取引先に広がるか?SECURITY ACTIONのススメ
セキュリティを知りたい
「SECURITY ACTION」って、具体的にどんなことをするの?
セキュリティ研究家
良い質問だね! 「SECURITY ACTION」は、簡単に言うと、会社が自ら情報セキュリティ対策をしっかりやります!と宣言して、それをみんなに知ってもらうための制度なんだ。
セキュリティを知りたい
ふーん。でも、ただ宣言するだけじゃ意味ないんじゃない?
セキュリティ研究家
その通り! 宣言するだけじゃダメなんだ。IPAという機関が作ったセキュリティ対策のガイドラインを参考に、自社のセキュリティ対策を強化していく必要があるんだよ。例えば、パスワードを複雑にするとか、セキュリティソフトを導入するとかね。
SECURITY ACTIONとは。
企業が安全に事業を行うために必要な知識である「SECURITY ACTION」について説明します。「SECURITY ACTION」は、独立行政法人情報処理推進機構と中小企業の関係団体が、2017年2月に「中小企業における情報セキュリティの普及促進に関する共同宣言」の中で立ち上げたものです。これは、中小企業自らが情報セキュリティ対策に取り組むことを表明する制度です。具体的な対策目標は、独立行政法人情報処理推進機構が公開している「中小企業の情報セキュリティ対策ガイドライン」を基に、2段階で設定されています。経済産業省が定めている「サイバーセキュリティ経営ガイドライン」の指示9「取引先などを含めた、企業全体の情報セキュリティ対策の状況把握と対策」においても、関連会社や取引先を経由した攻撃への対策例として、「関連会社や取引先、システム管理の委託先などがSECURITY ACTIONを実施しているかを確認する」とされています。さらに、中小企業・小規模事業者を対象としたIT導入補助金の申請においても、SECURITY ACTIONの宣言が必須条件となっています。(※2024年2月現在) 独立行政法人情報処理推進機構のホームページでは、これまでに宣言の手続きが完了した事業者の一覧や、宣言に至った理由、具体的なセキュリティ対策の見直し内容などをインタビュー形式で紹介しています。
SECURITY ACTIONとは
– SECURITY ACTIONとは
「SECURITY ACTION」とは、中小企業が、サイバー攻撃から事業を守るために、自ら情報セキュリティ対策を積極的に行うことを宣言し、行動していく制度です。2017年2月に独立行政法人情報処理推進機構(IPA)と中小企業関係団体が共同でこの制度を立ち上げ、中小企業における情報セキュリティの普及促進を呼びかけています。
昨今、企業を狙ったサイバー攻撃は増加の一途を辿っており、その手口も巧妙化しています。巧妙なフィッシング詐欺や、脆弱性を突いた攻撃など、その内容は多岐に渡ります。特に、資金や人員が限られ、セキュリティ対策が十分でない中小企業は、サイバー攻撃の格好の標的になりやすいと言えます。そのため、中小企業自らが、セキュリティ対策の重要性を認識し、積極的に対策に取り組むことが重要です。
SECURITY ACTIONでは、企業が取り組むべきセキュリティ対策を「SECURITY ACTIONチェックリスト」として具体的に示しています。このチェックリストは、IPAのウェブサイトで公開されており、誰でも無料でダウンロードできます。チェックリストの内容は、基本的なセキュリティ対策から、より高度な対策まで、幅広く網羅されています。自社のセキュリティ対策の現状を把握し、不足している対策を洗い出すために、このチェックリストを活用することをお勧めします。
| 項目 | 内容 |
|---|---|
| SECURITY ACTIONの定義 | 中小企業がサイバー攻撃から事業を守るために、自ら情報セキュリティ対策を積極的に行うことを宣言し、行動していく制度 |
| 背景 | 企業を狙ったサイバー攻撃の増加と巧妙化、セキュリティ対策が十分でない中小企業が標的になりやすい |
| 目的 | 中小企業における情報セキュリティの普及促進 |
| SECURITY ACTIONチェックリスト | IPAが無料で公開している、企業が取り組むべきセキュリティ対策を具体的に示したチェックリスト |
取り組み目標
– 取り組み目標
「SECURITY ACTION」は、企業が情報セキュリティ対策のレベルアップを目指せるよう、二段階の取り組み目標を設けています。この目標は、独立行政法人情報処理推進機構(IPA)が公表している「中小企業の情報セキュリティ対策ガイドライン」を基に定められています。
最初の目標である「SECURITY ACTION一つ星」は、情報セキュリティ対策の基礎固め期間と位置付けられています。この段階では、まず経営者が情報セキュリティの重要性をしっかりと理解し、社内全体で対策に取り組む体制を築くことが求められます。具体的には、情報セキュリティに関する責任者の設置、社員への教育、基本的なセキュリティ対策の実施などが求められます。
次の目標である「SECURITY ACTION二つ星」を取得するためには、「SECURITY ACTION一つ星」で構築した体制を基盤として、より強固なセキュリティ対策を実施していく必要があります。具体的には、リスク分析に基づいた対策の優先順位付け、より高度なセキュリティ技術の導入、社員への継続的な教育、そして、万が一セキュリティ事故が発生した場合の対応手順の策定などが求められます。また、「SECURITY ACTION二つ星」を維持するためには、定期的なセキュリティ対策の見直しや改善を継続的に行っていく必要があります。
| レベル | 目標 | 具体的な取り組み |
|---|---|---|
| SECURITY ACTION一つ星 | 情報セキュリティ対策の基礎固め |
|
| SECURITY ACTION二つ星 | より強固なセキュリティ対策の実施と継続的な改善 |
|
サプライチェーンを守る
– サプライチェーンを守る現代社会において、企業活動は複雑に絡み合ったサプライチェーンの上に成り立っています。一つの製品を作り上げるにも、多くの企業が関与しており、その過程の一つひとつが、サイバー攻撃の標的となる可能性を孕んでいます。経済産業省が提示する「サイバーセキュリティ経営ガイドライン」では、まさにこの点に焦点を当て、サプライチェーン全体を守る重要性を強く訴えています。企業は、自社のセキュリティ対策はもちろんのこと、取引先や委託先など、サプライチェーンに関わる企業全体にも目を向ける必要があります。これは、一社だけが強固なセキュリティ体制を築いていても、サプライチェーンの一角が脆弱であれば、そこから攻撃が侵入し、全体に被害が波及する可能性があるからです。では、具体的にどのようにサプライチェーン全体のセキュリティレベルを向上させればよいのでしょうか。その有効な手段の一つとして、「SECURITY ACTION」の宣言が挙げられます。これは、自社のセキュリティ対策への取り組みを積極的に外部に表明することであり、取引先企業に対して、自社のセキュリティに対する意識の高さを示す効果があります。「SECURITY ACTION」を宣言することで、取引先企業との間で、セキュリティに関する対話や情報共有が促進され、サプライチェーン全体で意識と対策レベルが向上していくことが期待されます。 企業は、サプライチェーン全体を「自社」という枠組みを超えた大きな視点で捉え、それぞれの立場でできることを積極的に行い、安全なビジネス環境を構築していく必要があります。
| ポイント | 詳細 |
|---|---|
| 現代社会における企業活動 | 複雑に絡み合ったサプライチェーンに依存。製品製造には多数の企業が関与し、各過程がサイバー攻撃の標的となる可能性あり。 |
| サプライチェーンセキュリティの重要性 | 経済産業省の「サイバーセキュリティ経営ガイドライン」は、サプライチェーン全体を守る重要性を強調。一社だけの対策では不十分で、取引先や委託先を含む全体への配慮が必要。 |
| サプライチェーン全体への対策 | サプライチェーンの一角の脆弱性が、全体への攻撃経路となる可能性があるため、全体的なセキュリティレベル向上が必須。 |
| 「SECURITY ACTION」宣言の推奨 | 自社のセキュリティ対策への取り組みを外部に表明することで、取引先企業への意識向上を促す効果がある。 |
| 「SECURITY ACTION」宣言の効果 | 取引先企業とのセキュリティに関する対話や情報共有を促進し、サプライチェーン全体の意識と対策レベル向上を図る。 |
| 企業の責任 | サプライチェーン全体を「自社」として捉え、各企業が積極的にセキュリティ対策に取り組み、安全なビジネス環境を構築する必要性。 |
補助金申請の要件に
– 補助金申請の要件に
近年、中小企業・小規模事業者を対象としたIT導入補助金制度が注目されています。この制度は、ITツールを導入することで業務の効率化や生産性の向上を目指す企業を支援するもので、多くの企業にとって大きなチャンスとなっています。
そして、この補助金を申請する上で、「SECURITY ACTION」の宣言が必須要件となっている点は、特に重要なポイントです。
「SECURITY ACTION」とは、サイバーセキュリティ対策への意識向上と具体的な行動を促すための取り組みです。IT導入によって期待される効果を最大限に引き出すためには、セキュリティ対策は欠かせません。もしセキュリティ対策が不十分なままIT化を進めてしまうと、サイバー攻撃による情報漏えいや業務システムの停止など、大きな損害を被る可能性があります。
補助金申請の要件としてセキュリティ対策を重視することは、企業にとって、経営の安定化と成長を同時に実現する上で非常に重要です。
IT導入補助金を活用し、セキュリティ対策を強化することで、企業は安心して事業に取り組むことができるようになります。これは、企業の競争力強化、ひいては日本経済全体の活性化にも繋がっていくと考えられます。
| 補助金制度 | 概要 | 重要ポイント | メリット |
|---|---|---|---|
| IT導入補助金制度 | ITツール導入による業務効率化・生産性向上を支援 | 「SECURITY ACTION」の宣言が必須要件 | – 経営の安定化 – 成長の実現 – 企業の競争力強化 – 日本経済全体の活性化 |
宣言のススメ
– 宣言のススメ
情報セキュリティ対策は、今や一部の企業だけが取り組めば良いというものではなくなりました。あらゆる企業にとって、顧客や取引先の情報、そして自社の重要な情報を守ることは、事業を継続していく上で不可欠な要素となっています。そこで、自社の情報セキュリティに対する取り組みを明確化し、社内外に示す「宣言」を行うことが重要性を増しています。
独立行政法人 情報処理推進機構(IPA)のホームページでは、「SECURITY ACTION」を宣言した企業の事例が多数紹介されています。この「SECURITY ACTION」とは、企業が情報セキュリティ対策に取り組むことを宣言し、その内容を公表する制度です。IPAのホームページでは、宣言に至った背景や具体的な対策内容、そして宣言後の効果などが具体的に紹介されており、これから宣言を検討する企業にとって有益な情報源となっています。
これらの事例から読み取れるのは、情報セキュリティ対策を「対岸の火事」と捉えず、自社の事業継続のための投資と捉える企業が増えているということです。宣言をきっかけに、社員一人ひとりの意識が高まり、より強固なセキュリティ体制を構築できたという声も多く聞かれます。情報セキュリティ対策は、もはや特別なものではなく、企業が持続的に成長していくための基盤と言えるでしょう。IPAの事例を参考に、自社にとって最適なセキュリティ対策を検討し、宣言することで、社会全体のセキュリティレベル向上に貢献していくことが期待されます。