SECURITY ACTIONとは?中小企業が情報セキュリティ対策を高めるメリットを解説
中小企業が行うべき情報セキュリティ対策として、SECURITY ACTIONの重要性が高まっています。中小企業がSECURITY ACTIONを実施することによって、社員の情報セキュリティ意識を高めることができます。社員の情報セキュリティ意識が高まれば、SECURITY ACTIONを実施する中小企業の信頼も、高まるに違いありません。この記事では、SECURITY ACTIONを実施するメリットについて解説し、一つ星と二つ星のロゴマークの意味と使い方をご紹介します。
目次
SECURITY ACTIONとは?
「SECURITY ACTION」は、中小企業自らが、情報セキュリティ対策に取組むことを、自己宣言する制度です。安全なIT社会を実現するためには、情報セキュリティ対策が不可欠となります。SECURITY ACTIONは、「中小企業の情報セキュリティ対策ガイドライン」を基本に、2段階に分けて取り組みます。最初の段階を「一つ星」と呼び、次の段階を「二つ星」と呼びますが、それぞれどんな意味があるのか解説しましょう。
・1段階目「一つ星」
最初の段階は、一つ星を宣言して、以下の「情報セキュリティ5か条」の実践に取り組みます。
・OSやソフトウェアは常に最新の状態にしよう!
・ウイルス対策ソフトを導入しよう!
・パスワードを強化しよう!
・共有設定を見直そう!
・脅威や攻撃の手口を知ろう!
この5か条は、情報セキュリティ対策の基本となるものですから、この中のいくつかは、すでに対策を実施している中小企業も多いでしょう。しかし、この5か条をすべて実施している企業は、それほど多くないかもしれません。SECURITY ACTIONは、情報セキュリティ対策の基本どおりに、この5か条すべてについて、しっかり対策を取ることになっています。
・2段階目「二つ星」
次の段階は、「5分でできる!情報セキュリティ自社診断」で、自社の状況を理解した上で、「情報セキュリティポリシー(基本方針)」を定め、外部に公開したことを宣言します。ITの発展は、社会に大いに貢献するものですが、その反面IT技術を悪用して、企業の極秘データが盗み出され、大きな被害が発生する可能性もあります。
このようなサイバー攻撃や、ハッキングの技術は年々巧妙かつ悪質化しており、サイバー攻撃対策を施した政府機関や大手企業は狙わずに、その配下の中小企業を狙ってネットワークに侵入し、大手企業や政府機関の情報を盗み出そうとしています。中小企業は、大手企業に比べてサイバー攻撃への対策が脆弱なので、そこを狙ってくるのです。
そのため、中小企業の情報セキュリティ対策が、急務となっています。こういった状況から、IPAと中小企業関係団体は、2017年2月に「中小企業における情報セキュリティの普及促進に関する共同宣言」を行い、中小企業自らが、情報セキュリティ対策を行うために設立されたのが、SECURITY ACTIONなのです。
SECURITY ACTIONのメリット
SECURITY ACTIONを実施行すると、以下のようなメリットがあります。
1.社員のセキュリティ意識が向上する
SECURITY ACTIONを実践するには、スタッフに情報セキュリティについて、理解させる必要があります。そのため、社員全員の、情報セキュリティに関する知識レベルが向上します。その結果、「自社の情報セキュリティはどこまでできているか」といったことや、「何が足りないか」といった点が明確になるので、よりセキュリティを高めるにはどうすれがいいのかを、社員全員が考えるようになります。
実はこれが非常に大切なのです。情報セキュリティの落とし穴は、意外なところにあります。たとえば、企業の情報を盗み出したり、企業のネットワークを麻痺させる手段として、ウイルスを仕込んだメールを送るという手法があります。これは、サイバー攻撃とは呼べないほど、初歩的で原始的な手法なのですが、意外に効果があるので現在でも使われています。
この手法は非常に簡単で、ターゲットにする企業の社員に対して、ウイルスを仕込んだメールを送るだけで、目的を果たすことができるのです。多くの社員にウイルス入りのメールを送り、その中で社員の1人がメールを開けば、ウイルスがネットワークに感染してしまいます。つまり、数百人、数千人の社員の中で、たった1人だけメールを開いてくれればいいのです。
もし社員全員が、情報セキュリティについて高い意識を持っていないと、1人だけでなく何人もの社員が、メールを開いてしまうおそれがあります。「知らない相手からのメールは決して開かない」というのは、セキュリティ対策の初歩なのですが、セキュリティ意識が高くない企業では、必ず誰かがウイルスが仕込まれたメールを開いてしまうのです。SECURITY ACTIONを実行することによって、社員のセキュリティ意識が向上すれば、このような事態は起こらなくなります。
2.自社の取り組みをアピールできる
SECURITY ACTIONを行うには、セキュリティ対策について、自己宣言をする必要があります。宣言すると、SECURITY ACTIONのロゴを使用できるので、そのロゴを自社のホームページや名刺、カタログ、パンフレットなどに掲載すれば、セキュリティ意識の高い企業として、取引先に認識してもらえるでしょう。
どの企業も、セキュリティ意識の低い企業とは、取引をしたくありません。なぜなら、その企業がサイバー攻撃を受けると、こちらの情報も盗まれてしまうからです。そのため、セキュリティ意識の高い企業であることを、アピールするのは非常に重要なのです。
3.補助金が受けやすくなる
企業が受けられる補助金の中には、SECURITY ACTIONの実施が条件となっているものもあります。そのため、SECURITY ACTIONを実施すことによって、補助金を受けられる可能性が広がるというメリットもあります。
SECURITY ACTIONの対象者
SECURITY ACTIONの対象となるのは、中小企業と個人事業主、中小企業と同等の団体に限られています。大企業は、SECURITY ACTIONの対象外なので注意しましょう。「同等規模」というのは、資本金や従業員数が、中小企業と同等という意味で、中小企業基本法や、その他の中小企業関係法令に基づいたものです。「団体」には、特定非営利活動法人、財団法人、社団法人、学校法人、有限責任事業組合、社会福祉法人、医療法人などが該当します。
SECURITY ACTIONロゴマークの種類
SECURITY ACTIONロゴマークには、「一つ星」と「二つ星」があります。一つ星と二つ星の意味を理解し、社員のセキュリティ意識を高めれば、対外的なアピールに活用することもできます。
一つ星
一つ星は、中小企業の情報セキュリティ対策ガイドラインにある、「情報セキュリティ5か条」を実践することを宣言した、中小企業や個人事業主、中小企業と同等の団体であることをしめすロゴマークです。
二つ星
中小企業の情報セキュリティ対策ガイドラインにある、「5分でできる!情報セキュリティ自社診断」で、自社のセキュリティレベルを把握した上で、情報セキュリティ基本方針を策定し、外部に公開することを宣言した、中小企業等であることをしめすロゴマークです。ちなみに、情報セキュリティ基本方針とは、理念、指針、原則、目標等を表した「方針書」「宣言書」を指します。
SECURITY ACTIONの進め方
SECURITY ACTIONは、以下の3つのステップで進めます。
取り組み目標を決める
SECURITY ACTIONはまず最初に、取り組み目標を決めるところから始めます。取り組み目標によって、「一つ星」と「二つ星」の、どちらかのロゴマークを使うことができます。一つ星のロゴマークを使用するためには、中小企業の情報セキュリティ対策ガイドラインにある、「情報セキュリティ5か条」を実践する必要があります。しかし、情報セキュリティ5か条に匹敵する取り組みができていれば、二つ星から始めることも可能です。
二つ星のロゴマークを使用するには、中小企業の情報セキュリティ対策ガイドラインにある、「5分でできる!情報セキュリティ自社診断」で、自社のセキュリティの現状を理解して、情報セキュリティ基本方針を定め、その内容を外部に公開する必要があります。現代の企業は、ITをいかに活用するかが重要となります。いまや、ITを切り離しては、社会も企業も成り立ちません。
しかし、ITは便利な反面、悪用されやすいというリスクもあります。そのため、ITを安全に活用するためには、セキュリティ対策が欠かせません。たとえ良質な商品を、安い価格で提供する企業であっても、セキュリティ対策がおろそかであれば、安心して取引できる企業とは認められないのです。そのため、中小企業や個人事業主が、セキュリティ対策に取り組んでいることを宣言して、対外的にアピールすることが重要となっています。
このような背景を受けて、情報処理推進機構(IPA)が設立され、SECURITY ACTION制度が実施されるようになったのです。ちなみに、SECURITY ACTIONは、認定制度ではなく、「自己宣伝する」ことが大きなポイントとなっています。つまり、SECURITY ACTIONは上から押し付けるものではなく、中小企業が自らセキュリティ意識を高め、進んで対策を講じることを目的としているのです。
SECURITY ACTIONは、セキュリティ対策に取り組むことを宣言すれば、ロゴマークを使うことができるので、やる気さえあればどの中小企業でも、すぐに取り組めるのが大きなメリットです。SECURITY ACTIONには、厳しい条件が設けられているわけでもなく、ロゴマークも無料で使用できます。つまり、誰でも簡単に使用できて、少しでも多くの中小企業に、セキュリティ意識を高めてもらいたいというのが、SECURITY ACTION設立の目的なのです。
自己宣言する
SECURITY ACTIONのロゴマークは、自社のホームページや名刺、カタログ、パンフレットなどに掲載して、セキュリティ対策の取り組みをしている企業であることを、対外的にアピールすることができます。取引先を選ぶ際に、セキュリティ対策をしているかどうかは、かなり重要なポイントになるので、SECURITY ACTIONの実施は営業面でも重要になります。
ステップアップする
SECURITY ACTIONの実施は、一つ星から始めてセキュリティ対策を向上させ、二つ星を目指します。二つ星を実現した企業は、さらに情報セキュリティのレベルを上げるように、努める必要があります。
まとめ
SECURITY ACTIONは、中小企業が行うべき情報セキュリティ対策です。SECURITY ACTIONを実施して、社員の情報セキュリティ意識を高めると、その企業のイメージも良くなります。SECURITY ACTIONは、まず一つ星を宣言し、セキュリティ対策を進めて次に二つ星を宣言します。
社員の情報セキュリティ意識を高めるのは非常に重要で、1人1人の社員がセキュリティ対策を取ることによって、サイバー攻撃を防ぐことができます。SECURITY ACTIONを実施して、一つ星や二つ星を宣言すると、ロゴマークが使えるようになるので、ホームページや名刺、カタログなどに掲載することによって、セキュリティ意識の高い企業であることを、アピールしましょう。
IT導入補助金