セキュリティアクションでセキュリティ対策自己宣言してみた!一つ星を取得する方法

この記事は約 10 分で読めます。



「セキュリティアクション(SECURITY ACTION)」とは、「中小企業や情報セキュリティの関係団体」が中心となり、中小企業の情報セキュリティ対策普及の加速化に向けた取り組みで、中小企業自らが、情報セキュリティ対策に取組むことを自己宣言する制度として、安全・安心なIT社会を実現するために創設されました。
当記事では、セキュリティアクションの概要と、実際に「一つ星」を取得するまでの流れを紹介いたします。

1.セキュリティアクションの概要

前述した通り「セキュリティアクション(SECURITY ACTION)」とは、「中小企業や情報セキュリティの関係団体」が中心となり、中小企業の情報セキュリティ対策普及の加速化に向けた取り組みです。

その中小企業や情報セキュリティの関係団体とは、

  • 一般社団法人中小企業診断協会
  • 全国社会保険労務士会連合会
  • 全国商工会連合会
  • 全国中小企業団体中央会
  • 特定非営利活動法人ITコーディネータ協会
  • 特定非営利活動法人日本ネットワークセキュリティ協会
  • 独立行政法人情報処理推進機構
  • 独立行政法人中小企業基盤整備機構
  • 日本商工会議所
  • 日本税理士会連合会
    (五十音順)メンバ

などの錚々たる団体が関わっているんですね。

日本における中小企業の数は約380.9万者※1。全企業数に占める割合は99.7%※1もあるんですね!

※1
補足:中小企業の定義とその数について
「2016年版 中小企業白書」によると日本における中小企業の数は約380.9万者。全企業数に占める割合は99.7%です。
2016年版 中小企業白書

その「中小企業」とは、何を持って「中小企業」というのかというと、しっかりと中小企業基本法にて企業数、従業者数で定義されています。

製造業その他 卸売業 小売業 サービス業
資本金 3億円以下 1億円以下 5000万円以下 5000万円以下
従業員数 300人以下 100人以下 50人以下 100人以下

上記の数値を見ると、ほぼ中小企業だというのがよくわかりますね。
サイバーセキュリティ.com を運営している弊社ももちろん中小企業です。

ですので、日本国内のほぼすべての企業が対象となるセキュリティへの取り組みがこの「セキュリティアクション(SECURITY ACTION)」なのです。

近年進むIT化の中では、企業経営においてもIT活用が必要です。
もちろんその活用にはビジネスの発展に寄与する「攻め」への活用も必要ですが、それと同時に、情報セキュリティの対策を行うことによる「守り」も必要不可欠です。身近なところから始める「情報セキュリティ対策」としてこの「セキュリティアクション」はぴったりなので、自社のセキュリティ意識が気になった方は、ぜひ取り組みを始めてみると良いでしょう。

2.セキュリティアクションの主なメリット

セキュリティアクションを実践すること。セキュリティ対策自己宣言をすることによるメリットには、大きく下記の2つがあります。

2-1.メリット(1)自社スタッフのセキュリティ意識を向上できる

セキュリティアクションを実践することにより、スタッフに情報セキュリティに関わる知識を一度は説明をすることになりますが、その結果、「自社がどこまでできているのか?」「できていないところはどこなのか?」を再確認することにより、スタッフが普段の業務活動の中で、セキュリティを意識するようになります。
それにより、会社全体のセキュリティ意識の向上が促進し、簡単なミス(メールの誤送信など)による情報漏洩など未然に防ぐことができるようになります。

2-2.メリット(2)自社の取り組みをアピールできる

セキュリティアクションで、セキュリティ対策自己宣言をすることにより、セキュリティアクションのロゴを利用できるようになります。
そのロゴを、自社のホームページや名刺やパンフレットなどに掲載することにより、セキュリティ意識の高い企業であること、しっかりとした取り組みをしている会社として外部にアピールすることができます。

3.セキュリティアクションの段階とロゴマーク

セキュリティアクションにはその取り組むレベルに応じて「一つ星」「二つ星」の2段階があり、その取組み段階に応じて2種類のロゴマークを提供しています。
ロゴマークを、自社のポスター、パンフレット、名刺、封筒、ホームページ等に掲載して、自社の取組みをアピールに利用しましょう。

3-1.一つ星とは

こちらはすでにできている企業も多いかと思いますが、中小企業の情報セキュリティ対策ガイドライン付録の「情報セキュリティ5か条」に取組むことを宣言することで利用が可能になるロゴマークです。
情報セキュリティ5か条とは、下記の5つになります。

  1. OSやソフトウェアは常に最新の状態にしよう!
  2. ウイルス対策ソフトを導入しよう!
  3. パスワードを強化しよう!
  4. 共有設定を見直そう!
  5. 脅威や攻撃の手口を知ろう!

上記からもわかるように、多くの会社で、すぐに宣言できそうですね!
逆に、まだ対策をしていなかったので「すぐに宣言できない」という企業の方は、すぐにでも対策しないとまずいと言える項目ばかりです。

3-2.二つ星とは

こちらは一つ星よりも少々やるべきことが多いのですが、それほど大変なことでもないので、ぜひやって見ると良いでしょう。
やることは、下記の項目です。

  1. 中小企業の情報セキュリティ対策ガイドライン付録の「5分でできる!情報セキュリティ自社診断」で自社の状況を把握
  2. 情報セキュリティポリシー(基本方針)を定め、外部に公開したことを宣言

『「情報セキュリティポリシー(基本方針)を定める」という部分が大変そう』と思う方もいるかもしれませんが、セキュリティポリシーの雛形も公開されていて、それを元に作成ができるので、それほど大変ではないと思います。

詳細は、ぜひセキュリティアクションのページをご確認ください。
SECURITY ACTIONロゴマークについて

4.実際に取得申請してみた(一つ星編)

では、2017年4月28日にロゴマーク使用申込の受付が開始されたので、実際にどのような手順でセキュリティ対策自己宣言ができるのかを試してみました。

4-1.ホームページにアクセス

まずはIPAのサイト内にある、セキュリティアクションの特設サイトにアクセスしましょう。
https://www.ipa.go.jp/security/security-action/

上記にアクセスすると下記のような画面が開きます。

その中の内容をしっかり読んで把握しましょう!

4-2.「情報セキュリティ5か条」のチラシをダウンロード&内容の確認

今回申請する予定の「一つ星」では、情報セキュリティ5か条に取り組むことを宣言する必要がありますので、
その内容の把握のために情報セキュリティ5か条のチラシをダウンロードします。

ダウンロードはこちらのページから可能です。
https://www.ipa.go.jp/security/security-action/mark/

上記のページの「情報セキュリティ5か条」の部分からダウンロードできます。
ダウンロードしたものをプリントアウトしてみました。

5か条の内容は、

1.OSやソフトウェアは常に最新の状態にしよう!

OSやソフトウェアのセキュリティ上の問題点を放置していると、それを悪用したウイルスに感染してしまう危険性があります。お使いのOSやソフトウェアに修正プログラムを適用する、もしくは最新版を利用しましょう。

対策例

● Windows Update(Windows OSの場合)/ソフトウェア・アップデート(Mac OSの場合)OSバージョンアップ(Android の場合)
● Adobe Flash Player/Adobe Reader/Java実行環境(JRE)など利用中のソフトウェアを最新版にする

2 ウイルス対策ソフトを導入しよう!

ID・パスワードを盗んだり、遠隔操作を行ったり、ファイルを勝手に暗号化するウイルスが増えています。ウイルス対策ソフトを導入し、ウイルス定義ファイル(パターンファイル)は常に最新の状態になるようにしましょう。

対策例
● ウイルス定義ファイルが自動更新されるように設定する
● 統合型のセキュリティ対策ソフト(ファイアウォールや脆弱性対策など統合的なセキュリティ機能を搭載したソフト)
の導入を検討する

3 パスワードを強化しよう!

パスワードが推測や解析されたり、ウェブサービスから窃取したID・パスワードが流用されることで、不正にログインされる被害が増えています。パスワードは「長く」「複雑に」「使い回さない」ようにして強化しましょう。

対策例
● パスワードは英数字記号含めて10文字以上にする
● 名前、電話番号、誕生日、簡単な英単語などはパスワードに使わない
● 同じID・パスワードをいろいろなウェブサービスで使い回さない

4 共有設定を見直そう!

データ保管などのクラウドサービスやネットワーク接続の複合機の設定を間違ったため無関係な人に情報を覗き見られるトラブルが増えています。クラウドサービスや機器は必要な人にのみ共有されるよう設定しましょう。
対策例
● クラウドサービスの共有範囲を限定する
● ネットワーク接続の複合機やカメラ、ハードディスク(NAS)などの共有範囲を限定する
● 従業員の異動や退職時に設定の変更(削除)漏れがないように注意する

5 脅威や攻撃の手口を知ろう!

取引先や関係者と偽ってウイルス付のメールを送ってきたり、正規のウェブサイトに似せた偽サイトを立ち上げて>ID・パスワードを盗もうとする巧妙な手口が増えています。脅威や攻撃の手口を知って対策をとりましょう。

対策例
● IPAなどのセキュリティ専門機関のウェブサイトやメールマガジンで最新の脅威や攻撃の手口を知る
● 利用中のインターネットバンキングやクラウドサービスなどが提供する注意喚起を確認する

もちろん弊社はしっかりと対応しておりますし、このサイトを運営しているからにはスタッフにもしっかりと対応してもらってました。
(最近はスタッフの方が意識が高いかも)

いつも最新バージョンですし、
セキュリティソフト入れてますし、
パスワードも数年前まで同じものを使いまわしていたので、パスワードリスト攻撃の危険性がありましたが、そんなことはもうやってません。
共有設定の見直しや、退職した社員などにもみられないように情報もしっかり管理!
セキュリティに関する情報を配信しているので、多くの脅威や手口を把握しております。

4-3.申込書をダウンロード・記入

そんな形でしっかりと5か条を確認・対応し、スタッフにも共有したら、早速「SECURITY ACTION ロゴマーク使用申込書(新規)」をダウンロードして申し込みしましょう。
ダウンロードはこちらのページから可能です。
https://www.ipa.go.jp/security/security-action/mark/

早速プリントアウトして記入しました。

このような形で、しっかりと記入したら申し込みです。
(Wordファイルもあるので、パソコンで作成することも可能です)

4-4.FAXで送信

手書きで記入の場合は、FAX送信が簡単ですね。(Wordファイルの場合はメールで送信)

2017年4月28日に受付開始したので、その日のうちに申し込みしました!!
あとはどのような結果が来るか待ちましょう。

5.一つ星の使用許可が届いた!

申請から約1ヶ月後の5月29日に、IPAのSECURITY ACTION事務局から「受付手続が完了」との連絡をいただけました!

恐らくIPAさんも制度が始まったばかりで忙しかったかと思いますが、申請から約1ヶ月と思ったよりも早く使用許諾が得られました!
これで、まずは一つ星のマークを表示させることができるようになりました!

6.実際に貼ってみた!

早速当サイトにもアピールのために貼ってみました。
どこに貼ってあるでしょーか?


ページの右下に貼ってます!

次は二つ星の利用許可取得を目指しますが、
まずは皆様も、セキュリティを意識した会社であることをアピールするために簡単なところから、一つ星の利用をオススメします。
「自己対策セキュリティ宣言」してみましょう!

サイバ課長
新米セキュリティ担当課長。セキュリティについて新米すぎるので、資格取得のための勉強に日々。

こちらのページもご覧ください。

0からサイバーセキュリティの現状がわかる
情報漏洩セキュリティ対策
ハンドブックプレゼント

img_pdf1.はじめに
2.近年の個人情報漏洩の状況
3. 内部要因による情報漏洩
3-1.被害実例
3−2.内部犯行による被害統計情報
3-3.内部犯行による情報漏洩が増え続ける3つの原因
3-4.内部犯行を減らすための対策
4. 外部要因による情報漏洩
4−1.近年の個人情報漏洩の状況
4−2.実際の近年のサイバー攻撃による企業の被害実例
4−3.サイバー攻撃の統計情報
4-4.サイバー攻撃がふえ続ける5つの原因
4-5.急増する日本の企業のWEBサイト改ざんへの対策
4-6.サイバー攻撃の種類を把握しよう
4-7.日本におけるサイバー攻撃に対する国の対応と今後
4-8.外部要因による情報漏洩のセキュリティ対策
無料でここまでわかります!
ぜひ下記より無料ダウンロードしてみてはいかがでしょうか?

メルマガ登録はコチラ