言すれば、ロゴマークを表記できる。行動を起こすという意味での「SECURITY ACTION」なのだ。ロゴマークの使用料もかからない。

　もちろん、自己宣言したからには具体的にセキュリティ対策に取り組まなければならない。後述する具体的な対策を1つずつ実施すれば、自社のセキュリティが確実に高まる。

　ロゴマークを表記するメリットについて、IPAでは「（1）情報セキュリティ対策の取り組みの見える化」「（2）顧客や取引先との信頼関係の構築」「（3）公的補助・民間の支援を受けやすく」なることを挙げる。SECURITY ACTION自己宣言者サイトには社名が掲載される。全国的なアピールにもなる。また、名刺にロゴマークが表記されていれば、社員のセキュリティ意識も高まるのは想像に難くない。

一つ星と二つ星を宣言するための方法…

　1段階目（一つ星）は、ガイドライン付録1にある「情報セキュリティ5か条」への取り組みが目標となる。「（1）OSやソフトウェアは常に最新の状態にしよう！」「（2）ウイルス対策ソフトを導入しよう！」「（3）パスワードを強化しよう！」「（4）共有設定を見直そう！」「（5）脅威や攻撃の手口を知ろう！」の5つだ。これらの5か条への取り組みを宣言すれば、一つ星のロゴマークを表記できる。

　2段階目（二つ星）では、まずガイドライン付録2にある「5分でできる！情報セキュリティ自社診断」を行う。自社診断の内容は、情報セキュリティ5か条にある「基本的対策」をはじめ、電子メールの取り扱いや重要情報の保護など「従業員としての対策」、情報漏えいなどの発生に備えた準備をするなど「組織としての対策」がある。

　二つ星では、自社診断を行った上で、「情報セキュリティポリシー（基本方針）」を策定し、外部に公開しなければならない。ガイドラインでは、「情報資産管理台帳の作成」「リスク値の算定」「情報セキュリティ対策の決定」「情報セキュリティポリシーの策定」といった手順を解説している。参考にするとよいだろう。

　取り組み目標の推進とともに、ステップアップするのもよい。一つ星から始めた企業は二つ星にぜひチャレンジしてほしい。なお、すでに一つ星と同等の取り組みができている企業は、二つ星から始めてもよい。

全国で取り組み事例続々

　SECURITY ACTIONのWebサイトには、取り組み事例も紹介されている。例えば、神奈川県の中小製造業では、中小企業診断士から薦められて一つ星のSECURITY ACTIONを自己宣言した。「技術情報を含む加工データがあり、その保護につながると考えた」からだ。宣言には費用がかからないのも制度活用のきっかけとなった。情報セキュリティ5か条については、OSの設定やパスワードの強度など、それぞれの項目を具体的に確認した。取り組みの結果、セキュリティ対策の必要性を理解できただけでなく、社員の意識向上が図られたと効果を実感した。

　二つ星を宣言した東京都の社会保険労務士事務所は、「業界全体として取り組んでいくものであり、社労士の一人としてともに動いていく必要があると考え、宣言」した。以前から取得していたプライバシーマーク制度の取り組みと共通する部分も多かった。すでに二つ星の取り組みをかなりクリアできていたという。ある程度セキュリティ対策を行ってきた企業は、二つ星の宣言から始められる好例だろう。

　SECURITY ACTIONを活用すれば、対外的なアピールになるだけでなく、社員のセキュリティ意識も高められる。事例も参考にしながら一つ星か二つ星か選び、SECURITY ACTIONに取り組んでみてはいかがだろうか。

続きを読むにはログインが必要です

\ かんたん入力で登録完了 /

貴社の課題を解決するNTT西日本のサービスはこちら

執筆＝山崎俊明

【MT】

あわせて読みたい記事

最新情報セキュリティ対策総覧（第3回）
セキュリティ対策サービスは“駆け付け”で選ぶ
運用管理・監視サポートサービス
2017.10.04
セキュリティ対策虎の巻（第4回）
内部脅威対策は「アクセスログ」より始めよ
データ通信運用管理・監視
2016.09.28

「リスクマネジメント」人気記事ランキング

「リスクマネジメント」カテゴリーから探す

連載バックナンバー

制度活用でお得マネジメント

企業の情報セキュリティリスク認知調査2023
テクノロジーの進化によって、生産性の向上や多様な働き方の実現などの恩恵がもたらされる一方、サイバー攻撃も多様化・複雑化の一途をたどっています。こうした中、攻撃手法などの情報セキュリティリスクをどれくらい認知しているのだろうか。その最新動向について調査しました。
ダウンロード
中小企業は必読！本当に必要なBCP対策
近年多発する地震や台風などの自然災害や新型コロナウイルスなどの感染症は、ビジネスに甚大な影響をもたらしかねません。企業にとってBCP（Business Continuity Plan：事業継続計画）を策定し、危機管理能力を高めて早期に事業継続や復旧を図る体制が必要です。BCP対策の実例や策定のポイントを解説します。
ダウンロード
情報セキュリティ対策意識調査2022
DX推進が企業にとって成長のドライバーとなる中、サイバー攻撃も多様化・複雑化の一途をたどっています。AIやRPAなど各種のICTテクノロジーや、社内外のコミュニケーションを円滑化するクラウドストレージ活用が進む現在、企業における情報セキュリティ対策はどうなっているのだろうか。対策度合いや、脅威に感じるもの、対策をするうえでの課題などの最新動向について調査を行いました。
ダウンロード