最新セキュリティマネジメント（第25回）「SECURITY ACTION自己宣言」をしよう

公開日：2023.06.22

ボタンをクリックすることで、Myクリップ一覧ページに追加・削除できます。追加した記事は、「Myクリップ」メニューからいつでも読むことができます。なお、ご利用にはBiz Clipに会員登録（無料）してログインする必要があります。

　独立行政法人情報処理推進機構（以下、IPA）では、中小企業の情報セキュリティに対する意識を向上させるために、企業が自らセキュリティ対策を実施していると宣言する「SECURTY ACTION」という制度を運営している。あくまでも自己宣言ではあるが、中小企業にとってさまざまなメリットをもたらすとされている。どんなメリットがあるのだろうか。

セキュリティ対策を宣言して社内外にアピール

　IPAが運営する「SECURITY ACTION」特設ページに「SECURITY ACTIONとは？」という項目がある。そこには『「SECURITY ACTION」は中小企業自らが、情報セキュリティ対策に取組むことを自己宣言する制度です。安全・安心なIT社会を実現するために創設されました。』と、その定義と目的が明記されている。

　SECURITY ACTIONでは、情報セキュリティ対策への取り組み目標に応じて「★一つ星」と「★★二つ星」の2種類のロゴマークが用意され、「自己宣言者サイト」で手続きをすると、それぞれのロゴマークを自社のPRツールで使用できるようになる。取得するための費用は不要だ。

●「★一つ星」と「★★二つ星」のロゴマーク

　一つ星の場合は、IPAが提示している「OSやソフトウェアは常に最新の状態にしておく」「ウイルス対策ソフトを導入する」「パスワードを強化する」「共有設定を見直す」「脅威や攻撃の手口を知る」という「情報セキュリティ5か条」への取り組み宣言が求められる。いずれも情報セキュリティ対策の基礎といえる。

　二つ星の場合は、少しだけハードルが上がる。一つ目のハードルは、IPAが提供する「5分でできる！情報セキュリティ自社診断」で自社の状況を把握する必要がある。脅威や攻撃の変化、IT環境の変化に対応したセキュリティ対策が実施できているかどうかをチェックするもので、25問の質問に回答すると採点結果が示される。

　この自己診断は中小企業や小規模事業者が、基本的対策や従業員対策、組織的対策の3つの領域に対する状況を自分で判定して、今後のセキュリティ強化に役立てることを意図したものだ。ロゴマークの申し込みサイトの点数欄への入力は任意とされ、IPAは診断結果および点数の審査はしない。

　もう一つのハードルは、IPAが示す「中小企業の情報セキュリティ対策ガイドライン」の付録である「情報セキュリティ基本方針」をサンプルとして、自社の情報セキュリティ基本方針を策定し、外部に公開することだが、こちらもIPAに提出する必要はない。

　それぞれのレベルの自己宣言を表明し、ロゴマークの使用申し込みを行うと、1～2週間でロゴマークのダウンロード手順や使用方法についてのメールがIPAから届く。ロゴマークは名刺や会社案内、Webサイト、ポスター、パンフレットなど、自社のPRツールに表示できる。