SECURITY ACTIONとは？中小企業が今すぐ取り組むべき理由と宣言の進め方を解説

SECURITY ACTIONは、中小企業が自ら情報セキュリティ対策に取り組むことを宣言する制度です。独立行政法人情報処理推進機構（IPA）が創設し、安全・安心なIT社会の実現を目指しています。同制度の概要やメリット、宣言の手順を押さえておきましょう。

＜IT資産管理・情報漏洩対策をPC1台100円から！手軽に始めるならWatchy＞
→PDF資料をまずはダウンロードする

SECURITY ACTIONとは何か

SECURITY ACTIONは、中小企業自らが情報セキュリティ対策に取り組む姿勢を、対外的に示すための制度です。まずは、同制度が作られた目的や、どのような企業が対象となるのか確認しておきましょう。

SECURITY ACTIONの目的

SECURITY ACTIONの主な目的は、中小企業における情報セキュリティ対策の普及と促進です。多くの企業がITを活用する現代において、セキュリティ事故は経営リスクに直結します。しかし、資金や人材などのリソースが限られた中小企業では、どうしても対策が後回しにされがちでした。

そこでIPAは、企業が段階的に対策を進められる仕組みとして同制度を創設しました。自発的な取り組みを促すことで、個々の企業のセキュリティレベルを底上げし、サプライチェーン全体の安全性を確保することが主な狙いです。

SECURITY ACTION セキュリティ対策自己宣言

SECURITY ACTIONの対象企業

同制度の対象となるのは、中小企業基本法などで定義される「中小企業者」であり、個人事業主も含まれます。

業種や業態による制限はなく、ITを使用している全ての事業者が対象です。本制度は中小企業を主な対象としていますが、企業規模による制限はありません。

自社が対象となるかはIPAの公式サイトで確認できますが、基本的に国内のほとんどの中小規模事業者が利用可能な制度として設計されています。

近年はIT関連企業だけでなく、製造業・小売業・サービス業など、あらゆる業種の企業がこの制度を活用し、セキュリティ意識の向上に努めている状況です。

SECURITY ACTIONで求められる取り組み

SECURITY ACTIONには「★一つ星」と「★★二つ星」の2段階があり、それぞれ求められる取り組みレベルが異なります。この章では、情報セキュリティ対策に取り組む上での基本的な考え方と、最低限押さえておくべきポイントについて解説します。自社の現状に合わせて、どのレベルから始めるべきかを検討する参考にしてください。

情報セキュリティ対策の基本的な考え方

情報セキュリティ対策とは、情報の「機密性」「完全性」「可用性」の3要素（CIA）を維持することです。

機密性とは許可された人だけが情報にアクセスできること、完全性とは情報が改ざんされず正確である状態を指します。さらに可用性とは、必要なとき常に情報を使える状態です。

これらを守るには、ウイルス対策ソフトの導入といった技術的な対策だけではなく、組織的なルール作りや従業員の意識向上が不可欠です。SECURITY ACTIONでは、こうした基本的な考えに基づき、自社の実情に合わせた対策を段階的に進めることを推奨しています。

自社で最低限押さえるべきポイント

まず取り組むべきは「情報セキュリティ5か条」の実践です。OSやソフトウェアを最新の状態にするのはもちろん、ウイルス対策ソフトの導入やパスワードの適切な管理、共有設定の見直しなどが含まれます。

これらは専門的な知識がなくても、すぐに実施できる基本的な対策です。しかし、上記の取り組みを徹底するだけでも、多くのサイバー攻撃を防ぐ効果があります。特に、OSの更新や複雑なパスワードの設定は、コストをかけずに大幅なリスクの低減が可能です。 

SECURITY ACTIONへの取り組みは、こうした足元の対策を見直すことから始まります。まずは、できることから確実に実行していきましょう。

★一つ星と★★二つ星の違い

SECURITY ACTIONのロゴマークには、取り組み状況に応じて「★一つ星」と「★★二つ星」の2種類があります。それぞれの星を取得するために必要な要件や、取り組みレベルの違いを整理しておきましょう。

★一つ星の特徴と取り組みレベル

「★一つ星」は、情報セキュリティ対策への取り組みを始めたことを、公に宣言する段階です。取得要件は「情報セキュリティ5か条」に取り組むことのみで、セキュリティ対策の第一歩として位置付けられています。

まずは、自社の現状を把握し、最低限の守りを固めるために、以下の5つの項目について確認・実施しましょう。

1.OSやソフトウェアは常に最新の状態にする

WindowsなどのOSや、業務で使用しているブラウザ、Officeソフトなどの修正プログラムは、公開されたらすぐに適用して脆弱性を解消しましょう。

サイバー攻撃者は、公開された脆弱性を狙ってすぐに攻撃を仕掛けてきます。「後でやる」と先送りにせずに、自動更新機能を有効にして常に最新の状態を保つことが、最も基本的かつ効果的な防御策です。

2. ウイルス対策ソフトを導入する

PCやサーバーには、必ず信頼できるウイルス対策ソフトを導入し、定義ファイルを常に最新の状態に保ちましょう。期限切れのまま放置していると、最新のウイルスの検知ができず無防備な状態になります。

また最近の脅威は、従来のパターンマッチングだけでは防げないものも増えています。振る舞い検知など、高度な機能を持つセキュリティ製品の選定も重要です。

3. パスワードを強化する

IDやパスワードは、第三者に推測されにくいように、英数字や記号を組み合わせて、長く複雑な文字列に設定しましょう。

複数のサービスで同じパスワードを使い回すと、1カ所でも漏洩した際、全てのサービスに不正ログインされる危険性があります。二要素認証が利用できる場合は、積極的に活用してセキュリティ強度を高めることが大事です。

4. 共有設定を見直す

ファイルサーバーやクラウドストレージを利用する際は、関係者以外がデータにアクセスできないように、適切なアクセス権限を設定しましょう。

特に、退職者のアカウントが残ったままになっていたり、「誰でもアクセス可能」な設定で重要データを放置していたりするケースは、情報漏洩の大きな原因となります。複合機やNASの設定も含めて、定期的な見直しが必要です。

5. 脅威や手口を知る

IPAなどが発信する最新のセキュリティ情報を定期的にチェックし、流行している攻撃手口や対策を知っておきましょう。「自分たちは狙われない」といった思い込みは危険です。

攻撃メールの巧妙な手口を知っているだけで、不審なメールに気付き、不用意なクリックや添付ファイルの開封を回避できます。また、ランサムウェアやフィッシング詐欺など、具体的な手口を知っておくと、万が一の際にも落ち着いて対処できるようになります。

★二つ星で求められる追加対応

「★★二つ星」は、より本格的なセキュリティ対策に取り組んでいることを示す段階です。取得には「5分でできる！情報セキュリティ自社診断」を実施し、さらに「情報セキュリティ基本方針」を定めて、外部に公開する必要があります。

基本方針とは、自社のセキュリティに関する取り組みを示すトップの宣言です。現場レベルの対策だけでなく、経営層が関与した組織的な管理体制が必要です。一つ星に比べて要件は増えますが、その分対外的な信頼性は高くなります。

外部への公開が必須となるため、企業としての責任感や透明性も問われることになりますが、その分アピール効果も大きくなります。

※出典：5分でできる！情報セキュリティ自社診断 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構

※出典：中小企業の情報セキュリティ対策ガイドライン | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構

SECURITY ACTIONに取り組むメリット

SECURITY ACTIONの取り組みは、単なるセキュリティリスクの回避にとどまらず、以下のように取引先や顧客からの信頼の獲得や、社内体制の強化などにつながります。SECURITY ACTIONに注力するメリットについて、具体的に見ていきましょう。

取引先や顧客からの信頼向上につながる

SECURITY ACTIONのロゴマークを、自社のWebサイトや名刺に掲示することで、情報セキュリティに配慮している企業であることをアピールできます。

近年、サイバー攻撃の標的は、大企業から中小企業にシフトしている傾向があります。そこで、取引先選定の基準として、セキュリティ対策状況を重視する中小企業が増えている状況です。

ロゴマークの取得・掲示は安全な取引先としての証明となり、ビジネスチャンスの拡大や顧客の安心感醸成につながります。特に、新規取引の開拓や入札案件などにおいて、セキュリティへの取り組み姿勢が、評価のプラス材料となるケースも増えています。

社内の情報管理体制を見直すきっかけになる

SECURITY ACTIONの申請プロセス自体が、社内の情報管理を見直す絶好の機会です。「情報セキュリティ5か条」や「自社診断」の項目を確認することで、自社のセキュリティ上の弱点や、これまで見落としていたリスクに気付けます。

また、宣言を通じて従業員のセキュリティ意識が高まり、日常業務における情報の取り扱いがより慎重になる効果も期待できます。事実、定期的な診断を通じて継続的な改善サイクル（PDCA）を回す習慣がついたといった声は、決して少なくありません。

補助金の申請が可能になる

SECURITY ACTIONの宣言により、補助金の申請において加点措置を受けられる場合もあります。また、一部の申請要件には、宣言が求められるケースも珍しくありません。代表的なものとしては、ITツール導入を支援する「デジタル化・AI導入補助金（旧：IT導入補助金）」があります。

他にも、都道府県や市町村独自の支援制度で申請・加点要件となっている場合があるため、一度地域の情報を確認してみるとよいでしょう。セキュリティ対策を進めつつ、業務効率化のためのIT投資資金も得やすくなるため、経営的なメリットは非常に大きいといえます。

SECURITY ACTIONの流れ

実際にSECURITY ACTIONを宣言する手順はシンプルですが、事前の準備が欠かせません。申請から宣言完了までの全体的な流れ、事前に準備すべき事項、さらに宣言後に継続すべき活動について整理しておきましょう。

宣言までの全体的なステップ

SECURITY ACTIONを宣言する手続きは、全てWeb上で完結できます。まずはIPAの公式サイトにアクセスし、取り組み目標（一つ星または二つ星）を選択しましょう。次に、それぞれの要件（5か条の実施や基本方針の策定など）を満たしているかを確認します。

2026年4月以降の申請方法の変更について

2026年4月以降、SECURITY ACTIONの申請方法が変更されます。

	現在（〜2026.3）	新システム公開後（2026.4〜）
申込方法	申し込みフォームより申し込み（ログイン不要）	新システムにGビズIDでログインし申込※要アカウント取得
自己宣言ID通知までの時間	申込から1週間程度	申込直後に自己宣言IDを発行

※出典：新システムリリースのご案内 : SECURITY ACTION セキュリティ対策自己宣言 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構

そのため、4月以降に申請を予定している企業は、あらかじめGビズID（プライムまたはメンバー）の取得手続きを済ませておくことをおすすめします。

その後、新システム（または従来フォーム）から必要事項（企業名・担当者情報・ロゴマークの使用有無など）を入力し、申請を済ませましょう。

申請内容に問題がなければ、数週間程度でIPAから手続き完了のメールが届きます。手順は簡素化されていますが、入力内容に誤りがないように注意して進めましょう。

事前に準備しておきたいこと

申請をスムーズに進めるために、あらかじめ社内のセキュリティ体制をきちんと把握するとともに、社員間で合意を形成しておきましょう。

一つ星を目指す場合は、社内のPCやスマホのOS・ソフトが最新か、ウイルス対策ソフトが入っているかなどを実機で確認します。一方、二つ星を目指す場合は、「情報セキュリティ基本方針」の作成が必要です。 

IPAが公開しているひな形（サンプル）を活用すれば、比較的容易に作成できますが、内容は経営者がしっかりと確認し、承認するプロセスを経なければいけません。

また、ロゴマークをWebサイトのどこに掲載するか、名刺にどのように印刷するかといった、細かい運用ルールも事前に決めておきましょう。

宣言後に継続して行うべき取り組み

SECURITY ACTIONは、一度宣言して終わりではありません。実態が伴わなければ意味がないため、継続的な運用が必要です。具体的には、年に1回程度の「情報セキュリティ自社診断」を実施し、対策状況を振り返ることが推奨されています。

また、新たな脅威や技術の変化に合わせて、セキュリティポリシーや対策の内容を見直しましょう。ロゴマークの使用権は更新制ではありませんが、定期的に自社の取り組み状況を再確認し、実効性を維持し続ける姿勢が大切です。

SECURITY ACTIONを形だけで終わらせないために

SECURITY ACTIONを単なるロゴマーク取得の手段として捉えると、十分な効果は得られません。本来の目的は、自社の情報を守り、事業を継続させることにあります。

形式的な宣言にとどまらず、現場の従業員一人一人がセキュリティの重要性を理解し、日々の業務で実践することが重要です。

例えば、怪しいメールを開かない、パスワードを使い回さないといった基本的な行動の積み重ねが、組織全体の防御力を高めます。

宣言をきっかけに定期的な社内研修を実施したり、ヒヤリハット事例を共有したりするなど、セキュリティ文化を組織に根付かせるための活動にも注力しましょう。

SECURITY ACTIONを活用して無理のないセキュリティ対策を

情報セキュリティ対策は、一朝一夕で完成するものではありません。完璧を目指そうとするとコストも手間もかかり、挫折してしまうケースも考えられるので、計画的に取り組みましょう。

まずは「★一つ星」から始めて、少しずつレベルアップしていく姿勢で問題ありません。自社の身の丈に合った無理のない対策を続けることが、結果として長く安全な事業の継続につながります。形だけの宣言で終わらせず、継続的にセキュリティレベルを高める姿勢が必要です。