取引先から 「 セキュリティ対策の状況を確認したい 」 と言われたとき、 何を整理すればよいのか どこまで準備すればよいのか 誰が対応すればよいのか で迷う中小企業は多いと思います。 そこで今回、 SCS評価制度（セキュリティ対策評価制度）への対応を求められたときに、 中小企業が最初にやる10項目 を、実務目線で整理したnote有料記事を公開しました。 この記事では、制度の難しい解説だけではなく、 使っている機器やクラウドの整理 管理者アカウントや権限の確認 外部委託先の整理 バックアップや更新確認 取引先に説明できる状態の整え方 など、 実際に手を動かすためのポイント  をまとめています。 また、購入者向けの付録として、次の4点も用意しました。 初動チェックリスト 情報資産管理台帳（Excel） セキュリティ対応の役割分担 参考シート 取引先説明前の整理シート 「制度の話は気になるけれど、まず何から始めればいいか分からない」 という方の、最初の整理に使っていただける内容です。 現在、公開記念として 4月中は980円  で公開しています。 5月以

先日、「まずはここから。SECURITY ACTION一つ星で始めるセキュリティ対策」という記事を書きました。 一つ星は、言わば スタートライン です。 でも、本当に大切なのは、その先にあります。 一つ星のその後、どうなっていますか？ ウイルス対策ソフトは入れた OSアップデートは気をつけている パスワードも以前より意識している とても良いことです。 ただ、こんな状態になっていませんか？ 担当者しか分かっていない 社員によって対応がバラバラ ルールが頭の中にしかない これでは「対策しているつもり」になってしまいます。 二つ星の本質は「ルール化」 IPA （情報処理推進機構） が推進するSECURITY ACTIONの「二つ星」は、 情報セキュリティ基本方針の策定 社内ルールの明文化 継続的な見直し がポイントになります。 難しそうに見えますが、本質はとてもシンプルです。 セキュリティを人任せから「会社の仕組み」に変えること これが二つ星です。 「規程」と聞くと重く感じますが… よくある誤解があります。 「うちは中小企業だから、立派な規程なんて無理