Written by WizLANSCOPE編集部
「SCS評価制度(セキュリティ対策評価制度)」への対策、何から始める?
経済産業省は2026年に「サプライチェーン強化に向けたセキュリティ対策評価制度」の運用開始を予定しています。制度開始後にいち早く認定を受けるためにいますぐに始められる対策を解説します。
目 次
セキュリティアクション(SECURITY ACTION)とは、中小企業自らが、情報セキュリティ対策に取り組むことを自己宣言する制度で、IPAによって創設されました。
取り組みの段階に応じて「一つ星」と「二つ星」の2つの目標が設定されており、宣言を行うことで、自社が情報セキュリティ対策に取り組んでいることを対外的にアピールできます。
本記事では、セキュリティアクションの概要をはじめ、宣言するメリットや宣言・申し込みの方法などについて解説します。
▼本記事でわかること
- セキュリティアクションの概要
- セキュリティアクションのメリット
- セキュリティアクションの宣言方法
- セキュリティアクションの申し込み方法
セキュリティアクションへの理解を深め、自社のセキュリティ強化に役立てたい方は、ぜひご一読ください。
また、本記事では2026年度末に開始が予定されている経済産業省の「サプライチェーン強化に向けたセキュリティ対策評価制度(以下、SCS評価制度)」との違いについても解説しています。
SCS評価制度への対応方法を検討している企業・組織の方も、ぜひご一読ください。
セキュリティアクション(SECURITY ACTION)とは
セキュリティアクション(SECURITY ACTION)とは、中小企業自らが、情報セキュリティ対策に取り組むことを宣言する制度のことで、独立行政法人情報処理推進機構(IPA)によって創設されました。
本制度が創設された背景には、企業の情報資産の窃取や業務妨害を目的としたサイバー攻撃・犯罪のターゲットが拡大していることがあります。
かつては政府機関や大手企業がサイバー攻撃の主な標的とされていましたが、近年ではその対象が中小企業にまで拡大しています。
実際に、IPAが実施した「2015年中小企業における情報セキュリティ対策に関する実態調査」によると、約80%の中小企業が情報セキュリティに対する脅威を感じている一方で、約半数の企業が十分なセキュリティ対策を行えていないと回答しています。
さらに、2024年に実施された同調査では、直近3期において「(情報セキュリティ対策投資を含む)IT投資をしていない」と回答した企業が62.6%と半数を超えています。
その理由としては「必要性を感じていない」と回答した企業が44.3%と最も多く、さらにそのうち24.0%の企業が「サイバーセキュリティ被害にあうと思わない」と認識していることが明らかになっています。
出典:IPA 独立行政法人 情報処理推進機構「2024年度 中小企業における情報セキュリティ対策に関する実態調査」報告書について
一方で、こうしたセキュリティ対策が不十分な中小企業を踏み台として、大企業への不正アクセスを試みる「サプライチェーン攻撃」は増加しており、中小企業における情報セキュリティ対策は、現在、喫緊の課題となっています。
このような状況を踏まえ、中小企業における自発的なセキュリティ対策を促し、全体のセキュリティレベルの底上げを図ることを目的として、「セキュリティアクション」の制度が創設されました。
なお、本制度では取り組みレベルに応じて「一つ星」と「二つ星」の2段階が用意されており、企業の現状や目的に合わせて選択することが可能です。
「一つ星」「二つ星」それぞれの概要については、後述します。
出典:SECURITY ACTION セキュリティ対策自己宣言
セキュリティアクションを宣言するメリット
セキュリティアクションを宣言することで、以下のようなメリットが期待できます。
- セキュリティ対策への取り組みを対外的にアピールできる
- 助成金・補助金を活用できるようになる
- 従業員のセキュリティ意識向上につながる
詳しく確認していきましょう。
セキュリティ対策への取り組みを対外的にアピールできる
セキュリティアクションを宣言することで、自社が情報セキュリティ対策に取り組んでいる姿勢を、対外的に示せます。
前述の通り、近年のサプライチェーン攻撃の増加を受けて、取引先企業に対しても、一定水準以上のセキュリティ対策の実施を求める企業が増えています。
こうした企業との取引継続や新規契約の場面において、セキュリティアクションの宣言は、自社の取り組みを示す一つのアピール材料になります。
ただし、本制度はあくまで企業自身による自己宣言であり、IPAや第三者機関による認定制度ではない点には留意が必要です。
取引先や顧客に対して、より客観的にセキュリティ対策状況を示す手段としては、2026年度末に制度開始が予定されている「SCS評価制度(サプライチェーン強化に向けたセキュリティ対策評価制度)」における星取得が有効です。
セキュリティアクションとSCS評価制度の違いについては、後述します。
助成金・補助金を活用できるようになる
セキュリティアクションを宣言することで、各種補助金・助成金を活用できる可能性が広がります。
例えば、ITツールの導入を支援する「IT導入補助金制度」では、セキュリティアクションの「一つ星」または「二つ星」の宣言が申請要件の一つとされています。
交付申請作成時には、宣言済アカウントIDを入力する必要があります。
従業員のセキュリティ意識向上につながる
セキュリティアクションの宣言は、従業員一人ひとりのセキュリティ意識向上にも効果があります。
セキュリティアクションを宣言する過程では、社内全体で情報セキュリティ対策について話し合う機会が生まれます。
こうした取り組みを通じて、自社がどの程度セキュリティ対策を実施できているか、また、どこに課題があるかを組織全体で共有・確認することで、セキュリティ意識の向上が期待できるでしょう。
セキュリティアクションの取り組み目標
セキュリティアクションには、「一つ星」と「二つ星」の2つの段階が用意されています。
ここでは各レベルの具体的な宣言手順と、準備すべき内容について解説します。
自社の状況や申請を検討する補助金制度の要件になっているなど、目的に応じて適切な段階を選び、スムーズに申し込みを進めましょう。
一つ星
一つ星を宣言するためには、「情報セキュリティ5か条」に取り組む必要があります。
情報セキュリティ5か条と、それぞれの対策例は以下の通りです。
| 項目 | 対策例 | |
|---|---|---|
| 1 | OSやソフトウェアは常に最新の状態にしよう! | ・利用しているOSやソフトウェアに修正プログラムを適用する ・OSやソフトウェアは常に最新版を利用する |
| 2 | ウイルス対策ソフトを導入しよう! | ・ウイルス対策ソフトを導入し、定義ファイルを常に最新の状態にする |
| 3 | パスワードを強化しよう! | ・パスワードは、「長く」「複雑で」「使い回さない」ように設定する ・多段階認証や多要素認証を活用する |
4 | 共有設定を見直そう! | ・ウェブサービスやネットワーク接続機器の共有設定を必要最小限にする ・従業員が異動・退職時には、速やかに設定を変更・更新する |
| 5 | 脅威や攻撃の手口を知ろう! | ・専門機関の公式サイトなどを活用し、最新の脅威や攻撃の手口を把握する |
一つ星の対策はいずれも基本的な内容であり、実施ハードルはそれほど高くありません。
そのため、どの企業でも比較的短期間で取り組むことができる内容と言えるでしょう。
具体的にどのような対策を行えばよいのかわからない場合には、IPAが運営するセキュリティアクションの公式サイトで公開されている対策例資料を参考にすることで、無理なく進めることが可能です。
セキュリティ対策への第一歩として取り組みやすい点が、一つ星の大きな特徴といえるでしょう。
また、社内でセキュリティ意識を高めるきっかけを作りたい企業にとっても、一つ星は適した選択肢です。
二つ星
二つ星を宣言するためには、「5分でできる!情報セキュリティ自社診断」の実施と「情報セキュリティ基本方針」の策定および外部公開に取り組む必要があります。
一つ星と比べると、やや実践のハードルは上がりますが、「情報セキュリティ自社診断」は25個の診断項目に回答するだけで実施できます。
また「情報セキュリティ基本方針」についてもサンプルが用意されているため、初めて取り組む企業でも、比較的容易に作成することが可能です。
まずは、セキュリティアクションの公式サイトから「5分でできる!情報セキュリティの自社診断」をダウンロードし、記載されている診断項目に回答します。
回答結果を採点し、点数が低かった項目がある場合は、解説編を参考にしながら必要な対策を検討しましょう。
100点満点もしくは満点に近い結果となった場合は、「中小企業の情報セキュリティ対策ガイドライン」を参考に、より一層の対策強化を進めることが推奨されます。
次に、診断結果によって得られた点数やアドバイスをもとに、自社が守るべき指針となる「情報セキュリティ基本方針」を作成します。
セキュリティアクションの公式サイトで公開されているサンプルを活用すれば、自社の実情に合わせた方針書を効率的に作成することができます。
作成した「情報セキュリティ基本方針」は、自社のWebサイトやパンフレットなどに掲載し、外部に公開します。
なお、ISO/IEC 27001、いわゆるISMS認証をすでに取得している企業は、情報セキュリティ基本方針を策定済みのため、二つ星へ比較的スムーズに移行できるでしょう。
セキュリティアクションの申し込み方法
セキュリティアクションの申し込みは、オンラインフォームから行います。手順は以下の通りです。
- 手順(1):「SECURITY ACTION自己宣言申込みフォーム」に必要事項を入力する
- 手順(2):申し込み受付メールを確認する
- 手順(3):自己宣言IDの通知を受け取る
- 手順(4):ロゴマーク使用許諾通知メールを受け取る
申し込みフォームでは、主に以下の項目を入力します。
- 自己宣言の取り組み内容(一つ星/二つ星)
- 自己宣言の目的
- 担当者名
- メールアドレス
- 事業者情報(法人/個人事業主)
申し込み完了後、1週間程度で自己宣言ID通知が届き、自己宣言は完了となります。
その後、2〜3週間程度でロゴマークの使用許諾通知が届き、ロゴマークをダウンロードして利用できるようになります。
ロゴマークの使用許諾通知から1〜2週間後には、宣言事業者一覧にも掲載されます。
SCS評価制度との違いと段階を選ぶ際の注意点
ここまでも何度か触れた通り、「セキュリティアクション」は、あくまでも企業自身による自己宣言であり、IPAや第三者機関による認定制度ではありません。
取引先や顧客に対して、より客観的にセキュリティ対策状況を示したい場合は、「サプライチェーン強化に向けたセキュリティ対策評価制度(以下、SCS評価制度)」 における星の取得が推奨されます。
今後、SCS評価制度が開始されると、三つ星から五つ星までの評価が導入される予定であり、自己宣言である一つ星・二つ星の対外的な位置付けは相対的に低下することが見込まれます。
SCS評価制度は、基準に適合するセキュリティ対策が実施できているかを確認し、評価・認定する制度です。星を取得するためには、「専門家の確認付きの自己評価」または「第三者評価」が必要となります。
中長期的にセキュリティ対策への取り組み姿勢を示したい場合は、SCS評価制度への対応を進めていくことが望ましいでしょう。
| 段階 | 設定方法 | 概要 | |
|---|---|---|---|
| セキュリティアクション | 一つ星 | 自己宣言 | 情報セキュリティ5か条に取り組むことの宣言 |
| 二つ星 | 自己宣言 | 自社診断+基本方針に取り組むことの宣言※ | |
| SCS評価制度 | 三つ星 | 専門家の確認付きの自己評価 | 最低限実施すべきセキュリティ対策 |
| 四つ星 | 第三者評価機関による審査 技術検証事業者による脆弱性検査 |
標準的に目指すべきセキュリティ対策 | |
| 五つ星 | 詳細未定(2026年度以降に検討) | 到達点として目指すべきセキュリティ対策 |
※「5分でできる!情報セキュリティ自社診断」と「情報セキュリティ基本方針」を策定し、外部公開した上で、情報セキュリティ対策に取り組むことを宣言するもの
「SCS評価制度(セキュリティ対策評価制度)」への対策、何から始める?
経済産業省は2026年に「サプライチェーン強化に向けたセキュリティ対策評価制度」の運用開始を予定しています。制度開始後にいち早く認定を受けるためにいますぐに始められる対策を解説します。
セキュリティ対策の重要性
本記事冒頭でも触れた通り、セキュリティ対策が不十分な中小企業を踏み台として、大企業への不正アクセスを試みるサプライチェーン攻撃は、近年増加しています。
IPAが毎年発表している「情報セキュリティ10大脅威」においても、「サプライチェーンや委託先を狙った攻撃」は7年連続でランクインしており、2026年版では「ランサム攻撃による被害」に次いで第2位となっています。
このような背景から、自社だけでなく、取引先や委託先に対しても一定水準以上のセキュリティ対策を求める企業が増えています。その結果、対策が不十分な企業は、信頼の低下や取引停止といった事態に直面する可能性が高まっています。
つまり、一定水準以上のセキュリティ対策は、企業活動を行う上での前提条件になりつつあるといえるでしょう。
こうした中で、客観的に自社のセキュリティ対策状況を示す方法として検討が進められているのが、2026年度末に制度開始が予定されている「SCS評価制度(サプライチェーン強化に向けたセキュリティ対策評価制度)」です。
本制度に取り組むことで、一定のセキュリティ水準を満たしていることを客観的に示せるだけでなく、統一された評価基準が用意されるため、取引先ごとのセキュリティ要件の擦り合わせや、個別対応にかかる工数の削減にもつながります。
セキュリティ対策への取り組みは、取引先との信頼関係を築くために求められる投資の一つであり、これからの企業経営においては、競争優位性を左右する重要な要素にもなり得ます。
同程度のセキュリティレベルを持つ競合企業が存在する場合、いち早く星を取得することが競争優位性の確保につながり、信頼性とビジネスチャンスの拡大に寄与します。
星取得を目指す場合は、「制度が始まってから」ではなく、ぜひ先行して準備を進めることを推奨します。
セキュリティ対策評価制度での星の取得を目指すなら「ガイドライン対応サポートアカデミー」
本記事で紹介した「セキュリティアクション」は、中小企業のセキュリティレベルの向上において非常に有効な取り組みの一つです。しかし、あくまで企業自身による自己宣言であり、第三者機関による認定制度ではありません。
そのため、自社のセキュリティ対策状況を客観的に示す指標としては、一定の限界がある点には留意が必要です。
セキュリティ対策を対外的に示す制度として、現在検討が進められているのが「サプライチェーン強化に向けたセキュリティ対策評価制度」です。
この制度は、経済産業省が2026年度末頃の運用開始を目指しているもので、中小企業を含むさまざまな企業のセキュリティレベル向上を目的に、サイバーセキュリティ対策の実施状況を可視化する仕組みとなっています。
セキュリティ対策の実施状況は、三つ星・四つ星・五つ星といった段階で評価・可視化され、星の取得は、自社のセキュリティ水準を対外的に示す有効な指標として活用できます。
ただし、セキュリティ対策評価が対象とする三つ星・四つ星の取得には、専門家や第三者評価機関による審査をクリアする必要があります。なお、五つ星の評価方法については、現在検討が進められています。
| 段階 | 評価 | 項目 |
|---|---|---|
| 三つ星 | 専門家確認付き自己評価 | 83項目 |
| 四つ星 | 第三者評価 | 157項目 |
| 五つ星 | 未定 | 未定 |
四つ星の審査においては、実地審査・技術検証の実施も予定されており、セキュリティインシデント発生時の対応手順が策定されているか、脆弱性の管理体制が実際に構築・運用されているかなど、対策の実効性が確認されます。
つまり、「正しいセキュリティ対策」を理解したうえで、継続的に実施・運用できていなければ、星の獲得は困難であることが想定されます。
セキュリティ対策評価制度は、「発注者側の企業が、取引先に対して必要な星の水準を設定し、対応を要請すること」が主な使用用途として想定されています。そのため、今後は取引条件の一つとして、重要性がさらに高まっていくと考えられます。
このような背景から、2026年の制度開始を待つのではなく、早い段階から準備を進めておくことが、競争優位性の確保や信頼性向上、さらにはビジネスチャンスの拡大につながります。
一方で、「自社だけでは制度への対応が難しい」「そもそも何から始めればよいかわからない」といった課題を抱える企業も少なくないでしょう。
こうした課題をお持ちの企業・組織の方に向けて、本記事では、LANSCOPE プロフェッショナルサービスが提供する「ガイドライン対応サポートアカデミー」をご紹介します。
「ガイドライン対応サポートアカデミー」は、お客様のセキュリティレベルの向上をアカデミー形式で支援するコンサルティングパッケージです。
「ガイドラインの内容が難しくてわからない」「前提となるセキュリティ対策の知識が足りない」といったお悩みに対して、コンサルタントによる伴奏支援をはじめ、解説動画の提供や個別相談などを通じて、実践的な対策の実行をサポートします。
また、「ガイドライン対応サポートアカデミー」では、「サプライチェーン強化に向けたセキュリティ対策評価制度」への対応についても、認定要件をどの程度満たせているかをコンサルタントが専門的な視点でチェック・アドバイスし、星の獲得まで支援します。※
「ガイドライン対応サポートアカデミー」についてより詳しく知りたい方は、以下のページをご確認ください。
※エムオーテックスによる支援内容は2025年4月に経済産業省が「サプライチェーン強化に向けたセキュリティ対策評価制度構築に向けた中間取りまとめ」で公表した「【参考資料】★3・★4要求事項案・評価基準案」をもとにしています。
まとめ
本記事では「セキュリティアクション」をテーマに、その概要やメリット、宣言する方法などを解説しました。
本記事のまとめ
- セキュリティアクション(SECURITY ACTION)とは、中小企業が自ら情報セキュリティ対策に取り組むことを自己宣言する制度
- セキュリティアクションを宣言することで、「セキュリティ対策を対外的にアピールできる」「助成金・補助金の活用できるようになる」「従業員のセキュリティ意識向上につながる」といったメリットが期待できる
- セキュリティアクションには、「一つ星」と「二つ星」の2つの目標が用意されている
- 一つ星を宣言するためには「情報セキュリティ5か条」に取り組む必要がある
- 二つ星を宣言するためには、「5分でできる!情報セキュリティ自社診断」の実施と「情報セキュリティ基本方針」の策定および外部公開に取り組む必要がある
「セキュリティアクション」は、中小企業のセキュリティレベルの向上において非常に有効な取り組みです。
しかし、本記事でも何度か触れた通り、本制度はあくまで企業による自己宣言であり、第三者機関による認定制度ではありません。
セキュリティ対策が一定水準以上であることを対外的に示したい場合は、経済産業省が2026年度に制度開始を予定している「SCS評価制度(サプライチェーン強化に向けたセキュリティ対策評価制度)」における星取得が推奨されます。
ただし、本制度の要求事項は広く、難易度が高い部分もあるため、評価基準を正しく理解した上での対応が求められます。
「自社だけでは対応が難しい」「効率的に無駄なく対応を進めたい」という企業・組織の方は、本記事でも紹介したLANSCOPE プロフェッショナルサービスの「ガイドライン対応サポートアカデミー」の活用をぜひご検討ください。
SCS評価制度の認定要件をどれだけ満たせているかを、コンサルタントの「プロの視点」でチェック・アドバイスし、星の獲得までを支援します。※
また、まずは制度の概要について知りたいという方に向けて、わかりやすい解説資料もご用意しています。ダウンロードして、ご活用ください。
「SCS評価制度(セキュリティ対策評価制度)」への対策、何から始める?
経済産業省は2026年に「サプライチェーン強化に向けたセキュリティ対策評価制度」の運用開始を予定しています。制度開始後にいち早く認定を受けるためにいますぐに始められる対策を解説します。
※エムオーテックスによる支援内容は2025年4月に経済産業省が「サプライチェーン強化に向けたセキュリティ対策評価制度構築に向けた中間取りまとめ」で公表した「【参考資料】★3・★4要求事項案・評価基準案」をもとにしています。
おすすめ記事
