SECURITY ACTION(セキュリティ対策自己宣言)とは? 【2026年版】 - 経営者の決意表明から始める、中小企業のセキュリティ
この記事では SECURITY ACTION の概要だけでなく、「なぜこの制度が必要・有効なのか」「取り組むにあたって、何が大事なのか」なども含め、分かりやすく解説します。
なお、本記事の内容は、2026年5月時点で公開されている情報に基づいており、SECURITY ACTION の申込方法(2026年4月のシステム刷新)や、後半で触れるSCS評価制度(運用前)などは、今後変更される可能性があります。最新の情報は、IPA(情報処理推進機構)および経済産業省の公式ウェブサイトでご確認ください。なお本記事は、特定の制度の取得が必須であると主張するものではありません。自社の状況に合わせた検討の材料としてお読みください。
はじめに:「最近どうですか?」と聞かれた、ある会話から
会社のなかで、こんな会話を交わす場面を想像してみてください。
専務「社長、A社との打ち合わせで、最近当社のセキュリティ対策はどうなっているか聞かれまして」
社長「セキュリティ?まあ、ITに詳しいZくんに任せておけば大丈夫だろう」
専務「実は、その流れで『SECURITY ACTION の宣言を行う会社が増えている』と聞きまして、社長に相談したいんです」
取引先との打ち合わせのなかで、セキュリティの話題が出る場面は、少しずつ増えています。とはいえ、何から始めればよいかわからないという方に向けて、この記事では、その解決の糸口になる SECURITY ACTION を、できるだけ短く、わかりやすくお伝えします。
お伝えしたい一番のポイント
SECURITY ACTION は、ロゴをもらう手続きではありません。取引先、顧客、従業員といったステークホルダーに向けた、経営者の決意表明と約束です。約束を言葉だけで終わらせないために、全従業員のセキュリティリテラシーという土台が要ります。
土台のうえに、経営者の宣言が乗る。この順番が大事です。
目次
SECURITY ACTION とは?「自己宣言」という言葉の本当の意味
SECURITY ACTION は、IPA(情報処理推進機構)が運営する、中小企業向けの「セキュリティ対策自己宣言」の制度です。
この制度には、二つの段階があります。一つ星は「情報セキュリティ6か条」に取り組むことを宣言する段階。二つ星は自社の点検と基本方針の策定を宣言し、外部公開する段階です。
ここで誤解しやすいのが「自己宣言」という言葉です。宣言した事業者は、IPAのサイトに「宣言事業者」として公開されます。つまり、「自社で勝手に言っている」だけではなく、取引先や顧客といったステークホルダーに向けた約束となるのです。
「うちは攻撃されない」は、なぜ間違いなのか
経営者の方とお話ししていて、よく耳にする声があります。「ニュースで聞くサイバー攻撃は、大企業の話でしょう。うちは中小だから関係ない」。「狙われるほどの情報も、お金もない」。
その直観的な感覚は、ごく自然なものです。ただ、攻撃の現場の動きは、少し違うところを向いています。
攻撃者は、いちばん楽な入口を選ぶ
大企業は、年々防御が強くなっています。攻撃者にとっては、正面から強固な金庫を破るより、その金庫の鍵を預かっている取引先の事務所から入るほうが、はるかに楽です。
この構図のことを、サプライチェーン攻撃と呼びます。鎖(チェーン)のいちばん弱い輪から狙う。だから攻撃者は、会社の規模ではなく、入口の弱さを見ています。
「サプライチェーンへの攻撃」は、国の脅威ランキングでも、ずっと上位をキープ
IPA「情報セキュリティ10大脅威 2026」の組織編で、「サプライチェーンや委託先を狙った攻撃」は2位に入りました(出典:IPA「情報セキュリティ10大脅威 2026」)。しかも、8年連続8回目の選出です。一過性の流行ではない、ということです。
なお、組織編の1位は「ランサム攻撃による被害」で、2023年以降4年連続で1位を続けています。中小企業を踏み台にした取引先への侵入と、ランサム攻撃の組み合わせは、現代の脅威の典型像と言えます。
実態調査が示す、取引先との関係
IPA が全国の中小企業4,191社を対象に行った「2024年度 中小企業における情報セキュリティ対策に関する実態調査」(2025年5月公表)では、サプライチェーン全体での対策の不備が、取引先にも深刻な影響を及ぼしていることが報告されています(出典:IPA「2024年度 中小企業における情報セキュリティ対策に関する実態調査」)。
同じ調査では、およそ1割強の中小企業が、取引先から情報セキュリティに関する要請をすでに受けています。冒頭の会話例で、A社から「最近セキュリティどうですか?」と聞かれたのは、単なる雑談ではなく、相手の会社が自社を守るためにサプライチェーン全体を見渡していることが背景にあるかもしれません。
企業規模は関係なく、「自社も標的である」認識が重要
攻撃の入口は、メールの誤クリック、古いソフトウェア、弱いパスワードなど、会社の規模に関係なく開いている穴です。
「うちは攻撃されない」のではなく、「うちも、すでに標的にされている」。この出発点に立つだけで、見える景色が変わります。
★の段階と SECURITY ACTION の位置づけ
中小企業のセキュリティ対策には、いくつかの段階があります。ここでは、SECURITY ACTION と、その先のSCS評価制度を含めた4段階を、ひとつの表に整理しておきます。
|
段階 |
名称 |
種類 |
主な内容 |
|
★1 |
一つ星 |
自己宣言 |
「情報セキュリティ6か条」への取り組みを宣言 |
|
★2 |
二つ星 |
自己宣言 |
自社診断と基本方針の策定を宣言、外部公開 |
|
★3 |
三つ星 |
評価(運用前) |
専門家確認付きの自己評価(SCS評価制度) |
|
★4 |
四つ星 |
評価(運用前) |
第三者評価(SCS評価制度) |
表1:★1〜★4の位置づけ。★3・★4は運用前のため、最終的な要件は今後の公表情報をご確認ください
★1と★2が、本記事の主役 SECURITY ACTION です。★3・★4はSCS評価制度の領域です。SCS評価制度については、別記事「SCS評価制度とは?★3取得を見据えた専門家要件と社内育成の進め方【2026年版】」で詳しく解説しています。
中小企業によくある誤解
もうひとつ、よく耳にする声があります。「うちには、漏れて困る秘密なんかないよ」。この言葉です。
IPA の「情報セキュリティ6か条」のパンフレット(IPA「情報セキュリティ6か条」2026.4 Version 1(PDF))の表紙に、ちょうど同じ問答が載っています。少し言葉を借りて、並べ直してみます。
「ウチには秘密なんかないなあ」
いいえ、こんな情報があるはずですよ、とIPAは答えています。
-
従業員のマイナンバー、住所、給与明細
-
お客様や取引先の連絡先の一覧
-
取引先ごとの仕切り額や、取引実績
-
新製品の設計図など、開発に関わる情報
- 取引先から「取扱注意」と預かった情報
並べてみると、どれも会社にとって、当たり前に大切なものばかりです。
「サイバー攻撃といっても、被害など知れているのでは?」
これもIPAの同じ問答の続きです。漏れたら大変、という具体例が並びます。
-
被害者への損害賠償の支払い
-
取引停止、顧客の流出
-
ネット遮断などによる、業務効率のダウン
- 従業員の士気の低下
どれも、起きてからでは取り戻しにくいものばかりです。だからこそ、起きる前の入口で備えておくことが重要です。
「情報セキュリティ6か条」を読む前に:家電とITは「モノ」と「コト」
ここで、少しだけ寄り道をします。次の「情報セキュリティ6か条」が腹に落ちるための、前提となる話です。
テレビや冷蔵庫といった家電は、「モノ」です。買ったら、壊れるまで使えます。設計図は、買った日も10年後も同じ。だから「アップデート」という言葉も、家電にはほとんど出てきません。
一方、パソコンやサーバーなどのITは、「コト」に近い性格を持っています。製造業の現場でいう「作業標準」をイメージしてください。新しい不具合や知見が見つかれば、その都度、作業標準が改訂されます。古い作業標準のまま現場を回し続ければ、いつか事故が起きる。ITも同じです。
|
観点 |
家電(モノ) |
IT (コト、作業標準に近い) |
|
性格 |
完成品。買った日と同じ姿で使える |
中身が更新され続ける。最新が日々動く |
|
古さの意味 |
目に見える故障や劣化 |
見えないところで欠陥や不備などが広がっていく |
|
手入れの仕方 |
壊れたら修理/買い替え |
定期的な更新(アップデート)が前提 |
表2:家電(モノ)とIT(コト)の違い
この前提に立つと、以下のキーワードが、急に身近になります。
-
アップデート:新しい作業標準を現場に落とす作業のこと。面倒な手続きではなく、最新の正しいやり方を取り込む作業です。
-
アカウント:誰がやった操作かを区別する仕組みのこと。家電に基本的にはアカウントがないのは、誰が使っても同じだからです。ITは誰が操作したかによって動きが異なるので、誰がいつ何をしたかを区別する必要があります。
-
ウイルス:勝手にパソコンに住み着いて悪さをするプログラムのこと。家電にウイルスが入ることが少ないのは、基本的には入り込みづらい仕組みになっているからです。
この3つの言葉が「面倒な専門用語」から「会社の作業標準の延長」に見えてくると、次の「6か条」の必要性が腹落ちしやすくなるのではないでしょうか。
情報セキュリティ6か条:宣言の中身を理解する
それでは、一つ星(★)で宣言する「6か条」を、ひとつずつ読んでいきます。出典は、IPA「情報セキュリティ6か条」2026.4 Version 1(PDF)です。各項目は「IPAの説明」「身近な比喩」「対策の要点」の3つに分けてご紹介します
|
# |
宣言する内容 |
身近な比喩 |
|
1 |
OS やソフトウェアは常に最新の状態にしよう! |
現場の作業標準を、最新版に保つ |
|
2 |
ウイルス対策ソフトを導入しよう! |
工場に、不良品を検知する検査機を設置する |
|
3 |
パスワードを強化しよう! |
アカウントは出入口、パスワードは鍵 |
|
4 |
共有設定を見直そう! |
社内で「誰が何を見られるか」を正しく決める |
|
5 |
バックアップを取ろう! |
大事な書類の控えを、別の場所に保管する |
|
6 |
脅威や攻撃の手口を知ろう! |
詐欺の最新の手口を、現場で共有する |
表3:「情報セキュリティ6か条」の一覧(2026.4 Version 1)
1:OSやソフトウェアは常に最新の状態にしよう!
OS(基本ソフト)やアプリを古いまま放置していると、セキュリティ上の問題点が解決されないまま、それを悪用するウイルスに感染する危険性が増えます。
比喩で言えば、これは「現場の作業標準を、最新版に保つ」ことに近い動きです。古い手順書のまま現場を回す会社はあまりないと思います。ITも同じです。Windows UpdateなどのOSアップデートを止めないこと、ブラウザなどのソフトウェア を最新にしておくこと。要点はそこに集約されます。
2:ウイルス対策ソフトを導入しよう!
ユーザー名やパスワードを盗む、遠隔操作する、ファイルを勝手に暗号化するなど、ウイルスは年々進化しています。これに備えて、検知の仕組みを持っておくことです。
比喩で言えば、工場に置く検査機です。要点は2つ。ウイルス対策ソフトを入れることと、ウイルス定義ファイル(パターンファイル)を自動更新にしておくこと。検査機は、新しい不良品の型を覚えていないと、見逃します。
3:パスワードを強化しよう!
ぜひ知っておいてほしい考え方があります。
アカウントは「会社の出入口」で、パスワードはその「鍵」です。鍵が単純なら、誰でも開けられます。鍵がほかの建物と同じなら、ひとつ盗まれただけで、すべての建物に入られます。
もうひとつ大切なのが、その鍵を複数人で共有しないことです。「同じユーザー名とパスワードを、部署のみんなで使い回す」やり方は、楽ですが危険です。鍵をみんなで持ち回れば、それだけ漏れる機会が増えるうえに、誰が開けたのかも追えなくなります。退職者が出てもパスワードを変えにくく、結局ずるずると同じ鍵を使い続けがちです。できるだけ一人ひとりに、自分専用の鍵(個別のアカウント)を持たせるのが安全です。
対策の要点は3つ。パスワードは、長く(10文字以上)、複雑に、使い回さない。可能なら、多要素認証(指紋やショートメッセージなど、複数の手段で本人確認をする仕組み)も合わせて使います。
【注記】 パスワードの管理には、近年さまざまな考え方があります。たとえば米国NISTの文書(SP 800-63B-4)は、構成上の複雑さを一律に強制するより、長さと漏えいの確認を重視する方向を示しています。本記事でパスワードを「長く、複雑に、使い回さない」と紹介しているのは、SECURITY ACTION の一つ星がIPAの「情報セキュリティ6か条」に取り組むことを宣言する制度であり、その「6か条」の記載を引用しているためです。自社の方針を検討する際は、最新の各種ガイドラインも併せてご確認ください。
4:共有設定を見直そう!
クラウドストレージや、ネットワークにつながった複合機、共有フォルダなど、「見せる範囲」を間違えると、無関係な人に情報を見られてしまうことがあります。
比喩で言えば、社内で「誰が何を見られるか」を正しく決めることです。アクセスできる人を必要な範囲にしぼり、社外に出してよい情報と、社内だけにとどめる情報を、はっきり分けておきます。
対策の要点は、共有範囲を必要な人だけに限定すること、そして、異動や退職があったときに、速やかにアクセス権を見直すことです。
5:バックアップを取ろう!
バックアップの取得は、2026年3月の「中小企業の情報セキュリティ対策ガイドライン」改訂(第4.0版)で新たに加わった項目です(出典:IPA「中小企業の情報セキュリティ対策ガイドライン」)。背景には、IPA「情報セキュリティ10大脅威 2026」で、ランサム攻撃が組織編の1位(2023年以降4年連続)を続けている事情があります。ランサム攻撃とは、データを勝手に暗号化して、解除と引き換えに金銭を要求するタイプの攻撃です。
比喩で言えば、大事な書類の控えを、別の場所に保管しておく動きです。要点は、定期的にバックアップを取得すること、バックアップしたデータを別の場所に保管すること、元に戻せるかテストしておくこと。控えがあるだけでは安心できません。いざというときに、本当に戻せるかは、試したことがある人にしかわかりません。
6:脅威や攻撃の手口を知ろう!
詐欺の手口は、毎週のように変わります。「取引先を装ったメール」「正規サイトに似せた偽サイト」など、巧妙なものが次々と現れます。
比喩で言えば、詐欺の新しい手口を、現場で共有する動きです。要点は、IPAや国家サイバー統括室(NCO)など、専門機関の情報源を持っておくことと、管理者が従業員に適宜伝え、従業員からも気づきを上げてもらう流れを作ること。担当者ひとりだけで追いきれる量ではない、という前提が大事です。
そして、ここに「伴走者」という発想が効いてきます。後ほど、説明します。
★2「二つ星」へのステップアップ:宣言から自己点検へ
一つ星は、「これから『6か条』に取り組みます」という宣言の段階でした。二つ星は、もう一歩、社内の動きを進めた段階です。具体的には、次の二つを実施することを宣言します(出典:IPA「『二つ星』を宣言する」)。
-
情報セキュリティ基本方針を策定し、外部に公開すること。IPAが提供する「 中小企業の情報セキュリティ対策ガイドライン 」の付録に、Word のひな型があります。これを自社の事情に合わせて書き換えるだけでも、出発点としては十分です。
-
「5分でできる!情報セキュリティ自社診断」 を実施すること。25項目の自己点検で、自社の対策状況をひととおり見渡せます。
一つ星が「これから始めます」の宣言だとすると、二つ星は「社内で点検し、外にも明示します」の宣言です。約束を、より具体的な形に近づける一歩、と考えてください。
2026年4月から、申込方法が変更
2026年4月1日、IPAは新しい「SECURITY ACTION 管理システム」をリリースしました。新しい申込のいちばんの特徴は、GビズIDプライム、またはGビズIDメンバーが必須になった点です(出典:IPA「SECURITY ACTION 管理システムリリースのご案内」)。
GビズIDプライムは、法人代表者の身元確認を伴うアカウントです(出典:デジタル庁「GビズID」)。GビズIDメンバーも、法人代表者が発行する従業員用アカウントです。つまり、組織として一度は法人代表者がアカウント体系を整えることが、制度の入口に組み込まれています。
ここで注意したいのが、GビズIDプライムを社内で使い回さないことです。プライムは経営者本人のアカウントで、担当者が申請を代行する場合は、その担当者用にGビズIDメンバーを個別に発行します。これが本来の使い方です(前述の「3:パスワードを強化しよう!」と同じ考え方です)。
申し込みの流れも、おおむねシンプルになりました。GビズIDでログインし、宣言の内容を選び、ロゴマークをダウンロードする。即時に自己宣言IDが発行され、その日からロゴマークが使えるようになります。
線をもっと伸ばす伴走者:情報処理安全確保支援士という存在
ここまでの「6か条」のなかでも、最新の脅威や攻撃の手口を知ることを、社員の一人ひとりが継続的に行うのは、不可能ではありませんが、現実的ではありません。脆弱性(攻撃に対する弱点)情報も、攻撃の手口も、毎日のように更新されます。
ここで効いてくるのが、会社のなかに「最新の専門的な情報を翻訳して届ける人」がいることです。新しい脅威の情報を取り、自社の現場で必要な対策に翻訳して届ける。古い前提のまま放置させない。経営層には判断材料を、現場には具体的な手順を渡す。
この役割を担う存在のひとつが、情報処理安全確保支援士(登録セキスペ)です。サイバーセキュリティ分野の国家資格者です。詳しくは、別記事で詳しく解説しています。
ここで覚えていただきたいのは、ひとつだけ。「6か条」を「形だけ」で終わらせないためには、会社のなかに、セキュリティに関する知識やノウハウなどを更新して走り続ける伴走者がいると、ずっと楽になる、ということです。
経営者が、明日やる一歩
ここまで読んでくださって、ありがとうございます。最後に、明日からの一歩を、ひとつに絞ってお伝えします。
取引先からの問いに、慌てず答えられる体制を作る最初の一歩は、SECURITY ACTION の申し込みそのものではありません。
本当の一歩は、従業員に、経営者の本気度とともに「なぜ、それをやるのか」を伝えることです。SECURITY ACTION は経営者の決意表明ですから、従業員に経営者の本気度を伝えることが重要です。決意表明は、現場が共有していないと、書類に書いた言葉のままで終わります。
逆に、従業員が経営者の“背中”を模範として、現場が「なぜパスワードを長くするのか」「なぜアカウントを共有してはいけないのか」などを腹に落とせれば、「6か条」が現実のものとして動き出します。経営者の宣言と、現場のリテラシー。この2つが揃ってはじめて、★1の約束は「線」になります。
まず踏み出すべき一歩は、ロゴを取りに行くことではなく、従業員への説明の場をつくることです。
トレノケートの研修サービス
とはいえ、「従業員への説明の場をつくる」といっても、忙しい経営者が従業員一人ひとりに向けて、その必要性を逐一語って回るのは、現実的ではありません。しかも、アップデートやアカウントといった専門的な概念を誤解なく伝えるには、伝え方そのものにもノウハウが要ります。
そこは、私たちにお任せください。トレノケートの研修サービスが、全従業員のセキュリティリテラシーという土台づくりをお手伝いします。
① 全従業員のリテラシー底上げ
経営者の決意表明を、現場の手に渡す最初の一歩です。「なぜ、それをやるのか」を全員で共有することで、「6か条」が形だけにならずに済みます。
研修の例
情報セキュリティ対策 リテラシー編 ~組織の一員としての必須知識~
1日でわかる!情報セキュリティ10大脅威の攻撃手法とその対策
② 伴走者を育てる(線を伸ばす)
組織のなかに、知識を更新して走り続ける人を持ちたい場合の選択肢です。
情報セキュリティスペシャリストコース ~ 『情報処理安全確保支援士試験シラバス追補版(午前II)Ver.4.0』対応~
情報セキュリティ対策 技術概要編 ~セキュリティを支える基礎技術~
③ 研修運営のサポート
研修の運営業務を代行するサービスを使えば、貴社は育成計画や研修企画といった本来の業務に集中できます。
まとめ
SECURITY ACTION は、経営者の決意表明です。ロゴの取得は目的ではなく、出発点です。
約束を「線」に変えるのは、全従業員のセキュリティリテラシーという土台と、セキュリティの最新情報を翻訳して届ける伴走者の存在の2つです。土台のないところに、宣言だけ乗せても、すぐに崩れてしまうかもしれません。逆に、土台のうえに宣言が乗れば、★1から★2へ、そしてその先へと、組織は一歩ずつ歩いていくはずです。
あなたの会社は、いまどの段階にいますか。そして、最初の一歩として、社員に何を伝えますか。まずはそこを整理するところから、初めてみてください。
参考情報
SECURITY ACTION 関連
IPA「SECURITY ACTION セキュリティ対策自己宣言」
IPA「情報セキュリティ6か条」PDF(2026.4 Version 1)
IPA「SECURITY ACTION 管理システムリリースのご案内」
中小企業の情報セキュリティ対策
IPA「2024年度 中小企業における情報セキュリティ対策に関する実態調査」
IPA プレス発表「情報セキュリティ10大脅威 2026」を決定
隣接制度
経済産業省「サイバーセキュリティ経営ガイドラインと支援ツール」
国家サイバー統括室「サイバーセキュリティ人材フレームワーク2026」
※文中の制度・日程・要件は、2026年5月時点の公表情報に基づきます。最新情報はIPA・経済産業省の公式サイトをご確認ください。
村田亮治
その後、2005年の個人情報保護法施行をきっかけにセキュリティ製品のプリセールスに転職し、SIerで提案活動を行う。また、エンジニア向けの技術研修やセミナーで講師を務める。
2016年からはセキュリティコンサルタントとして、企業のセキュリティ体制構築を支援。
2019年からトレノケートにてセキュリティ関連コースの講師を担当している。情報処理安全確保支援士(登録番号 第000598号)
【資格・認定】
情報処理安全確保支援士(登録番号 第000598号)
情報処理試験 システム監査技術者
情報処理試験 ITストラテジスト
情報処理試験 プロジェクトマネージャ
CND(Certified Network Defender)
Trend Micro Certified Professional
SEA/J CSPM of Management
SEA/J CSPM of Technical
ITIL V3 Foundation
※詳細な講師紹介は こちら
