SECURITY ACTION: 中小企業の情報セキュリティ対策を促進する制度
セキュリティを高めたい
「SECURITY ACTION」って、なんか難しそうな言葉だなあ。簡単に言うとどういう意味なの?
情報セキュリティ専門家
簡単に言うと、中小企業が「うちは情報セキュリティ対策をちゃんとやります!」と宣言することなんだ。IPAという機関が作ったガイドラインを基に、セキュリティ対策の目標を立てて、それを達成していくことを目指す制度だよ。
セキュリティを高めたい
へえ〜。でも、なんでわざわざ宣言する必要があるの?
情報セキュリティ専門家
実は、SECURITY ACTIONを宣言することで、取引先からの信頼を得やすくなったり、国の補助金を受けやすくなったりするメリットがあるんだ。セキュリティ対策をしっかり行っていることをアピールできる効果があるんだよ。
SECURITY ACTIONとは。
「SECURITY ACTION」っていう言葉は、情報セキュリティに関するものなんだ。これは、2017年の2月に、独立行政法人情報処理推進機構と中小企業の団体が一緒に作った「中小企業における情報セキュリティの普及促進に関する共同宣言」ってものから生まれたんだ。簡単に言うと、中小企業が自分たちで情報セキュリティ対策に取り組むことを宣言する制度のことだよ。情報処理推進機構が公開している「中小企業の情報セキュリティ対策ガイドライン」を元に、二段階の目標が設定されているんだ。経済産業省が作った「サイバーセキュリティ経営ガイドライン」でも、取引先などを巻き込んだ攻撃への対策として、「SECURITY ACTION」を挙げているんだ。この制度は、補助金の申請にも必要になってきているんだよ。情報処理推進機構のホームページでは、宣言した企業の一覧や、宣言した理由、具体的な対策方法などの情報も見られるようになっているよ。(※2024年2月現在)
SECURITY ACTIONとは
– セキュリティ対策への取り組み宣言SECURITY ACTION
「SECURITY ACTION」とは、中小企業が情報セキュリティ対策に自発的に取り組むことを公に表明する制度です。これは、2017年2月に独立行政法人情報処理推進機構(IPA)と中小企業関連団体が共同で発表した「中小企業における情報セキュリティの普及促進に関する共同宣言」をきっかけに創設されました。
この制度の特徴は、IPAが提供する「中小企業の情報セキュリティ対策ガイドライン」を参考に、段階的に目標を設定していく点にあります。これにより、中小企業は自社のセキュリティレベルや状況に合わせて、無理なく取り組みを進めることができます。
具体的には、「SECURITY ACTION」に参加を希望する企業は、IPAのウェブサイトから自己宣言書を提出します。この自己宣言書には、情報セキュリティ対策に関する取り組み状況や、今後の目標などが記載されています。
自己宣言を行うことで、企業は対外的にセキュリティ対策への意識の高さを示すことができます。また、「SECURITY ACTION」参加企業として、IPAのウェブサイトに企業情報が掲載されるため、取引先などからの信頼獲得にも繋がります。
このように、「SECURITY ACTION」は、中小企業が情報セキュリティ対策に取り組むための、実践的な枠組みを提供しています。
項目 | 内容 |
---|---|
制度名 | SECURITY ACTION |
目的 | 中小企業が情報セキュリティ対策に自発的に取り組むことを公に表明する制度 |
創設の背景 | IPAと中小企業関連団体による「中小企業における情報セキュリティの普及促進に関する共同宣言」(2017年2月) |
特徴 | IPAの「中小企業の情報セキュリティ対策ガイドライン」を参考に、段階的な目標設定が可能 |
参加方法 | IPAのウェブサイトから自己宣言書を提出 |
メリット | – セキュリティ対策への意識の高さを対外的に示すことができる – IPAのウェブサイトに企業情報が掲載され、信頼獲得に繋がる |
SECURITY ACTIONの意義
近年、悪意のある第三者によるインターネットを介した攻撃は増加の一途を辿っており、その手口は巧妙化しています。攻撃の対象も、これまで標的とされてきた大企業だけでなく、中小企業にも及ぶようになってきました。
中小企業は、資金や人員の制約から、セキュリティ対策に十分な資源を割くことが難しい場合も少なくありません。しかし、セキュリティ対策を怠ると、企業の重要な情報が盗まれたり、改ざんされたりするなど、事業活動に大きな支障をきたす可能性があります。最悪の場合、事業の継続が困難になることも考えられます。
このような状況を踏まえ、中小企業が情報セキュリティの重要性を認識し、自社のセキュリティレベルを向上させるための取り組みが求められています。SECURITY ACTIONは、具体策の実施を促すことで、中小企業のセキュリティ対策を推進するための制度です。この制度を通じて、自社のセキュリティ対策を見直し、必要な対策を講じることで、企業はサイバー攻撃によるリスクを低減し、安全な事業活動を実現することができます。
項目 | 内容 |
---|---|
現状 |
|
セキュリティ対策の必要性 | セキュリティ対策を怠ると、情報漏えい、改ざん等のリスクがあり、事業活動に支障をきたす可能性がある |
SECURITY ACTION | 中小企業がセキュリティ対策を推進するための制度。具体策の実施を促すことで、セキュリティレベル向上を目指す。 |
SECURITY ACTIONの効果 | サイバー攻撃によるリスクを低減し、安全な事業活動を実現 |
取り組み目標
– 取り組み目標
SECURITY ACTIONでは、企業がそれぞれのセキュリティレベルに合わせて段階的に対策を進められるよう、二つの取り組み目標を設定しています。
一つ目は「基本的な対策項目」です。これは、すぐにでも着手できる、実現性の高いセキュリティ対策を集めたものです。例えば、パスワードの使い回しを防ぐ、OSやソフトウェアを常に最新の状態に保つなど、基本的な yet 重要な対策が含まれています。
二つ目は「より強固なセキュリティ対策項目」です。こちらは、より高度な技術や専門知識を必要とする、強固なセキュリティ対策を定めています。具体的には、不正アクセスを防ぐためのアクセス制御システムの導入や、専門家によるシステムの脆弱性診断などが挙げられます。
企業は、自社の現状や目指すセキュリティレベルを考慮し、どちらかの取り組み目標を選択し、公表します。どちらの目標を選択した場合でも、継続的な改善とレベルアップを目指していくことが重要です。
取り組み目標 | 説明 | 例 |
---|---|---|
基本的な対策項目 | すぐに着手できる、実現性の高いセキュリティ対策 | ・パスワードの使い回し防止 ・OSやソフトウェアの最新化 |
より強固なセキュリティ対策項目 | 高度な技術や専門知識を必要とする、強固なセキュリティ対策 | ・アクセス制御システムの導入 ・専門家によるシステムの脆弱性診断 |
サプライチェーンにおける重要性
– サプライチェーンにおける重要性現代社会において、製品やサービスは多くの企業が関わる複雑な供給網を通じて私たちのもとに届きます。この供給網をサプライチェーンと呼びますが、近年、このサプライチェーン全体でのセキュリティ確保が、企業にとって非常に重要な課題となっています。経済産業省が定めた「サイバーセキュリティ経営ガイドライン」でも、このサプライチェーンにおけるセキュリティ対策の重要性が強く示されています。なぜなら、取引先企業のセキュリティ対策が不十分である場合、その影響は取引相手である自社にも及ぶ可能性があるからです。例えば、取引先企業がサイバー攻撃を受けて顧客情報が流出した場合、自社の顧客情報も危険にさらされる可能性があります。このようなリスクを軽減するために有効なのが、SECURITY ACTIONという取り組みです。これは、経済産業省が推進するサイバーセキュリティ対策の強化に向けた枠組みであり、企業が自社のセキュリティ対策を積極的に推進することを宣言するものです。そして、SECURITY ACTIONを宣言している企業と取引することは、取引先企業のセキュリティレベルが一定以上であることを保証することにつながります。このように、SECURITY ACTIONは、サプライチェーン全体でセキュリティレベルを引き上げる効果が期待できます。安心して事業を継続し、顧客の信頼を守り抜くためにも、サプライチェーン全体でセキュリティ意識を高め、適切な対策を講じることが重要です。
サプライチェーンにおけるセキュリティ対策の重要性 | SECURITY ACTION |
---|---|
現代社会では、多くの企業が関わるサプライチェーンを通じて製品やサービスが提供されているため、サプライチェーン全体でのセキュリティ確保が重要 取引先企業のセキュリティ対策が不十分だと、自社にも影響が及ぶ可能性があるため、サプライチェーン全体でセキュリティレベルを引き上げる必要がある |
経済産業省が推進するサイバーセキュリティ対策の強化に向けた枠組み 企業が自社のセキュリティ対策を積極的に推進することを宣言するもの SECURITY ACTIONを宣言している企業と取引することは、取引先企業のセキュリティレベルが一定以上であることを保証することにつながる |
宣言のメリット
情報セキュリティ対策に取り組むことを表明する「SECURITY ACTION」を宣言することには、企業にとって多くの利点があります。まず、独立行政法人 情報処理推進機構(IPA)の公式ウェブサイトに宣言企業として掲載されることで、顧客や取引先からの信頼獲得に繋がります。これは、企業が情報セキュリティを重視している姿勢を示す明確な指標となり、企業イメージの向上に大きく貢献します。
さらに、国が推進する「IT導入補助金」の申請要件にSECURITY ACTIONの宣言が含まれているなど、経済的な支援を受けやすくなるというメリットもあります。情報セキュリティ対策は費用がかかる場合が多いため、このような制度を活用することで、より安全な情報環境を構築しやすくなります。
その他にも、IPAが提供する情報セキュリティ対策に関する最新情報や専門家への相談窓口などを利用できるようになり、より効果的かつ効率的なセキュリティ対策の実施が可能となります。IPAからの情報提供や相談を通して、自社の課題やリスクに合わせた最適な対策を講じることができ、情報セキュリティに関する専門知識や経験が不足している場合でも、安心して対策を進めることができます。
メリット | 内容 |
---|---|
信頼獲得 | IPAのウェブサイトに宣言企業として掲載され、顧客や取引先からの信頼獲得に繋がる |
企業イメージの向上 | 情報セキュリティを重視している姿勢を示す明確な指標となり、企業イメージ向上に貢献 |
経済的支援 | IT導入補助金の申請要件にSECURITY ACTIONの宣言が含まれており、経済的支援を受けやすい |
情報セキュリティ対策の効率化 | IPAが提供する情報セキュリティ対策に関する最新情報や専門家への相談窓口などを利用できる |
SECURITY ACTIONのスムーズな導入
情報処理推進機構(IPA)は、企業や組織が安心して情報セキュリティ対策に取り組めるよう、「SECURITY ACTION」という取り組みを推進しています。
SECURITY ACTIONは、経営者が自社の情報セキュリティ対策の現状を把握し、具体的な対策目標と実施計画を策定し、宣言することで、社内外に自社のセキュリティ対策への意識の高さを示すことができる制度です。
IPAのホームページでは、SECURITY ACTIONをスムーズに導入するための様々な情報が公開されています。例えば、「SECURITY ACTION宣言の手引き」では、宣言の手順や必要書類などが具体的に解説されています。また、企業からのよくある質問をまとめたQ&A集や、実際にSECURITY ACTIONを宣言した企業の事例紹介なども掲載されており、企業は自社の規模や業種、セキュリティ対策の状況に合わせて必要な情報を収集することができます。
さらに、IPAが定期的に開催するセミナーや説明会に参加することで、SECURITY ACTIONの導入方法についてより具体的な説明を受けることも可能です。これらの情報や機会を活用することで、企業は効率的にSECURITY ACTIONを導入し、自社の情報セキュリティレベル向上につなげることが期待できます。
項目 | 内容 |
---|---|
概要 | 企業や組織が情報セキュリティ対策に取り組むことを宣言する制度 |
目的 |
|
支援内容 |
|