セキュリティ・アクション(SECURITY ACTION)は、独立行政法人情報処理推進機構(IPA)が運営する、中小企業自らが情報セキュリティ対策に“取り組むこと”を自己宣言する制度です。
セキュリティ・アクションでは、取組み目標に応じて「★一つ星」と「★★二つ星」のロゴマークが提供されます。
あくまで自己宣言なので、ロゴマークの使用に費用は掛かりません。
様々な情報セキュリティ・リスクの高まり
近年、世界的に、情報セキュリティ・リスクが高まっています。
攻撃手法も日々高度化・巧妙化が進み、その攻撃目的も金銭や情報の窃取、主義・主張の表明、テロ・破壊行為など多様化しています。
ハッカーは、ネット上で、常に新たなウィルスを開発したり、ハッキング技法を編み出したりして、様々なサイトに、不正アクセスやサイバー攻撃を仕掛けてきます。
このため、企業は機密情報や、顧客等の個人情報の流出などで、いつ、どのくらいの規模の損失が発生するか、予測できない状況となっています。
コンピュータやインターネットへ更に急速に依存していく事業環境の中、情報セキュリティ・リスクの深刻度は益々高まる傾向にあり、多くの企業において情報セキュリティ・リスクは事業活動を脅かす新たな経営課題の一つであると認識されてきています。
セキュリティ・アクション(SECURITY ACTION)とは
情報セキュリティ・リスクが経営課題の一つであると認識されている中、
中小企業の50%以上では、情報セキュリティ担当者を任命していないといった調査結果があるようです。
また、
- マイナンバー制度の運用開始や改正個人情報保護法の施行
- 東京オリンピックに向けてサイバー攻撃の増加が予想される
といった背景もあり、
安全・安心なIT社会を実現するために、
2017年2月に情報処理推進機構(IPA)、全国商工会連合会、ITコーディネータ協会など複数の関係団体は、中小企業におけるITの利活用拡大に向けて、
- 中小企業における情報セキュリティへの意識啓発
- 自発的な対策の策定、実践を促進
を図るため、連携して活動することを宣言しました。
その具体的な活動として創設されたのが、中小企業自ら取り組みを自己宣言する制度「SECURITY ACTION」です。
セキュリティ・アクションの取組み目標
セキュリティ・アクションは、中小企業自らが、情報セキュリティ対策に取組むことを自己宣言する制度です。
自社の情報セキュリティを高め、強い組織を目指しましょう。
セキュリティ・アクションでは、「中小企業の情報セキュリティ対策ガイドライン」(IPA)の実践をベースとした2段階の取組み目標が用意されています。
◆1段階目の取組み目標(一つ星)
1段階目の取組み目標(一つ星)は、「情報セキュリティ5か条」に取り組むことを宣言することです。
まずは、「宣言する」ことから始めましょう!!
「情報セキュリティ5か条」には次の5つがあります。
1.OSやソフトウェアは常に最新の状態にしよう!
OSやソフトウェアのセキュリティ上の問題点を放置していると、それを悪用したウイルスに感染してしまう危険性があります。
お使いのOSやソフトウェアに修正プログラムを適用する、もしくは最新版を利用しましょう。
2.ウイルス対策ソフトを導入しよう!
ID・パスワードを盗んだり、遠隔操作を行ったり、ファイルを勝手に暗号化するウイルスが増えています。
ウイルス対策ソフトを導入し、ウイルス定義ファイル(パターンファイル)は常に最新の状態になるようにしましょう。
3.パスワードを強化しよう!
パスワードが推測されたり、ひとつのウェブサービスから流出したID・パスワードが悪用されることで、不正にログインされる被害が増えています。
パスワードは「長く」「複雑に」「使い回さない」ようにして強化しましょう。
4.共有設定を見直そう!
データ保管などのクラウドサービスやネットワーク接続の複合機の設定を間違ったため無関係な人に情報を覗き見られるトラブルが増えています。
クラウドサービスや機器は必要な人にのみ共有されるよう設定しましょう。
5.脅威や攻撃の手口を知ろう!
取引先や関係者と偽ってウイルス付のメールを送ってきたり、正規のウェブサイトに似せた偽サイトに誘導してID・パスワードを盗もうとする巧妙な手口が増えています。
脅威や攻撃の手口を知って対策をとりましょう。
たったの5つの取り組みだけでも効果あり!!
情報処理推進機構(IPA)が公表した「情報セキュリティ10大脅威2018」になります。
| 組織の脅威 | 順位 | 個人の脅威 |
| 標的型攻撃による被害 | 1 | インターネットバンキングやクレジットカード情報等の不正利用 |
| ランサムウェアによる被害 | 2 | ランサムウェアによる被害 |
| ビジネスメール詐欺による被害 | 3 | ネット上の誹謗・中傷 |
| 脆弱性対策情報の公開に伴う悪用増加 | 4 | スマートフォンやスマートフォンアプリを狙った攻撃 |
| 脅威に対応するためのセキュリティ人材の不足 | 5 | ウェブサービスへの不正ログイン |
| ウェブサービスからの個人情報の窃取 | 6 | ウェブサービスからの個人情報の窃取 |
| IoT機器の脆弱性の顕在化 | 7 | 情報モラル欠如に伴う犯罪の低年齢化 |
| 内部不正による情報漏えい | 8 | ワンクリック請求等の不当請求 |
| サービス妨害攻撃によるサービスの停止 | 9 | IoT機器の不適切な管理 |
|
犯罪のビジネス化(アンダーグラウンドサービス) |
10 | 偽警告によるインターネット詐欺 |
これら「組織の脅威」と、その脅威に対抗する「5つの取り組み」との関係は下表のとおりです。
5つの取り組みで10大脅威にほぼ100%対抗できることが分かります。
| 順位 | 組織の脅威 |
ソフトウェア の更新 |
ウイルス対策 ソフト |
パスワード の強化 |
共有設定 の見直し |
脅威の手口 を知る |
| 1 | 標的型攻撃による被害 | 〇 | 〇 | 〇 | 〇 | |
| 2 | ランサムウェアによる被害 | 〇 | 〇 | 〇 | 〇 | |
| 3 | ビジネスメール詐欺による被害 | 〇 | 〇 | 〇 | 〇 | |
| 4 | 脆弱性対策情報の公開に伴う悪用増加 | 〇 | 〇 | 〇 | ||
| 5 | 脅威に対応するためのセキュリティ人材の不足 | - | - | - | - | - |
| 6 | ウェブサービスからの個人情報の窃取 | 〇 | 〇 | 〇 | 〇 | 〇 |
| 7 | IoT機器の脆弱性の顕在化 | 〇 | 〇 | |||
| 8 | 内部不正による情報漏えい | 〇 | 〇 | |||
| 9 | サービス妨害攻撃によるサービスの停止 | 〇 | 〇 | |||
|
10 |
犯罪のビジネス化(アンダーグラウンドサービス) |
〇 | 〇 | 〇 | 〇 | 〇 |
◆2段階目の取組み目標(一つ星)
2段階目の取組み目標(一つ星)は、「5分でできる!情報セキュリティ自社診断」を実施し、「情報セキュリティポリシー(基本方針)」を定め、公開したことを宣言することです。
具体的に、次の2つのことを行います。
1.5分でできる!情報セキュリティ自社診断を実施する
25個の診断項目に答えるだけで、自社の情報セキュリティの問題点を簡単に把握できる診断ツールです。
•基本的対策(5項目)
•従業員としての対策(13項目)
•組織としての対策(7項目)
➡ 5分でできる!情報セキュリティ自社診断シート(IPAサイト)
➡ オンライン版の診断ツール(IPAサイト)
➡ シート版の診断ツール(IPAサイト)
2.情報セキュリティポリシー(基本方針)を公開する
情報セキュリティに関する企業としての方針、取組みの指針などを明文化したもの作成して、自社のウェブサイトや会社案内等にて公開します。
情報セキュリティポリシー(基本方針)の記載項目例
- 組織体制の整備の方針
- 法令・ガイドライン等の遵守の方針
- セキュリティ対策の実施の方針
- 継続的改善の方針 など
IT導入補助金の必須条件となったセキュリティ・アクション
2017年度に引き続き、2018年度もサービス等生産性向上IT導入支援事業( IT導入補助金 )が継続実施されることになりました。
2018年度のIT導入補助金の申請要件では、セキュリティ・アクション(SECURITY ACTION)の宣言が必須要件となりました。
生産性向上のためのIT導入補助金の活用法については
≫ IT導入補助金を活用して生産性を向上する
をご覧ください。