IT導入補助金の申請受付が2021年3月25日から開始されていますが、その申請要件のひとつとなっているSECURITY ACTIONの自己宣言を実際に行ってみましたので、ポイントを簡単にまとめてみます。
SECURITY ACTIONとは
SECURITY ACTIONとは、IPA(独立行政法人情報処理推進機構)が運営する中小企業の情報セキュリティ対策を推進するための取り組みです。2017年2月にIPAと中小企業関連団体(中小企業診断協会、全国商工会連合会など9団体)が創設しました。
詳しくは「SECURITY ACTIONホームページ」をご覧ください。ここではポイントを説明していきます。
- セキュリティ対策の「認定」精度ではなく、「自己申請」制度です。情報セキュリティ対策に取り組むことを企業自らが自己アピールすることで、情報セキュリティ対策の浸透を目指す制度です。したがって「認定されました」や「取得しました」はNG表現となります。
- SECURITY ACTIONの宣言はWEBサイトから行います。自己宣言を行うことでSEURITY ACTIONのロゴマークを自社のポスター・パンフレット・名刺・WEBサイトなどに掲載して、セキュリティ対策の取り組みをアピールすることができます。
- SECURITY ACTIONには「★一つ星」と「★★二つ星」の2段階があります。「★一つ星」は企業の情報セキュリティ対策として基本中の基本の対策実施宣言ですぐに実施可能な対策が要件となっています。「★★二つ星」には「5分でできる!情報セキュリティ自社診断」で自社の状況を把握したうえで、情報セキュリティ基本方針を定めて外部に公開するといった対応が必要です。
- IT導入補助金2021の公募要領では、申請要件として「★ 一つ星」または「★★ 二つ星」いずれかの宣言を行うこととなっています。(「★★二つ星」申請に加点があるような記載は見られません。)情報セキュリティ基本方針の策定などをまだ行っていまい場合は、まずは「★一つ星」を宣言して、社内での対策を進めて改めて「★★二つ星」の宣言を行うといったことも可能です。
★一つ星
IPAが公開している「中小企業の情報セキュリティ対策ガイドライン」は全60ページの読み応えのある資料ですが、そのうちの付録1「情報セキュリティ5か条」に取り組むことを宣言したことを示すものです。付録1の5か条は以下の5つです。
- OSやソフトウェアは常に最新の状態にしよう!
- ウイルス対策ソフトを導入しよう!
- パスワードを強化しよう!
- 共有設定を見直そう!
- 脅威や攻撃の手口を知ろう!
付録1「情報セキュリティ5か条」は両面チラシの体裁で、具体的な対策方法も含めて記載されたものですので、このチラシを社内で配布して周知徹底するところから取り組みをスタートすることができます。
★★二つ星
中小企業の情報セキュリティ対策ガイドラインの付録3「5分でできる!情報セキュリティ自社診断」を使い、自社の情報セキュリティの対応状況を把握し、情報セキュリティ基本方針を定め、外部に公開するところまでが取り組みの内容です。
情報セキュリティ自社診断の診断項目は、「基本的対策」「従業員としての対策」「組織としての対策」の3パートで合計25項目あります。
| 対策項目 | 項目数 | 内容 |
|---|---|---|
| 基本的対策 | 5 | 「OSやソフトウェアは常に最新の状態にしている」などの基本的な対策 (★一つ星の5か条と同じ) |
| 従業員としての対策 | 13 | 「重要情報は電子メール本文ではなく添付ファイルに記載してパスワードで保護する」など、従業員一人一人が実施する対策 |
| 組織としての対策 | 7 | 「従業員に対してセキュリティに関する教育や注意喚起を行っている」など、組織として実施している対策 |
チェクシートの各項目について「実施している」が4点、「一部実施している」が1点、「実施していない」が0点、「わからない」が-1点で、全25項目について診断を行います。最高点が100点ですが、何点以上が合格という基準はありません。
事故診断結果について宣言申請時に報告する必要もありませんが、「SECURITY ACTION ロゴマーク使用規約」には「事務局は(ロゴの)使用希望者に対して、情報セキュリティポリシー(基本方針)の公開の事実を確認したり、「5分でできる!情報セキュリティ自社診断」の実施結果の提出を求めたりする場合があります。とあるので、診断記録については残しておくのが良いでしょう。
自社診断において重要な点は、情報セキュリティの対応が不十分な項目について把握し、その改善活動を行うことです。チェックシートの後にある「解説編」が参考になります。
もう一つの要件である「情報セキュリティ基本方針を策定し外部に公開する」について、すでに策定済みの場合、あるいは策定して公開済みの場合は、★★二つ星の宣言申請時に改めて何か行う必要はありません。
情報セキュリティ基本方針を定めていない場合は、SECURITY ACTIONホームページの★★二つ星ロゴマークの説明のところに、サンプルがあるので、これを参考に策定すると良いと思います。
SECURITY ACTION宣言してみる
当事務所の開設以前は、セキュリティ関連の仕事をしていたこともあり、情報セキュリティ関連については日頃から注意をしておりますが、一人事務所で組織としての対策などはないため、今回は「★一つ星」の宣言を行ってみました。
① SECURITY ACTIONホームページの自己宣言事業者の申込方法のタブをクリックします。ロゴマークの使用規約や情報セキュリティ5か条のチラシダウンロードなどのリンクがあるので、一通り確認しておきます。ページ下方にある「SECURITY ACTION自己宣言者サイト」のボタンをクリックすると、申請サイトへ移動します。
② 「自己宣言する」ボタンをクリックします。
③ ロゴマークの使用規約が表示されるので内容を確認し、「使用規約に同意する」ボタンをクリックします。(使用規約を最後までスクロールして読まないとボタンは有効化されません。)
④ 事業者情報を入力し、「次へ進む」をクリックします。
⑤ 入力内容の確認画面が出てくるので、確認して問題なければ次へ進みます。
⑦ 入力したメールアドレス宛に受付確認のお知らせが送られてくるので、メールに記載されたURLをクリックします。
⑧ 自己宣言が完了し、利用者番号と自己宣言IDが発行されます。(しばらくするとメールも送信されてきます。)
ひとまずこれで自己宣言作業は完了ですが、ロゴマークのダウンロードができるようになるまで1~2週間ほどかかるので、使用可能になるまで待ちましょう。
SECURITY ACTION ロゴマークのダウンロード
2021年4月12日に宣言の申請を行い、4月25日に「申込受理のご連絡」というメールが届きました。きっかり2週間かかりました。メールに記載されているSECURITY ACTION自己宣言<TOP>のURLをクリックし、申請時に通知された「利用者番号」(11桁の数字)と申請時に設定したパスワードを使ってログインします。
ログインすると「ロゴマークダウンロード」のボタンが表示されます。これをクリックすると注意事項として使用許諾と使用ガイドラインを確認するように書かれていますので、これらのボタンをクリックするとロゴのダウンロードボタンが表示されます。
Zipで圧縮されたダウンロードファイルの中にはカラーとモノクロのロゴがJPEG形式とPNG形式で収録されていました。使用ガイドラインに従ってパンフレットや名刺などにロゴマークを載せて、社内の情報セキュリティ意識の向上や対外的なアピールに活用していくと良いでしょう。
まとめ
IT導入補助金の申請要件になっているSECURITY ACTIONの宣言ですが、宣言すること自体は簡単です。
しかし、情報セキュリティ対策において最も重要なことは、「継続的な取り組みと見直し」です!
これをきっかけとして社内のセキュリティ方針や対策を見直してみてはいかがでしょうか。
