SECURITY ACTION（セキュリティアクション）とは？中小企業が今すぐ取り組める情報セキュリティの第一歩

皆様は SECURITY ACTION（セキュリティアクション）をご存じでしょうか。

すでに取り組み済みの企業様もいれば、「名前は聞いたことがあるけれど、何をすればいいのか分からない」という方も多いかもしれません。

この記事では、SECURITY ACTIONの概要と、なぜ今「中小企業にこそ必要」なのかを分かりやすく整理します。

SECURITY ACTIONは、中小企業が自ら情報セキュリティ対策に取り組むことを自己宣言する制度です。IPA（情報処理推進機構）が推進しており、取り組み段階に応じて「★ 一つ星」「★★ 二つ星」のロゴを無料で利用できます。

中小企業が最低限行うべき情報セキュリティ対策を5項目にまとめた「セキュリティ5か条」への取り組みを宣言します。

「一つ星」の5項目を含む、計25項目の「5分でできる！情報セキュリティ自社診断」を行い、「情報セキュリティ基本方針」を作成して外部に公開することで、情報セキュリティ対策への取り組みを宣言します。

このように、自社で宣言を行えるSECURITY ACTIONですが、宣言することで、単なる「形式的な取り組み」にとどまらず、経営・現場の双方にとって実務的なメリットがあります。

1. 取引先からの信頼獲得につながる

SECURITY ACTIONを宣言することで、「情報セキュリティ対策に主体的に取り組んでいる企業である」ことを対外的に示すことができます。近年では、取引先選定や業務委託の際にセキュリティ対応状況を確認されるケースも増えており、信頼性のアピールはビジネス継続の観点でも重要になっています。

2. 事業リスクを抑え、経営の安定につながる

宣言を通じて、パスワード管理やメールの取り扱いなど、基本的なセキュリティ対策を社内で整理・定着させることで、情報漏えいやランサムウェア被害の発生リスクを低減できます。結果として、業務停止や取引先への影響を防ぎ、安定した取引・サービス提供を継続することにつながります。

3. 従業員のセキュリティ意識が高まる

SECURITY ACTIONは、IT担当者だけでなく、従業員一人ひとりが「自分ごと」としてセキュリティを意識するきっかけにもなります。メールの見分け方やパスワード管理の重要性を理解することで、ヒューマンエラーによる事故や不正アクセスのリスクを抑える効果が期待できます。

また、IPAの調査によると、SECURTY ACTIONの特に「★★ 二つ星」において、その取り組み度合い（合計点数）が高い企業ほど、サイバーインシデントの発生率が低い傾向も報告されています。

SECURITY ACTION「二つ星宣言」の合計点とサイバーインシデント被害経験の関係

加えて、同調査結果では、自社診断の合計点が高い企業ほど、サイバーインシデントによる影響が少ない傾向にあることも示されています。

SECURITY ACTION「二つ星宣言」の合計点とサイバーインシデントによる影響の関係

他にも、自社診断の合計点が高いほど、インシデントの被害額の最大値が下がっていることが確認できます。

SECURITY ACTION「二つ星宣言」の合計点とインシデントによる被害額の関係

近年、ますますセキュリティへの意識が高まり、セキュリティへの社会的要請も急速に高まっている中、2026年度から経済産業省にて「サプライチェーン強化に向けたセキュリティ対策評価制度」の開始を予定しています。

中小企業を含むサプライチェーン全体の防衛力向上を目指し、企業のサイバーセキュリティ対策を格付けすることで、取引先がセキュリティ水準を可視化・確認できる仕組みです。

その格付け制度ですが、★1～5のうち、★1～2は既存のセキュリティアクション宣言制度を流用することが想定されています。

つまり、SECURITY ACTIONへの取り組みは、将来の国家的な制度対応に向けた「先行準備」とも言えます。今のうちから基本的な対策を進めておくことで、セキュリティへの意識や防御を高めるだけでなく、将来的な取引条件の変化にも、無理なく対応できる体制づくりにつながります。

SECURITY ACTIONは、企業規模を問わず取り組める制度です。まずは自社の現状を知ることから、一歩ずつ始めてみてはいかがでしょうか？