2020年 1月

企業のITセキュリティ講座

セキュリティ対策をアピールできる「SECURITY ACTION」とは

ライター/吉澤亨史

IT化の波により業種や企業規模の大小にかかわらず、全ての企業にセキュリティ対策が求められる時代になった。現在、独立行政法人情報処理推進機構(IPA)は、中小規模企業のセキュリティ対策の向上を目的に「SECURITY ACTION」という制度を提案している。同制度は、企業自らが情報セキュリティ対策に取り組むことを自己宣言するもの。ここでは、その取り組みと導入のメリットについてなどを紹介する。

「SECURITY ACTION」とは

日本の中堅・中小企業は、企業全体の9割を占めるといわれる。その企業群が、今サイバー攻撃の脅威にさらされている。その多くはセキュリティ対策に十分な予算や人手を割くことができず、適切なセキュリティ対策を構築できない状況だ。また、セキュリティ対策を構築しようにも、どこから手を付けてよいのか分からず、揚げ句には「うちにはサイバー攻撃を受けても盗まれるようなものはない」と開き直るケースさえある。

しかし、現在はITがビジネスの中核となっているため、サイバー攻撃を受けた場合の被害は重大な影響を及ぼす。「ショッピングサイトではないし、メールニュースを発行しているわけでもないから個人情報は持っていない」といっても、従業員の個人情報を保持している。情報漏えいを目的としたサイバー攻撃の標的になる可能性があるわけだ。また、マルウェアに感染して自社が発生源になってしまうこともある。さらには、自社を踏み台に業務の委託元などにサイバー攻撃が行われる可能性もあり、自社が知らぬ間に加害者になってしまうことさえ考えられる。

この現状を打開するために、独立行政法人情報処理推進機構(IPA)が中心となり、中堅・中小企業や情報セキュリティの関係団体が、経済産業省、中小企業庁の協力の下に、情報セキュリティ対策普及の加速化に向けた共同宣言を発表した。その一環が、“自発的な情報セキュリティ対策を促す”ための核となる取り組み「SECURITY ACTION」である。「SECURITY ACTION」は、企業自らが情報セキュリティ対策に取り組むことを自己宣言する制度だ。

「SECURITY ACTION」のWebサイト
(https://www.ipa.go.jp/security/security-action/)

目次へ戻る

「SECURITY ACTION」の内容と取り組み方

「SECURITY ACTION」はセキュリティ対策への取り組みを宣言するものだが、そこにはIPAが公開している「中小企業の情報セキュリティ対策ガイドライン」の実践をベースに、「1段階目(一つ星)」と「2段階目(二つ星)」が用意されている。一つ星は、同ガイドライン付録の「情報セキュリティ5か条」に取り組むことを宣言する。二つ星は、同ガイドライン付録の「5分でできる!情報セキュリティ自社診断」で自社の状況を把握したうえで、情報セキュリティポリシー(基本方針)を定め、外部に公開したことを宣言する。

「SECURITY ACTION」を宣言した企業は、一つ星あるいは二つ星のロゴマークを使用することができる。このロゴマークはIPAに使用申し込みを行うことで入手でき、ロゴマークをポスターやパンフレット、名刺、封筒、会社案内、ウェブサイト等に表示して、自らの取り組みをアピールすることができる。また、「情報セキュリティへの取り組みを宣言している中小企業等」として、「SECURITY ACTION」のWebサイトに掲載される。

宣言の際のベースとなる「中小企業の情報セキュリティ対策ガイドライン」は、情報セキュリティ対策に取り組む際の、「経営者が認識し実施すべき指針」および「社内において対策を実践する際の手順や手法」をまとめたもの。一つ星で取り組む付録の「情報セキュリティ5か条」では、「OSやソフトウェアは常に最新の状態にしよう!」「ウイルス対策ソフトを導入しよう!」「パスワードを強化しよう!」「共有設定を見直そう!」「脅威や攻撃の手口を知ろう!」を5か条として、概要と対策例を紹介している。

二つ星で取り組む「5分でできる!情報セキュリティ自社診断」は、基本的対策、従業員としての対策、組織としての対策に分類された全25の診断項目があるので、それぞれ実施状況をチェックしていく。項目ごとに詳細説明や対策が記載されているので、ガイドライン付録の「情報セキュリティハンドブック(ひな形)」を自社のルールに合わせて編集し、全従業員に配付するなどして一人一人が実施すべき対策の周知に取り組む。

一つ星で取り組む「情報セキュリティ5か条」
引用元:情報セキュリティ5か条|IPA
(https://www.ipa.go.jp/files/000055516.pdf)

目次へ戻る

「SECURITY ACTION」が目指すゴール

「SECURITY ACTION」は、経済産業省、中小企業庁が協力し、中堅・中小企業と関わりの深い商工団体・士業団体の全国組織、IT関連団体および関連する施策の実施機関である独立行政法人が強固に連携して推進する。つまり、国を挙げて取り組む施策の一環といえる。それは、無理をしてやみくもにセキュリティ対策機器やサービスを導入するのではなく、「守るべきものは何か」の意識付けを重視した施策となる。

中堅・中小企業のセキュリティ対策への意識改革を行うことで、セキュリティ対策の底上げを行い、日本の企業全体のセキュリティ対策を強固にすることが目的だ。その背景には、複雑化、巧妙化するサイバー攻撃の増加がある。特に、対策が手薄な企業群を足がかりに大企業やグローバル企業にアプローチする攻撃手法を警戒している。企業における情報資産の流出は、日本の国益を大きく損なうためだ。

また、今後はあらゆる企業にも高いセキュリティ対策が求められるようになる。特に注目されているのが、米国の「NIST SP800-171」の動向だ。これは企業の下請けを含む全てのサプライチェーンの企業に対し、一定のセキュリティ対策を義務付けるもの。米国のDoD(国防総省)が既に導入しており、米国政府は今後、全ての企業に適用する考えを示している。そうなると、米国企業の下請けをしている日本企業も対応しないと、サプライチェーンに組み込まれることすら難しくなる。

こうした背景から「SECURITY ACTION」は、かなり“本気の施策”といえる。例えば、「SECURITY ACTION」への参加が「IT導入補助金」や「サイバーセキュリティ対策促進助成金」の申請要件になっていたり、「全国中小企業クラウド実践大賞」の参加要件になっていたりと、参加するメリットも増えている。自社のセキュリティ意識を高め、攻撃や事故に遭わないためにも、「SECURITY ACTION」は参加する意義のある施策といえそうだ。

「SECURITY ACTION」への取り組みは、助成金などの要件になる
データ出典元:全国中小企業クラウド実践大賞|一般社団法人クラウド活用・地域ICT投資促進協議会「CLOUDIL」
(https://www.cloudil.jp/contest)

目次へ戻る

関連記事