※本稿は2026年4月時点で公表されているIPA・経済産業省の資料に基づいています。SECURITY ACTIONの申込方法は2026年4月1日に変更されています。
前回は、SECURITY ACTION、SCS評価制度、自工会・部工会、医療系ガイドライン、ISMSの全体地図を整理しました。今回は、その入口にあたるSECURITY ACTION★1を取り上げます。
「うちはまだ大した対策はできていない」「専任者もいないし、何から始めればいいかわからない」。そんな中小企業や零細企業にとって、最初の一歩として位置付けやすいのがSECURITY ACTIONです。IPAによると、SECURITY ACTIONは中小企業自らが情報セキュリティ対策に取り組むことを自己宣言する制度で、★一つ星は、これから6つの基本対策に取り組むことを宣言する段階です。しかも、対策実施前でも申し込めるようになっています。IPAは、規模や業種を問わず共通する基本的な対策を実行することで、顧客や取引先との信頼関係の構築に役立つと案内しています。さらに、一部の公的支援制度では要件として扱われることもあります。
ここで大事なのは、SECURITY ACTIONは認定制度ではないという点です。IPAは、「一つ星を取得した」「認定を受けた」といった表現は不適切で、正しくは「一つ星を宣言した」と案内しています。つまり、★1は“完璧な会社であることの証明”ではなく、“会社として基本対策を始める意思表示”と理解した方が正確です。
なぜ今は「5か条」ではなく「6か条」なのか
2026年3月の見直しで、従来の「5か条」にバックアップが加わり、「6か条」になりました。経済産業省とIPAは、ランサムウェア被害の拡大や事業継続の観点を踏まえ、初めに着手すべき対策としてバックアップを追加したと説明しています。中小企業にとって、被害に遭わないことも大切ですが、万一のときに業務を止めないことも同じくらい重要だ、という整理です。
また、2026年3月に改訂された「中小企業の情報セキュリティ対策ガイドライン 第4.0版」では、SECURITY ACTIONの考え方が整理し直され、SCS評価制度につながる流れも意識された構成になりました。ガイドライン上では、★一つ星はSTEP1に位置付けられており、まず6つの基本対策を始める段階として整理されています。経済産業省も、SCS評価制度がSA宣言の上位基準として位置付けられていることを踏まえ、ガイドラインをSCSにもつながる内容に見直したと説明しています。
6つの基本対策は、こう考えると進めやすい
1. OSやソフトを最新の状態に保つ
IPAのガイドラインでは、古いOSやソフトウェアを放置すると、未修正の問題を悪用した攻撃やマルウェア感染の危険が高まると説明しています。まずは、社内で使っているパソコン、サーバー、業務ソフトを洗い出し、「誰が」「どの頻度で」更新状況を確認するかを決めるところから始めると動きやすくなります。
2. ウイルス対策ソフトを入れ、更新を止めない
ガイドラインでは、IDやパスワードの窃取、遠隔操作、ファイルの暗号化といった被害をもたらすマルウェアへの対策として、ウイルス対策ソフトの導入と定義ファイルの最新化を求めています。導入して終わりではなく、更新が止まっていないかを定期的に確認することが重要です。
3. パスワード管理を甘くしない
IPAは、推測や解析されたり、他のサービスから流出したID・パスワードが悪用されたりして不正ログイン被害が増えているとして、パスワードの強化を挙げています。実務では、短く単純な文字列を避けること、使い回しをやめること、退職者や異動者のアカウントを放置しないことまで含めて考えると、対策として定着しやすくなります。
4. 共有設定を見直す
クラウドの保存サービスやネットワーク接続機器の設定ミスが原因で、関係のない人に情報が見えてしまう事故は珍しくありません。IPAのガイドラインでも、ウェブサービスや機器が無関係な人でも使える状態になっていないか確認するよう求めています。ファイル共有、複合機、外部公開用の保存領域などは、一度設定したまま放置しやすいので、見直し対象として最初に挙げておくのが有効です。
5. バックアップを取る
今回の見直しで特に重くなったのが、この項目です。IPAのガイドラインでは、故障、誤操作、ウイルス感染などでデータが消失・暗号化されるおそれがあるため、事業継続のためにバックアップを取得しておくべきだとしています。さらに、取得対象、取得方法や頻度、保管場所、保管期間、そしてきちんと復旧できるかの確認まで含めて考えるよう示しています。バックアップは“取っているつもり”になりやすいので、復旧確認までやって初めて実務になります。
6. 脅威や攻撃の手口を知る
取引先や関係者を装ったメール、正規サイトに似せた偽サイト、IDやパスワードのだまし取りなど、攻撃の手口は巧妙になっています。IPAは、こうした手口を知ったうえで対策を取ることを6か条の一つに置いています。社長だけが理解していても意味がないので、担当者だけでなく、請求、受発注、総務などメールやファイルを日常的に扱う人まで含めて共有することが大切です。
社長が決めないと、★1は形だけで終わる
改訂ガイドラインでは、これら6項目は企業規模にかかわらず必ず実行すべき重要な対策だとされ、経営者のトップダウンで実行を開始するよう促しています。SECURITY ACTION★1は、担当者に「何かやっておいて」と渡す制度ではありません。社長が「まずこの6つはやる」と決め、担当者が現場で回す。その役割分担ができて初めて、自己宣言が実態を持ちます。
よくある誤解
一つ星は、二つ星より“下だから意味がない”わけではありません。IPAは、どちらに当てはまるか迷う場合は、まず一つ星から始めるよう案内しています。一方で、すでに同等の取り組みができている事業者は二つ星から始める考え方も示しています。なお、申込時に一つ星と二つ星を同時に申し込むことはできず、両方のロゴを同時に使うこともできません。
2026年4月時点の申込みの流れ
2026年4月1日から、SECURITY ACTIONの申込は新しいSECURITY ACTION管理システムで行う方式に変わりました。現在は、GビズIDプライムまたはメンバーのアカウントが必要です。申込の流れは、取組段階を決める、GビズIDを取得する、管理システムにログインして事業者情報などを入力する、という順番です。申込完了後は、自己宣言IDが通知され、マイページからロゴマークをダウンロードできます。
申込方法が変わったことで、以前より手続は分かりやすくなりましたが、申込みそのものが目的になってしまうと本末転倒です。IPAは、改訂版ガイドラインの内容を踏まえて取り組みを進めるよう案内しています。★1は、ロゴを載せることよりも、6つの基本対策を自社の運用に落とし込むことに価値があります。
★1の次に何を見るべきか
SECURITY ACTION★1の役割は、セキュリティ対策を始めることです。その次の段階として、二つ星では「5分でできる!情報セキュリティ自社診断」と「情報セキュリティ基本方針」の策定・外部公開が求められます。さらに、2026年3月改訂のガイドラインでは、STEP3以降がSCS評価制度にもつながる形に見直されています。つまり、★1は単発の制度ではなく、★2、そして将来のSCS対応につながる入口と見た方が実務に合っています。
まとめ
SECURITY ACTION★1は、対策が完璧になってから申し込む制度ではありません。6つの基本対策を始めると会社として決め、その意思を外にも内にも示すための自己宣言です。中小企業や零細企業にとっては、ここで立ち止まらず、まず更新、マルウェア対策、パスワード、共有設定、バックアップ、手口の理解を実務に落とし込めるかが勝負になります。次回は、SECURITY ACTION★2に進み、自社診断と情報セキュリティ基本方針をどう整えるかを解説します。
