SECURITY ACTIONを宣言した。
SCS評価制度についても概要を把握した。
では、その次に何をすればよいのでしょうか。
中小企業の情報セキュリティ対策では、「対策しています」と口頭で説明するだけでは不十分になりつつあります。取引先からセキュリティチェックシートが届いたとき、補助金申請や外部委託の確認を受けたとき、あるいは事故が起きたときに大切になるのは、実際に取り組んだことを説明できる記録です。
この記事では、その記録をまとめたものを、実務上の呼び方として「証跡ファイル」と呼びます。
これは公的制度上の正式名称ではありません。社内の取り組みを見える化し、取引先や顧客に説明しやすくするための整理方法です。
SECURITY ACTIONは「認定」ではなく「自己宣言」
まず、用語を正しく押さえておきます。
SECURITY ACTIONは、中小企業自らが情報セキュリティ対策に取り組むことを自己宣言する制度です。取組み目標には「一つ星」と「二つ星」があり、一つ星では情報セキュリティ6か条への取組み、二つ星では「5分でできる!情報セキュリティ自社診断」で自社の状況を把握したうえで、情報セキュリティ基本方針を定め、外部公開することが求められます。
ここで注意したいのは、SECURITY ACTIONはIPAによる認定制度ではないという点です。IPAも、「認定を受けました」「取得しました」といった表現は誤解を招く可能性があるため、「宣言しました」と表現することを案内しています。
つまり、SECURITY ACTIONはゴールではありません。
むしろ、会社として情報セキュリティに取り組む入口です。
SCS評価制度では「実施状況の確認」が意識される
SCS評価制度も、同じ流れで考えると分かりやすくなります。
IPAの説明では、SCS評価制度はサプライチェーン全体のセキュリティ対策水準を高めることを目的とし、取引契約等において委託元が委託先に適切な段階を提示し、示された対策を促すとともに実施状況を確認することを想定しています。
また、SCS評価制度は2026年3月に公表された制度構築方針に基づき構築された制度であり、IPAが運営します。より具体的な実施内容は、2026年度に検討・詳細化されるとされています。
したがって、現時点で中小企業がまず行うべきことは、未確定の細かな制度対応を先回りして断定することではありません。
それよりも、すでにある公的資料をもとに、基本的な対策を実施し、その記録を残すことです。
「証跡ファイル」に入れておきたい10項目
証跡ファイルは、難しい書類の束である必要はありません。
最初は、紙のファイルでも、社内共有フォルダでも構いません。
重要なのは、次の質問に答えられることです。
「誰が、いつ、何を確認し、どのように改善したのか」
そのために、まずは次の10項目をそろえることをおすすめします。
1. 情報セキュリティ基本方針
最初に入れるべきものは、情報セキュリティ基本方針です。
これは、自社が情報セキュリティにどのような姿勢で取り組むかを示す文書です。SECURITY ACTION二つ星でも、情報セキュリティ基本方針を策定し、外部公開することが求められています。
難しい文章にする必要はありません。
次のような内容が明確であれば、まずは十分です。
- 顧客情報、取引先情報、社内情報を適切に管理すること
- 法令や契約上の義務を守ること
- 従業員に必要な教育を行うこと
- 事故が起きた場合に速やかに対応すること
- 継続的に見直すこと
作成日、承認者、公開場所、次回見直し予定日も記録しておくと、取引先に説明しやすくなります。
2. 自社診断の結果と改善メモ
次に残すべきものは、「5分でできる!情報セキュリティ自社診断」の結果です。
IPAは、この自社診断について、情報セキュリティ対策のレベルを数値化し、問題点を見つけるためのツールと説明しています。診断編で現状を把握し、解説編を参照することで、未対応の場合のリスクや今後設けるべき対策を把握できます。
ただし、診断結果を保存するだけでは不十分です。
大切なのは、点数そのものではなく、次に何を改善するかです。
例えば、次のようなメモを残します。
| 項目 | 現状 | 対応方針 | 担当者 | 期限 |
|---|---|---|---|---|
| バックアップ | 一部PCのみ実施 | サーバとクラウド保存データを追加確認 | 管理担当 | 5月末 |
| 退職者アカウント | 都度確認 | 月次棚卸表を作成 | 総務 | 5月15日 |
| 社内教育 | 入社時のみ | 年1回の再教育を追加 | 代表 | 6月末 |
このように、診断から改善につなげることで、単なる宣言ではなく、実際の取組みとして説明できます。
3. 情報資産・クラウドサービスの台帳
取引先からセキュリティ状況を確認されたとき、よく問題になるのが「どこに何の情報があるか分からない」という状態です。
顧客情報はどこに保存されているのか。
会計データは誰がアクセスできるのか。
クラウドサービスの管理者は誰なのか。
退職者のアカウントは削除されているのか。
こうした情報を整理するために、情報資産や利用中のクラウドサービスの台帳を作ります。IPAの中小企業向けガイドラインでも、付録として情報セキュリティ基本方針、5分でできる自社診断、情報セキュリティ関連規程、資産管理台帳、クラウドサービス安全利用の手引き、セキュリティインシデント対応の手引きなどが用意されています。
台帳には、最初は次の項目だけでも構いません。
| 項目 | 記入例 |
|---|---|
| 情報資産名 | 顧客名簿、見積書、請求書、契約書 |
| 保存場所 | 社内PC、NAS、クラウドストレージ、SaaS |
| 利用者 | 営業、経理、管理者 |
| 管理責任者 | 代表、総務、システム担当 |
| 外部共有の有無 | あり/なし |
| バックアップ | あり/なし |
| 重要度 | 高/中/低 |
最初から完璧な台帳を作る必要はありません。
まずは重要な情報から洗い出すことが大切です。
4. アカウントと権限の棚卸記録
情報漏えいの原因は、外部からの攻撃だけではありません。
退職者のアカウントが残っている、不要な管理者権限が付いたままになっている、共有フォルダの範囲が広すぎる、といった管理上の問題もリスクになります。
証跡ファイルには、少なくとも月1回または四半期に1回、アカウントと権限を確認した記録を入れておきます。
確認する対象は、次のようなものです。
- メールアカウント
- Microsoft 365、Google Workspaceなどのグループウェア
- 会計ソフト、給与ソフト
- ECサイトや予約システム
- VPN、リモートアクセス
- SNS、Webサイト管理画面
- ファイル共有サービス
- クラウドストレージ
記録には、確認日、確認者、削除したアカウント、変更した権限、未対応事項を残します。
取引先に説明するときも、「権限管理をしています」ではなく、「何月何日に誰が確認しました」と言える方が説得力があります。
5. バックアップと復元確認の記録
バックアップは、取っているだけでは不十分です。
いざというときに戻せなければ、業務を再開できません。
IPAの情報セキュリティ6か条にも、「バックアップを取ろう!」が含まれています。6か条には、OSやソフトウェアを最新状態にすること、ウイルス対策ソフトを導入すること、パスワードを強化すること、共有設定を見直すこと、バックアップを取ること、脅威や攻撃の手口を知ることが示されています。
証跡ファイルには、次のような記録を残します。
| 項目 | 記録例 |
|---|---|
| バックアップ対象 | 顧客管理データ、会計データ、共有フォルダ |
| 保存先 | 外付け媒体、クラウド、別拠点 |
| 頻度 | 毎日、毎週、毎月 |
| 世代管理 | 7世代、30日分など |
| 復元確認日 | 2026年5月1日 |
| 復元結果 | 成功/一部失敗 |
| 改善事項 | 対象フォルダを追加、担当者を変更 |
特にランサムウェア対策では、バックアップが暗号化されないように保存先や権限を考える必要があります。
「バックアップがあります」ではなく、「復元を確認しました」と言える状態を目指しましょう。
6. OS・ソフトウェア更新、ウイルス対策の確認記録
情報セキュリティ6か条では、OSやソフトウェアを最新の状態にすること、ウイルス対策ソフトを導入することが基本対策として示されています。
ただし、これも「やっているつもり」になりやすい項目です。
証跡ファイルには、次のような点検記録を残します。
- Windows Update等が適用されているか
- 業務ソフトの更新が止まっていないか
- サポート切れOSを使っていないか
- ウイルス対策ソフトが有効か
- 定義ファイルが更新されているか
- 管理対象外のPCがないか
中小企業では、全PCを一度に厳密管理するのが難しい場合もあります。
その場合でも、まずは業務上重要なPCや、顧客情報を扱うPCから記録を始めます。
7. パスワード、MFA、共有設定の点検記録
パスワードの使い回し、弱いパスワード、不要な共有設定は、今でも多くの事故につながる要因です。
情報セキュリティ6か条にも、「パスワードを強化しよう!」「共有設定を見直そう!」が含まれています。
証跡として残す内容は、次のようなものです。
- 管理者アカウントのパスワードを強化した日
- 多要素認証を有効化したサービス名
- 共有リンクを確認した日
- 外部共有を停止したフォルダ
- 退職者や異動者のアクセス権を削除した日
特にクラウドサービスでは、URLを知っていれば誰でもアクセスできる共有設定になっている場合があります。
月1回、共有リンクの棚卸を行うだけでも、事故の予防につながります。
8. 委託先・外部サービスの確認記録
自社だけでなく、外部委託先やクラウドサービスの管理も重要です。
IPAの「5分でできる!情報セキュリティ自社診断」には、取引先管理、外部サービスの利用、事故への備え、ルールの整備などに関する診断項目が含まれています。
証跡ファイルには、次のような記録を残します。
| 確認項目 | 内容 |
|---|---|
| 委託先名 | 業務委託先、クラウドサービス、保守会社 |
| 預けている情報 | 顧客情報、売上情報、従業員情報など |
| 契約書の有無 | あり/なし |
| 秘密保持条項 | あり/なし |
| 再委託の有無 | 確認済/未確認 |
| 事故時の連絡先 | 担当部署、電話、メール |
| 契約終了時の処理 | 返却、削除、証明書の有無 |
取引先に情報を渡す場合、「委託先に任せています」だけでは説明として弱くなります。
どの情報を誰に預け、事故時にどう連絡するのかを記録しておくことが大切です。
9. 社内教育・周知の記録
セキュリティ対策は、システムだけでは完結しません。
従業員がルールを知らなければ、メール誤送信、添付ファイルの誤送付、フィッシングメールのクリック、USBメモリの紛失などが起こりやすくなります。
「5分でできる!情報セキュリティ自社診断」にも、守秘義務の周知、従業員教育、私物機器の利用などの項目が含まれています。
証跡ファイルには、次のような教育記録を入れておきます。
- 実施日
- 対象者
- テーマ
- 使用資料
- 参加者
- 欠席者へのフォロー
- 理解度確認の結果
- 次回実施予定
教育は、長時間の研修である必要はありません。
中小企業では、朝礼や月例会議で10分だけ取り上げる方法でも始められます。
重要なのは、「一度説明した」ではなく、「誰に、いつ、何を伝えたか」を残すことです。
10. インシデント時の連絡網と対応記録
最後に、事故が起きたときの連絡網と対応記録です。
セキュリティ事故は、完全にゼロにはできません。
だからこそ、事故が起きたときに慌てず、誰が何を判断するかを事前に決めておく必要があります。
証跡ファイルには、次の情報を入れておきます。
- 社内の第一報受付者
- 代表者、管理責任者、システム担当者の連絡先
- 保守会社、クラウドサービス、委託先の連絡先
- 顧客・取引先への連絡判断者
- 個人情報漏えいが疑われる場合の確認手順
- 警察、IPA、関係機関への相談先
- 初動対応メモ
- 事故後の再発防止策
インシデント対応の手引きも、IPAの中小企業向けガイドラインの付録として用意されています。
事故時に最も困るのは、「誰に連絡すればよいか分からない」「何を記録すればよいか分からない」という状態です。
連絡網と対応記録のひな形を事前に用意しておくだけで、初動対応の混乱を減らせます。
証跡ファイルは、完璧でなくてよい
ここまで10項目を挙げましたが、最初からすべてを完璧に整える必要はありません。
むしろ大切なのは、次の3つです。
1つ目は、重要な情報から始めることです。
顧客情報、個人情報、契約情報、会計情報など、漏えいや停止時の影響が大きいものから整理します。
2つ目は、日付と担当者を残すことです。
「対策済み」と書くだけではなく、いつ、誰が、何を確認したかを残します。
3つ目は、見直しを前提にすることです。
会社の業務、利用サービス、取引先からの要求は変わります。証跡ファイルも、作って終わりではなく、月次または四半期ごとに見直します。
取引先に説明できる会社になる
SECURITY ACTIONの宣言やSCS評価制度への関心は、単なるマークや制度対応の話ではありません。
本質は、自社の情報セキュリティ対策を整理し、取引先や顧客に説明できる状態を作ることです。
「情報セキュリティ基本方針はあります」
「自社診断を行い、改善項目を管理しています」
「クラウドサービスとアカウントを台帳で管理しています」
「バックアップの復元確認を記録しています」
「事故時の連絡網を用意しています」
このように説明できるだけで、取引先から見た信頼感は変わります。
中小企業にとって、セキュリティ対策は大企業のような大規模投資から始める必要はありません。
まずは、今ある対策を見える化し、記録として残すことから始めましょう。
まとめ
SECURITY ACTIONやSCS評価制度を理解した後に取り組むべきことは、実施した対策を説明できる状態にすることです。
そのために、次の10項目を「証跡ファイル」として整理しておくとよいでしょう。
- 情報セキュリティ基本方針
- 自社診断の結果と改善メモ
- 情報資産・クラウドサービスの台帳
- アカウントと権限の棚卸記録
- バックアップと復元確認の記録
- OS・ソフトウェア更新、ウイルス対策の確認記録
- パスワード、MFA、共有設定の点検記録
- 委託先・外部サービスの確認記録
- 社内教育・周知の記録
- インシデント時の連絡網と対応記録
制度への対応は、書類を整えることだけが目的ではありません。
自社の業務を止めないこと、顧客や取引先の情報を守ること、事故が起きたときに説明責任を果たせることが目的です。
ライトハウスコンサルタントでは、情報セキュリティに関するコンサルティング、SECURITY ACTIONに関する支援、CIOアウトソースサービスなどを行っています。情報セキュリティ基本方針、台帳、社内ルール、証跡整理に不安がある場合は、早めに専門家へ相談することをおすすめします。
