SECURITY ACTION セキュリティ対策自己宣言

今回は「SECURITY ACTION セキュリティ対策自己宣言」についてになります。

壱市コンサルティングとしても2つ星★★まで自己宣言していますので、

制度の中身や登録までの流れ、補助金との関連性などについてお伝えします。

SECURITY ACTION とは

「SECURITY ACTION」は、2017年2月に独立行政法人情報処理推進機構(IPA)と一般社団法人中小企業診断協会などの中小企業関係団体が「中小企業の情報セキュリティ対策普及の加速化に向けた共同宣言」にて自発的な取り組みを促すように創設されたものです。

そう、中小企業が自ら、情報セキュリティ対策に取組むことを自己宣言して、安全・安心なIT社会を実現することを目的としています。

注意事項としては、IPAが認定しているものではなく、自らが宣言をしたという部分がポイントになります。

取り組みは目標に応じて、2段階に「☆一つ星」と「☆☆二つ星」のロゴマークがあり、宣言をすることで使用することができます。壱市コンサルティングでは、自己宣言をして「☆☆二つ星」のロゴマークをホームページで掲載しています。

「☆一つ星」

1段階目のものです。

中小企業の情報セキュリティ対策ガイドライン付録の「情報セキュリティ5か条」に取組むこと。

「☆☆二つ星」

2段階目のものです。

中小企業の情報セキュリティ対策ガイドライン付録の「5分でできる!情報セキュリティ自社診断」を活用して、自社の状況の把握して、情報セキュリティ基本方針を定めて、外部に公開すること。

全てサイト上で、進めていってそこまで時間をかけずに取り組むことができます。

☆一つ星」「情報セキュリティ5か条」

まずファーストステップである、「☆一つ星」の「情報セキュリティ5か条」ついてみていきます。

1.OSやソフトウェアは常に最新の状態にする

OSやソフトウェアを古いままに放置していると、セキュリティ上の問題点が解決されず、それを悪用したウイルスに感染してしまう危険性があります。使用するOSやソフトウェアには、修正プログラムを適用する、もしくは最新版を利用する必要があります。
対策例)
●Windows Update(Windows OSの場合)/ソフトウェア・アップデート(Mac OSの場合)/OSバージョンアップ(Androidの場合)
●Adobe Flash Player/Adobe Reader/Java 実行環境(JRE)など利用中のソフトウェアを最新版にします

2.ウイルス対策ソフトを導入する

ID・パスワードを盗んだり、遠隔操作を行なったり、ファイルを勝手に暗号化するウイルスが増えています。ウイルス対策ソフトを導入し、ウイルス定義ファイル(パターンファイル)は常に最新の状態にするには、修正プログラムを適用する、もしくは最新版を利用する必要があります。
例)
●ウイルス定義ファイルが自動更新されるように設定する
●統合型のセキュリティ対策ソフト(ファイアウォールや脆弱性対策など統合的な機能を搭載したソフト)の導入を検討する

3.パスワードを強化する

パスワードが推測や解析されたり、ウェブサービスから流出したID・パスワードが悪用されたりすることで、不正にログインされる被害が増えています。パスワードは「長く」「複雑に」「使い回さない」ようにして強化する必要があります。
例)
●パスワードは英数字記号を含め10文字以上にする
●名前、電話番号、誕生日、簡単な英単語などはパスワードに使わない
●同じID・パスワードをいろいろなウェブサービスで使い回さない

4.共有設定を見直す

データ保管などのウェブサービスやネットワーク接続した複合機の設定を間違ったために、無関係な人に情報を覗き見られるトラブルが増えています。無関係な人が、ウェブサービスや機器を使うことができるような設定になっていないことを確認する必要があります。
例)
●ウェブサービスの共有範囲を限定する
●ネットワーク接続の複合機やカメラ、ハードディスク(NAS)などの共有範囲を限定する
●従業員の異動や退職時に設定の変更(削除)漏れがないように注意する

5.脅威や攻撃の手口を知る

取引先や関係者と偽ってウイルス付きのメールを送ってきたり、正規のウェブサイトに似せた偽サイトを立ち上げて、ID・パスワードを盗もうとする巧妙な手口が増えています。脅威や攻撃の手口を知って対策をとる費用があります。
例)
●IPAなどのセキュリティ専門機関のウェブサイトやメールマガジンで最新の脅威や攻撃の手口を知る
●利用中のインターネットパンキングやクラウドサービスなどが提供する注意喚起を確認する

「☆二つ星」「5分でできる!情報セキュリティ自社診断」

「☆一つ星」の宣言を実施した上で、情報セキュリティを更に向上するために「☆☆二つ星」にステップアップしていきます。「5分でできる!情報セキュリティ自社診断」を活用します。

「5分でできる!情報セキュリティ自社診断」は、脅威や攻撃の変換、IT環境の変化への最新動向に対応できているかを自社で診断するものです。

診断編25問の質問に回答して、結果をもとに採点して、対策を検討するものです。

Part1は、基本的対策

全5問あります。脆弱性対策、ウイルス対策、パスワード管理、機器の設置、情報収集の5問です。

Part2は、従業員としての対策

電子メールのルール、無線LANのルール、インターネット利用のルール、バックアップのルール、保管のルール、持ち出しのルール、事務所の安全管理、情報の安全な処分、といった中から合計13項目になります。

Part3は、組織としての対策

守秘義務の周知、従業員教育、私物機器の利用、取引先管理、外部サービスの利用、事故への備え、ルールの整備の全7項目です。

自社診断のあとは、社内ルールの周知に取組みます。

「情報セキュリティハンドブック(ひな型)」を活用して自社のルールに合わせて編集し、全従業員に配布するなど一人ひとりが実施すべき対策の周知取り組むことができます。

https://www.ipa.go.jp/security/keihatsu/sme/guideline/

「SECURTY ACTION」は中小企業自ら、情報セキュリティ対策に取り組みを外部にアピールするものです

「5分でできる!情報セキュリティ自社診断」と「情報セキュリティポリシー(基本方針)」を定め、公開することで2段階目の「☆二つ星」のロゴマークを使用することできます。

SECURITY ACTION 補助金

IT導入補助金

IT導入補助金を申請する際に、SECURITY ACTIONを宣言することが必須条件となっています。

「★一つ星」または「★★二つ星」いずれかを宣言していることが申請要件になっています。

また、補助金申請の際には自己宣言IDが必要になります。

IT導入補助金とは、中小企業・小規模事業者等が自社の課題やニーズに合ったITツール(ソフトウエア、サービス等)を導入する経費の一部を補助することで、事業者様達の業務効率化・売上アップをサポートするものです。
 ITツールの導入時には、セキュリティ面を考慮することも重要ですし、導入後も、情報セキュリティ対策の継続や向上をめざす取組みが重要です。

ものづくり補助金 デジタル枠

ものづくり補助金 デジタル枠 第10次公募より新設されたものです。

このデジタル枠の要件に、独立行政法人情報処理推進機構(IPA)が実施する「SECURTY ACTION」の「★一つ星」または「★★二つ星」いずれかの宣言を、応募申請時点で行っていることが条件になっています。

デジタル枠は通常枠と比較すると、補助率がデジタル枠が2/3と通常枠の1/2より拡充されています。

以上から、「IT導入補助金」や「ものづくり補助金 デジタル枠」を申請する場合には必ず宣言しなければならないものとなっています。

SECURITY ACTION やってみて

最後に実際に申請してからかかった時間や実施した内容についてになります。

SECURTY ACTIONのサイトから、自己宣言の新規お申込みの別サイトに入ります。

https://www.ipa.go.jp/security/security-action/index.html

https://security-shien.ipa.go.jp/security/index.html

「☆一つ星」は基本情報等の登録や、使用規約への同意といった、内容を進めていき、アカウントを取得して、登録したメールアドレスの仮申し込みに対して、ログインして申し込みが完了するといった、

そこまで時間のかかるものではなかったです。

そして、「☆☆二つ星」ついての申請自体には時間がかかるものではなく、この制度の趣旨や

「5分でできる!情報セキュリティ自社診断」と「情報セキュリティポリシー(基本方針)」の内容を確認さえすればスムーズに進められるものでした。

そして、申請から約2週間後に、ロゴマークの使用許可の連絡がメールにて届きます。

IT化、DXの時代においてセキュリティ対策は、事業継続する上で非常に重要な位置づけとなりますので、

日頃から対策をする意識づけや知識のアップロードと常に変化に対して対応していう心構えが重要になっていくものだと感じます。宣言したからには、日々対策強化を心掛けたいものです。