近年、サイバー攻撃の増加により、中小企業でも情報セキュリティ対策が不可欠となっています。しかし、「何から始めればよいかわからない」「コストや人手が足りない」と悩む企業も少なくありません。
そうした中小企業の情報セキュリティ対策を後押しする制度が「セキュリティアクション(SECURITY ACTION)」です。本記事では、セキュリティアクションの概要から「一つ星」「二つ星」の違い、宣言するメリット、申請方法を解説します。
セキュリティアクション(SECURITY ACTION)とは
セキュリティアクション(SECURITY ACTION)とは、中小企業自らが情報セキュリティ対策に取り組むことを自己宣言する制度です。中小企業のセキュリティ対策を促進する目的で、2017年にIPA(独立行政法人情報処理推進機構)と中小企業関係団体が共同で創設しました。
「中小企業の情報セキュリティ対策ガイドライン」の実践をベースに、「一つ星」「二つ星」の2段階の取り組み目標を設定しています。宣言することで、取り組み段階に応じたロゴマークを無料で使用でき、情報セキュリティへの取り組みをアピールできます。
セキュリティアクションの取り組み目標「一つ星」と「二つ星」の違い
セキュリティアクションには、取り組みレベルに応じて「一つ星」と「二つ星」の2段階が設定されています。ここではその違いについて紹介します。
一つ星の取り組み内容
一つ星は、「情報セキュリティ5か条」に取り組むことを宣言することで取得できます。5か条の内容は以下のとおりです。
- OSやソフトウェアは常に最新の状態にしよう
- ウイルス対策ソフトを導入しよう
- パスワードを強化しよう
- 共有設定を見直そう
- 脅威や攻撃の手口を知ろう
これらは、情報セキュリティ対策に取り組んだことのない企業でもすぐに始められる基本的な内容です。宣言することで一つ星ロゴマークが使用可能になります。
二つ星の取り組み内容
二つ星は、「5分でできる!情報セキュリティ自社診断」で自社の状況を把握し、「情報セキュリティ基本方針」を策定・外部公開することで宣言できます。
自社診断は25個のチェック項目で対策状況を把握できるツールです。外部公開の方法としては、自社Webサイトへの掲載、会社案内やパンフレットへの掲載などがあります。
セキュリティアクションを宣言するメリット
セキュリティアクションを宣言することで、企業は様々なメリットを得られます。ここでは、補助金申請、取引先への信頼性向上、社内意識の向上という3つの主要なメリットを紹介します。
メリット①デジタル化・AI導入補助金など各種補助金の申請要件をクリアできる
IT導入補助金の申請において多くの場合、セキュリティアクションの宣言(一つ星または二つ星)が必須要件となっています。東京都のサイバーセキュリティ対策促進助成金では二つ星宣言が申請要件です。
IPAの公式サイトでは、セキュリティアクション宣言を申請要件に採用している補助金・助成金の一覧が公開されており、自社が利用できる制度を確認できます。
メリット②取引先への信頼性向上とロゴマークの活用
セキュリティアクションのロゴマークは、Webサイトや名刺、パンフレットなどに表示でき、情報セキュリティ対策への取り組みを対外的にアピールできます。
近年、サプライチェーンセキュリティの観点から、取引先がセキュリティアクション宣言の有無を確認するケースが増えています。特に大企業との取引では宣言が条件となる場合もあります。
メリット③社内のセキュリティ意識向上
セキュリティアクションに取り組む過程で、社内の情報セキュリティ意識が高まる効果があります。IPAの調査では、宣言事業者の約40%が社内で意識向上の効果を実感しており、組織全体でセキュリティへの意識を共有することで、人的ミスによる情報漏えいリスクを低減することができます。
出典:「2023年度 SECURITY ACTION宣言事業者における情報セキュリティ対策の実態調査」 報告書|IPA(独立行政法人 情報処理推進機構)
セキュリティアクション宣言で活用できる補助金・助成金
セキュリティアクション宣言を申請要件とする主な補助金・助成金を紹介します。IT導入補助金、ものづくり補助金、サイバーセキュリティ対策促進助成金など、中小企業が活用できる制度について紹介します。
①IT導入補助金
IT導入補助金は、中小企業・小規模事業者がITツールを導入する際の費用を補助する制度です。セキュリティアクションの宣言が必須要件となっています。
2025年度の申請は2026年1月7日で終了しており、2026年度は例年通り3月末から開始される見込みです。セキュリティ対策推進枠では二つ星宣言が加点項目となっています。
②ものづくり補助金(デジタル枠)
ものづくり補助金は、中小企業の製品・サービス開発や生産プロセス改善のための設備投資を支援する制度です。デジタル枠ではセキュリティアクションの宣言が要件となっています。
製造業に限らず、サービス業や小売業なども対象です。DX推進やIT化を進める際に活用できます。
③サイバーセキュリティ対策促進助成金(東京都)
サイバーセキュリティ対策促進助成金は、東京都中小企業振興公社が実施する助成制度です。セキュリティアクションの二つ星宣言が申請要件となっています。
東京都以外の地方自治体でも同様の制度を実施しているケースがあります。IPAの公式サイトで全国の制度を確認できます。
セキュリティアクションと併せて知っておきたい関連制度
セキュリティアクションに関連する制度として、サプライチェーン強化に向けたセキュリティ対策評価制度、中小企業の情報セキュリティ対策ガイドライン、サイバーセキュリティお助け隊サービスがあります。ここではそれぞれについて紹介します。
①サプライチェーン強化に向けたセキュリティ対策評価制度
サプライチェーン強化に向けたセキュリティ対策評価制度は、経済産業省が2026年度の運用開始を目指している、企業のセキュリティ対策状況を可視化する新たな制度です。
企業のセキュリティ対策レベルを★3〜★5の3段階で評価し、セキュリティアクションの★1・★2と連携する形で設定される予定です。今後、取引先からセキュリティ対策レベルの提示を求められるケースが増えることが想定されるため、まずはセキュリティアクションの宣言から始めることが推奨されます。
サプライチェーンセキュリティについては、以下の記事でも詳しく解説しています。あわせてお読みください。
関連記事:(記事のリンク)
②中小企業の情報セキュリティ対策ガイドライン
中小企業の情報セキュリティ対策ガイドラインは、IPAが公開している中小企業向けの情報セキュリティ対策の指針です。「経営者編」と「実践編」で構成され、経営者が認識すべき3原則や重要7項目の取り組みを解説しています。
セキュリティアクションの「情報セキュリティ5か条」や「5分でできる!情報セキュリティ自社診断」も本ガイドラインの付録として提供されており、宣言後の継続的な対策強化に活用できます。
③サイバーセキュリティお助け隊サービス
サイバーセキュリティお助け隊サービスは、IPAが運営する中小企業向けのセキュリティ対策支援サービスの認定制度です。ネットワーク監視、相談窓口、緊急時の駆けつけ支援、簡易サイバー保険などをワンパッケージで安価に提供しています。
IT導入補助金(セキュリティ対策推進枠)の対象となっており、セキュリティアクション宣言後にさらに実践的な対策を導入したい企業に適しています。
セキュリティアクションの申請方法
セキュリティアクションの申請は、IPAの専用サイトから無料で行えます。ここでは、申請の手順と注意点について解説します。
申請の手順
セキュリティアクションの申請は、IPAの専用サイトから行います。申請の流れは以下のとおりです。
- STEP1:個人情報の取り扱いとロゴマーク使用規約に同意
個人情報の取り扱いとロゴマーク使用規約の内容を確認し、同意します。
- STEP2:申請内容の入力
一つ星または二つ星のいずれかを選択し、担当者情報・事業者情報を入力します。二つ星の場合は、自社診断の結果と情報セキュリティ基本方針の公開方法も入力が必要です。
- STEP3:自己宣言ID通知メールの受信
申込み後、約1週間で自己宣言ID通知メールが届きます。
- STEP4:ロゴマーク使用許諾の受信
さらに1〜2週間後に、ロゴマーク使用許諾とダウンロード用パスワードが届き、ロゴマークの使用が可能になります。申請から使用開始まで2〜3週間程度かかるため、余裕を持って手続きを行いましょう。
申請時の注意点
セキュリティアクション申請時には、以下の点に注意が必要です。
- 早めの手続きが重要
自己宣言IDの取得には申込みから1週間程度、ロゴマーク使用許諾まで含めると2〜3週間程度かかります。IT導入補助金などの申請期限に間に合うよう、早めに手続きを行いましょう。
- メールアドレスの入力誤りに注意
メールアドレスの入力誤りがあると、受付メールが届かずID取得に時間がかかる場合があります。申請時には慎重に確認しましょう。
- 正しい表記を使用する
セキュリティアクションは「認定」や「取得」ではなく「宣言」です。Webサイトや資料には「セキュリティアクション宣言済み」などの正しい表記を使用しましょう。
まとめ
本記事では、セキュリティアクション(SECURITY ACTION)の概要から、「一つ星」「二つ星」の違い、宣言するメリット、活用できる補助金・助成金、申請方法までを解説しました。
セキュリティアクションは、中小企業が情報セキュリティ対策に取り組むための第一歩として有効な制度です。しかし、取り組みを進める中で「これで十分なのか」「見落としているリスクはないか」と感じる企業も少なくありません。
そうした不安を解消する手段のひとつが、第三者の専門家による脆弱性診断です。バルテスの脆弱性診断サービスは、セキュリティ対策をこれから本格化させたい企業にも取り組みやすい内容でご提供しています。
自社のセキュリティ強化をお考えの方は、ぜひお気軽にご相談ください。