このたびレガーメ合同会社は、独立行政法人情報処理推進機構(IPA)が運営する「SECURITY ACTION(セキュリティアクション)」制度において、「★★二つ星」の自己宣言を実施いたしました。一つ星からの段階的なステップアップではなく、初回から二つ星を選択したのが当社の特徴です。
この記事は、単なる宣言の事実報告ではありません。中小企業がSECURITY ACTIONを検討するときに直面する「一つ星と二つ星、どちらから始めるべきか」という実務的な分岐点について、当社が実際に検討した判断軸、参照した一次資料、そして二つ星宣言までに踏んだ手順を、リモートワーク中心の小規模事業者という立場から具体的にお伝えするものです。これからSECURITY ACTIONに取り組まれる同業の皆様の判断材料となれば幸いです。
そもそもSECURITY ACTIONとは ― 「認定」ではなく「自己宣言」である意味
SECURITY ACTIONは、IPAが2017年4月から運用している、中小企業自身が情報セキュリティ対策に取り組むことを「自己宣言」する制度です。サプライチェーン攻撃の増加によって、防御の堅い大企業を直接狙うのではなく、取引先である中小企業を経由して大企業を攻略する手口が常態化したことが、制度創設の背景にあります。
制度を検討する際に最も誤解されやすいポイントは、SECURITY ACTIONが「認定制度」ではないことです。IPA公式サイトでも、宣言企業のセキュリティ対策状況をIPAが認定するものではないことが繰り返し明記されており、「一つ星を取得しました」「二つ星の認定を受けました」といった表現は不適切な表現とされています。正しくは「一つ星(二つ星)を宣言しました」です。当社もこの用語に倣って記述しています。
「認定ではなく宣言」という建付けは一見すると軽く感じられるかもしれませんが、これは取り組みの主体性を企業側に残すための意図的な設計であると当社は理解しています。つまり、外部監査による「合格証」ではなく、自らの責任で対策を実行し公表するという、経営者としての覚悟を求める制度なのです。
「★一つ星」と「★★二つ星」、何が違うのか
SECURITY ACTIONには、取り組みの段階に応じて2つの宣言レベルが設定されています。それぞれの要件を整理します。
★一つ星:まず実行すべき基本対策
一つ星は、IPAが「中小企業の情報セキュリティ対策ガイドライン」付録1として公開している「情報セキュリティ5か条」に取り組むことを宣言するレベルです。5か条の内容は以下の通りです。
- OSやソフトウェアは常に最新の状態にしよう!
- ウイルス対策ソフトを導入しよう!
- パスワードを強化しよう!
- 共有設定を見直そう!
- 脅威や攻撃の手口を知ろう!
【最新情報】2026年3月27日にIPAから公開された「中小企業の情報セキュリティ対策ガイドライン第4.0版」では、ランサムウェア被害の深刻化を受けて「バックアップを取ろう!」が新たに追加され、「情報セキュリティ6か条」へと拡張されました。これからSECURITY ACTIONに取り組まれる企業の方は、第4.0版に基づく6か条で対策を進めることが推奨されます。
★★二つ星:組織的取り組みへの一歩
二つ星は、一つ星の基本対策に加えて、以下の2要件を満たした上で宣言するものです。
- IPAが提供する「5分でできる!情報セキュリティ自社診断」(25項目)で自社の現状を把握する
- 「情報セキュリティ基本方針」を策定し、自社ウェブサイトや会社案内などで外部に公開する
個人の心がけのレベルから踏み出して、組織として方針を文書化し、対外的に公表する段階。これが二つ星の本質です。なお、当社が宣言にあたり参照したIPAの「2024年度 中小企業における情報セキュリティ対策に関する実態調査」では、興味深いデータが示されています ― 二つ星の対策(自社診断25項目)を多く実施している企業ほど、サイバーインシデント被害の発生率と被害額が低い傾向にあるというものです。二つ星は単なる宣言の上位レベルではなく、実効性の裏付けがある取り組みだと判断できる根拠といえます。
2026年4月、申込みシステムが刷新された
当社の宣言検討と前後する時期に、制度運用上の大きな変化がありました。IPAは2026年4月1日に「SECURITY ACTION管理システム」を新たに公開し、申込みから管理までの仕組みを一新しました。新システムでは申込み直後に自己宣言IDとロゴマークが取得可能になり、登録情報の確認やロゴマークの再ダウンロードができるマイページが提供されています。これからSECURITY ACTIONに取り組まれる方は、新しい管理システム経由での申込みになりますので、参考にしてください。
「見える化」の社会的意義 ― 補助金要件としての位置付け
宣言を行うと、IPAから無料で専用ロゴマークが付与され、自社ウェブサイトや名刺、会社案内などに掲示できます。これにより、取引先や顧客に対して情報セキュリティへの取り組み姿勢を視覚的に伝えることが可能になります。
加えて見逃せないのが、SECURITY ACTIONの自己宣言が、デジタル化・AI導入補助金(旧IT導入補助金)をはじめとする公的支援制度の申請要件として採用されている点です。IPAの実態調査によれば、自己宣言のきっかけは「補助金申請のため」が75.1%と大半を占めており、補助金を入口としてセキュリティ対策に踏み出す中小企業が多いのが実情です。当社の宣言動機は補助金主導ではありませんが、サプライチェーン全体でのセキュリティ強化が求められる流れの中で、自社の取り組みを示す「共通言語」としての価値は今後さらに高まると見ています。
レガーメ合同会社が「一つ星を飛ばして二つ星」を選んだ理由
ここからは、当社が今回二つ星から始めることを決断した実務的な判断についてお伝えします。
当社は中小規模の事業者ですが、業務上お客様の機密情報や個人情報を取り扱う場面が少なくありません。加えて、創業当初からリモートワークを中心とした働き方を採用しているため、「物理的に同じ空間で働く」ことを前提とした暗黙の規律が成立しにくい組織構造を持っています。この事業特性が、宣言レベルの選択に大きく影響しました。
IPAは「すでに同等の取り組みができている中小企業等は二つ星から始めてください」と案内しており、必ずしも一つ星からのステップアップが必須ではありません。当社が一つ星をスキップして二つ星を選んだ理由は以下の3点です。
理由1:リモートワーク環境では「暗黙のルール」が機能しない
顔を合わせない働き方では、「うちはこういうふうにやるよ」という口頭ベースの規律が共有されにくいという構造的な問題があります。基本方針の文書化と外部公開を要件とする二つ星は、当社のような分散型組織にとって、個人の解釈に依存しない統一基準を持つための最も効率の良い枠組みでした。一つ星にとどめても基本対策は実行できますが、「基準が言語化されている状態」自体に組織運営上の価値があると判断したのです。
理由2:方針の外部公開が内部統制の規律にもつながる
情報セキュリティ基本方針を外部公開するということは、「掲げた以上は実行する」というコミットメントを社内外に対して同時に発信することを意味します。社外に対しては取り組み姿勢の証明、社内に対しては規律の自己拘束 ― この二重の効果が、組織を内側から引き締めると考えました。基本方針を策定しても社内文書のままにしておくケースは多いと聞きますが、当社はあえて外部公開という「後戻りしにくい状態」をつくることを選んだ形です。
理由3:25項目の自社診断による客観的な現状把握
「うちはちゃんとセキュリティ対策をやっているはず」という感覚的な評価ほど危ういものはありません。「5分でできる!情報セキュリティ自社診断」の25項目チェックは、感覚ではなく客観的な物差しで自社の対策レベルを可視化するツールです。前述のとおりIPAの実態調査でも、この診断項目の実施数とインシデント被害の少なさには相関が見られています。一つ星宣言だけでは到達できない「現状の把握」というステップが、二つ星には組み込まれている。これが3つ目の決め手でした。
二つ星宣言にあたって当社が実施した手順
当社が実際に踏んだステップを、これから取り組まれる方の参考になるよう順を追って共有します。
ステップ1:情報セキュリティ6か条の社内徹底
OSやソフトウェアの自動更新設定、ウイルス対策ソフトの全端末への統一導入、パスワードマネージャーを用いたパスワード管理ルールの整備、クラウドサービスの共有設定の棚卸し、最新の脅威情報のキャッチアップ体制、そしてバックアップ運用 ― これら6項目の運用状態を確認しました。リモートワーク環境では各メンバーの端末が物理的に分散しているため、「設定したつもり」になりがちです。書面チェックではなく、実際の設定画面を共有しながら確認するスタイルを採りました。
ステップ2:「5分でできる!情報セキュリティ自社診断」の実施
25項目の診断を実施し、自社の対策レベルを可視化しました。診断は「実施している/一部実施している/実施していない/わからない」の4段階で答える形式で、スコアの低かった項目を優先的に改善計画へ落とし込みました。「わからない」が選ばれた項目は、社内のセキュリティ意識のばらつきを示すシグナルとして扱い、教育施策の対象としています。
ステップ3:情報セキュリティ基本方針の策定
IPAが提供する「情報セキュリティ基本方針(サンプル)」(中小企業の情報セキュリティ対策ガイドライン付録2、Word形式1ページ)をたたき台として、当社の事業特性とリモートワーク環境を踏まえた方針に書き換えました。サンプルは要点が絞られているため、自社の実情に合わせた肉付けがしやすい設計になっています。
ステップ4:方針の外部公開
策定した基本方針を自社ウェブサイトに掲載し、対外公開しました。SECURITY ACTION二つ星では「自社ウェブサイトへの掲載」「会社案内やパンフレットへの掲載」「その他の方法」のいずれかを選択できますが、参照性と更新の容易さを考慮してウェブサイト掲載を選びました。
ステップ5:IPAへの自己宣言申込み
2026年4月以降に刷新されたSECURITY ACTION管理システム経由で申込みを行い、自己宣言IDと二つ星ロゴマークの使用許諾を取得しました。
これからの取り組み ― 「宣言した先」にあるもの
二つ星宣言はゴールではなく、組織的セキュリティ運用のスタート地点です。経済産業省と内閣官房国家サイバー統括室は、サプライチェーン全体のセキュリティレベル底上げを目的とした「サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)」を2026年度に開始予定としており、中小企業を含む取引先全体での対策強化が今後ますます求められる見通しです。
当社としては、今回宣言した二つ星の運用を定着させた上で、必要に応じてISMS(ISO/IEC 27001)認証取得や、SCS評価制度への対応も視野に入れて取り組みを継続していく方針です。お客様の大切な情報をお預かりする事業者としての責任を、宣言という形にとどめず日々の業務に反映してまいります。
本記事が、SECURITY ACTIONの宣言レベル選択に迷われている同業の中小企業の皆様にとって、判断の一助となれば幸いです。