セキュリティアクション制度の概要

Q 取引先の会社が『SECURITY ACTION』というマークを名刺に入れているのを見ました。どんな意味があるのか詳細を教えてください。(卸売業)

<回答者>独立行政法人 情報処理推進機構(IPA)技術本部
セキュリティセンター普及グループ
研究員 江島将和

A 「SECURITY ACTION」(セキュリティアクション)とは、中小企業自らが情報セキュリティー対策に取り組むことを宣言する制度です。情報セキュリティーへの取り組みを「見える化」することで、安心・安全な社会を実現するための国民運動です。

 中小企業においてもメールやインターネットなどのIT利活用が進む一方で、情報窃取や業務妨害を狙ったサイバー攻撃は巧妙化・悪質化しており、これらのターゲットは、政府機関や大手企業だけでなく、中小企業にまで拡大しています。また、マイナンバー制度が本格的に運用開始され、今年5月には改正個人情報保護法が施行されたほか、2020年の東京五輪・パラリンピックに向け、サイバー攻撃はさらに拡大する懸念も指摘されており、中小企業においても情報セキュリティー対策は喫緊の課題となっています。

 そこで、IPAでは情報セキュリティー対策を実践するための手引きとして「中小企業の情報セキュリティ対策ガイドライン(以下、ガイドライン)」を作成・提供するとともに、自発的な情報セキュリティー対策を促すためにセキュリティアクション制度を創設しました。ガイドラインの実践をベースに「一つ星」と「二つ星」の2段階の目標を設定し、段階に応じて2種類のロゴマークを提供しています。

HPや名刺でアピールが可能

 1段階目の目標は、ガイドライン付録の「情報セキュリティ対策5か条(以下、5か条)」に取り組むことを宣言することです。これにより一つ星のロゴマークを利用できるようになります。5か条には以下の内容が含まれています。

  1. 基本ソフト(OS)やソフトウエアは常に最新の状態にしよう!
  2. ウイルス対策ソフトを導入しよう!
  3. パスワードを強化しよう!
  4. 共有設定を見直そう!
  5. 脅威や攻撃の手口を知ろう!

 5か条は、あまりお金をかけなくても実施できる効果的な対策で、これまで情報セキュリティー対策に取り組んでこなかった小規模企業でも容易に取り組める内容になっています。

 2段階目の目標は、ガイドライン付録の「5分でできる!情報セキュリティ自社診断(以下、自社診断)」で自社の対策状況を把握したうえで、「情報セキュリティポリシー(基本方針)」を定め、外部に公開したことを宣言することです。これで二つ星のロゴマークを利用することができます。

 自社診断は、25個のチェック項目を確認することで自社の対策状況を把握することができます。「情報セキュリティポリシー(基本方針)」策定を含め、ガイドラインを参照すれば中小企業自身でも取り組める内容です。

 セキュリティアクションの申し込み方法は、IPAのウェブサイトで使用規約を確認した後、取り組み目標を決めて使用申込書に記入し、電子メールまたはFAXで事務局宛てに提出するだけです。折り返し、ロゴマークの入手方法等が案内されます。

 ロゴマークは、自社のウェブサイトや名刺等に表示することができ、情報セキュリティーに自ら取り組んでいることを取引先へアピールすることが可能です。また、従業員のセキュリティー意識の向上にも役立ちます。自社や取引先の安心・安全を確保するためにも、セキュリティアクションに取り組んでみてはいかがでしょうか。

提供:株式会社TKC(2017年8月)

(注) 当Q&Aの掲載内容は、個別の質問に対する回答であり、株式会社TKCは当Q&Aを参考にして発生した不利益や問題について何ら責任を負うものではありません。 

▲ 戻る