セキュリティ

SECURITY ACTION ★一つ星・★★二つ星の取得方法|宣言手順・要件・IT補助金との関係

#SECURITY ACTION#IPA#IT導入補助金#セキュリティ#中小企業
📘
完全ガイドの一部です中小企業向けサイバーセキュリティ対策 完全ガイド

「SECURITY ACTIONって聞いたことはあるけど、具体的に何をすれば取得できるの?」「IT導入補助金の申請に必要らしいが、どこから手をつければいい?」——そんな疑問にお答えします。

この記事では、IPAが推進するSECURITY ACTIONの★一つ星・★★二つ星の取得手順を、要件から申請方法まで具体的に解説します。

SECURITY ACTIONとは

SECURITY ACTIONは、IPAが推進する中小企業のセキュリティ対策に関する自己宣言制度です。

  • 開始: 2017年
  • 宣言企業数: 30万社以上(2024年時点)
  • 費用: 無料
  • 方式: 自己宣言(第三者審査なし)
  • 対象: 中小企業・小規模事業者

ポイントは「認証」ではなく「自己宣言」であること。第三者による審査や監査は行われません。自社が情報セキュリティ対策に取り組むことを対外的に宣言し、その姿勢を示す制度です。

宣言には★一つ星と★★二つ星の2段階があり、それぞれ取り組みの深度が異なります。

★一つ星の要件と取得手順

要件

IPAの「情報セキュリティ5か条」に取り組むことを宣言する、これだけです。

情報セキュリティ5か条:

  1. OSやソフトウェアは常に最新の状態にしよう
  2. ウイルス対策ソフトを導入しよう
  3. パスワードを強化しよう
  4. 共有設定を見直そう
  5. 脅威や攻撃の手口を知ろう

取得手順

  1. IPAのSECURITY ACTIONサイトにアクセスする
  2. 「自己宣言する」ボタンから申請フォームに進む
  3. 企業情報を入力する(会社名、所在地、代表者名、業種、従業員数等)
  4. 「情報セキュリティ5か条に取り組む」を宣言する
  5. ロゴマーク利用の規約に同意する
  6. 宣言完了 — ロゴマークのダウンロードが可能になる

所要時間: 約15分

特別な書類の提出や証拠の添付は不要です。5か条に「取り組む意思がある」ことを宣言するだけで、★一つ星を取得できます。

★★二つ星の要件と取得手順

要件

★★二つ星には、以下の2つの要件を満たす必要があります。

  1. IPAの「5分でできる!情報セキュリティ自社診断」を実施する
  2. 情報セキュリティ基本方針を策定し、外部に公開する

取得手順

Step 1: 自社診断25項目を実施する

IPAが提供する自社診断シートの25問に回答します。各項目に「はい/いいえ/わからない」で答え、自社のセキュリティレベルを把握します。所要時間は30分程度です。

Step 2: 情報セキュリティ基本方針を策定する

IPAガイドラインの付録4にあるひな形をベースに、自社の基本方針を策定します。後述するテンプレートを参考にしてください。策定には1〜2週間を見込みましょう。

Step 3: 基本方針を外部に公開する

策定した基本方針を、自社Webサイトや会社案内等で公開します。Webサイトに専用ページを設けるのが一般的です。

Step 4: IPAサイトで★★二つ星を宣言する

★一つ星と同様の手順で、★★二つ星の宣言を行います。自社診断の結果と基本方針の公開先URLを登録します。

IT導入補助金との関係

IT導入補助金の申請には、SECURITY ACTION ★一つ星以上の宣言が必須要件です。通常枠(補助上限450万円)、インボイス枠(同350万円)、セキュリティ対策推進枠(同100万円)など、いずれの枠でも事前の宣言が求められます。

補助金の公募開始後に慌てて宣言するのではなく、余裕を持って準備しておきましょう。宣言自体は無料・15分で完了します。

ロゴマークの利用ルール

宣言すると★一つ星または★★二つ星のロゴマークを利用できます。Webサイト、名刺、提案書、メール署名に掲載可能です。ただし、ロゴの改変は禁止、「認証」「認定」ではなく「自己宣言」と表記する必要があります。宣言を取り下げた場合は速やかに利用を中止してください。

★★二つ星の「基本方針」テンプレート

★★二つ星に必要な基本方針の最低限の記載項目です。IPAのひな形をもとにカスタマイズしてください。

  1. 基本理念 — 情報資産を適切に保護し、情報セキュリティの維持・向上に努める旨を宣言
  2. 対象範囲 — 全従業員(パート・派遣含む)および全情報資産を対象とする
  3. 管理体制 — 代表取締役を情報セキュリティ最高責任者として管理体制を整備
  4. 対策の実施 — リスク分析に基づく技術的・人的・物理的対策の実施
  5. 教育・訓練 — 全従業員への定期的なセキュリティ教育
  6. 継続的改善 — 定期的な見直しと改善の仕組み
  7. 制定日・代表者氏名 — 責任の所在を明確にする

自社の業種特性に応じて、インシデント対応や委託先管理の項目を追加しましょう。

宣言後にやるべきこと

SECURITY ACTIONは宣言して終わりではなく、継続的な実践が重要です。

  • 年1回の見直し — 自社診断25項目を再実施し、新たな脅威への対応を確認する
  • 社内教育 — 全従業員対象のセキュリティ研修を年1回以上実施。フィッシング訓練も有効
  • インシデント対応訓練 — 報告ルートや初動対応の確認を定期的に実施する
  • SCS評価制度への発展 — ★一つ星・★★二つ星は将来のSCS評価制度の★1・★2に対応。今から基盤を固めておく

まとめ

SECURITY ACTIONは費用無料・15分で宣言でき、IT導入補助金の申請要件も満たせる制度です。★一つ星はすぐに取得可能、★★二つ星も1〜2週間で宣言できます。情シス365では取得支援から継続的なセキュリティ運用までトータルでサポートしています。

無料相談を予約する

あわせて読みたい

🛡️Security365 — セキュリティ運用

脅威監視・アラート対応・ポリシー策定まで、月額定額でプロが支援。セキュリティ対策を「自分ごと」から「チーム体制」へ。

サービス詳細を見る → 60分無料相談

情シスのお悩み、ご相談ください

専門スタッフが貴社の課題に合わせたご提案をいたします。

60分無料相談はこちら 資料ダウンロード
メールでのお問い合わせはこちら →
60分無料相談