先日、「まずはここから。SECURITY ACTION一つ星で始めるセキュリティ対策」という記事を書きました。 一つ星は、言わば スタートライン です。 でも、本当に大切なのは、その先にあります。 一つ星のその後、どうなっていますか？ ウイルス対策ソフトは入れた OSアップデートは気をつけている パスワードも以前より意識している とても良いことです。 ただ、こんな状態になっていませんか？ 担当者しか分かっていない 社員によって対応がバラバラ ルールが頭の中にしかない これでは「対策しているつもり」になってしまいます。 二つ星の本質は「ルール化」 IPA （情報処理推進機構） が推進するSECURITY ACTIONの「二つ星」は、 情報セキュリティ基本方針の策定 社内ルールの明文化 継続的な見直し がポイントになります。 難しそうに見えますが、本質はとてもシンプルです。 セキュリティを人任せから「会社の仕組み」に変えること これが二つ星です。 「規程」と聞くと重く感じますが… よくある誤解があります。 「うちは中小企業だから、立派な規程なんて無理

「SECURITY ACTION」という言葉を聞いたことはあるけれど、 何をすればよいのか分からない―― そんな中小企業の方も多いのではないでしょうか。 SECURITY ACTIONは、IPA（情報処理推進機構）が提供している 中小企業向けの情報セキュリティ対策の自己宣言制度です。 そして、その最初の段階である「一つ星」は、 特別なツールや高度な技術がなくても、すぐに始められる内容になっています。 今回は、SECURITY ACTION一つ星で求められる 「情報セキュリティ5か条」を、実務の視点で解説します。 SECURITY ACTION一つ星の条件は 「情報セキュリティ5か条」 SECURITY ACTION一つ星は、 次の5つの基本対策に取り組むことを宣言することで取得できます。 一つずつ見ていきましょう。 ① OSやソフトウェアを最新の状態にする これは最も重要な対策です。 古いOSやソフトウェアは、 すでに知られている「弱点（脆弱性）」をそのまま放置している状態です。 実際の現場では、次のようなケースをよく見かけます。 Windows