top of page
検索

まずはここから。SECURITY ACTION「一つ星」で始めるセキュリティ対策

  • 2月24日
  • 読了時間: 4分

更新日:4月10日


「SECURITY ACTION」という言葉を聞いたことはあるけれど、 何をすればよいのか分からない――

そんな中小企業の方も多いのではないでしょうか。


SECURITY ACTIONは、IPA(情報処理推進機構)が提供している

中小企業向けの情報セキュリティ対策の自己宣言制度です。


そして、その最初の段階である「一つ星」は、

特別なツールや高度な技術がなくても、すぐに始められる内容になっています。


今回は、SECURITY ACTION一つ星で求められる

「情報セキュリティ5か条」を、実務の視点で解説します。


SECURITY ACTION一つ星の条件は 「情報セキュリティ5か条」


SECURITY ACTION一つ星は、

次の5つの基本対策に取り組むことを宣言することで取得できます。

一つずつ見ていきましょう。


① OSやソフトウェアを最新の状態にする


これは最も重要な対策です。


古いOSやソフトウェアは、

すでに知られている「弱点(脆弱性)」をそのまま放置している状態です。


実際の現場では、次のようなケースをよく見かけます。


  • Windows10のまま使い続けている

  • ソフトウェアの更新通知を無視している

  • いつ更新したか分からない


こうした状態は、サイバー攻撃の入り口になります。


まず確認すべきこと:

  • Windows Updateが有効になっているか

  • ソフトウェアが最新版になっているか

  • サポートが終了したOSを使っていないか

② ウイルス対策ソフトを導入する


現在のサイバー攻撃の多くは、


  • メールの添付ファイル

  • ダウンロードファイル

  • Webサイト閲覧


などを通じて侵入します。


ウイルス対策ソフトは、

これらの脅威を検知・防御する基本的な仕組みです。


確認すべきこと:

  • すべてのPCにウイルス対策ソフトが入っているか

  • 定義ファイルが自動更新されているか

  • 期限切れになっていないか


※Windows標準のMicrosoft Defenderでも、適切に管理すれば有効です。


③ パスワードを強化する


パスワードの使い回しは、非常に危険です。


一つのサービスから情報が漏れると、

他のサービスにも不正ログインされる可能性があります。


よくある問題:

  • 同じパスワードを複数サービスで使っている

  • 短く単純なパスワード

  • 共有アカウントの利用


対策の基本:

  • 長く(10文字以上)

  • 複雑に(英大文字・小文字・数字・記号)

  • 使い回さない


可能であれば、多要素認証(MFA)の導入も有効です。


④ 共有設定を見直す


意外と多いのが、「誰でもアクセスできる状態」のまま放置されているケースです。


例:

  • 共有フォルダに誰でもアクセスできる

  • 退職者のアカウントが残っている

  • クラウドの共有設定が適切でない


これにより、情報漏えいのリスクが発生します。


確認すべきこと:

  • 不要なアカウントが残っていないか

  • アクセス権限が適切か

  • 誰がアクセスできるか把握しているか

⑤ 脅威や攻撃の手口を知る


サイバー攻撃は日々進化しています。


最近多いのは:

  • 取引先を装ったメール

  • 請求書を装った添付ファイル

  • パスワードを盗む偽サイト


技術対策だけでなく、「知ること」も重要なセキュリティ対策です。


例えば:

  • IPA(情報処理推進機構)の注意喚起を見る

  • 不審なメールを開かない

  • 異常に気づいたら報告する


こうした基本的な意識が、被害を防ぎます。


SECURITY ACTION一つ星は、特別なことではありません


ここまで読んでいただくと分かる通り、

SECURITY ACTION一つ星で求められる内容は、特別な対策ではありません。


しかし実際には、


  • 更新されていないPC

  • 管理されていないアカウント

  • 状態が把握されていない端末


が多く存在します。


つまり、


「知らないうちにリスクを抱えている」


企業が非常に多いのが現実です。


まずは、自社の状態を確認することから


SECURITY ACTION一つ星は、高度なセキュリティを求める制度ではありません。


まずは、


  • 現在の状態を把握する

  • 基本対策ができているか確認する


そのための第一歩です。


SECURITY ACTIONについて詳しく知りたい方へ


SECURITY ACTIONは、IPA(情報処理推進機構)が提供している

中小企業向けの情報セキュリティ対策の自己宣言制度です。


制度の詳細や申請方法については、IPAの公式サイトをご確認ください。


SECURITY ACTION 公式サイト:


また、今回ご紹介した「情報セキュリティ5か条」も、

IPAのサイトで分かりやすく解説されています。


IT担当者がいない企業様へ


ITワークラボでは、


  • セキュリティ対策の現状確認

  • 基本対策の整理

  • SECURITY ACTION対応支援


など、外部IT担当者として支援を行っています。


「何から確認すればよいか分からない」

「自社の状態が不安」


という場合は、お気軽にご相談ください。


完璧でなくても大丈夫です。

まずは、現状を知ることから始めましょう。





📖 あわせて読みたい


SECURITY ACTION「二つ星」は、セキュリティを会社の仕組みにする第一歩|ITワークラボ
www.it-worklab.com
SECURITY ACTION「二つ星」は、セキュリティを会社の仕組みにする第一歩|ITワークラボ
先日、「まずはここから。SECURITY ACTION一つ星で始めるセキュリティ対策」という記事を書きました。一つ星は、言わばスタートラインです。でも、本当に大切なのは、その先にあります。一つ星のその後、どうなっていますか? • ウイルス対策ソフトは入れた • OSアップデートは気をつけている • パスワードも以前より意識しているとても良いことです。ただ、こんな状態になっていませんか? • 担当者しか分かっていない • 社員によって対応がバラバラ • ルールが頭の中にしかないこれでは「対策しているつもり」になってしまいます。二つ星の本質は「ルール化」IPA(情報処理推進機構)が推進するSECURITY ACTIONの「二つ星」は、 • 情報セキュリティ基本方針の策定 • 社内ルールの明文化 • 継続的な見直しがポイントになります。難しそうに見えますが、本質はとてもシンプルです。セキュリティを人任せから「会社の仕組み」に変えることこれが二つ星です。「規程」と聞くと重く感じますが…よくある誤解があります。「うちは中小企業だから、立派な規程なんて無理」しかし実際には、 • USBメモリは原則
セキュリティ対策評価制度「何から考えるか」を間違えないために|ITワークラボ
www.it-worklab.com
セキュリティ対策評価制度「何から考えるか」を間違えないために|ITワークラボ
経産省の「セキュリティ対策評価制度」という言葉を聞いて、多くの中小企業の経営者や担当者は、こんな印象を持つのではないでしょうか。 • 何だか難しそう • 高度なセキュリティ対策が必要そう • 専門のIT担当がいないと無理そうですが、最初にお伝えしておきたいことがあります。この制度は、セキュリティを“強化させる”ための制度ではありません。この制度が見ているのは「技術」ではない誤解されがちですが、セキュリティ対策評価制度で主に見られているのは、 • 最新のセキュリティ製品を使っているか • 高度な防御ができているかではありません。評価されるのは、もっと基本的な部分です。 • 誰が判断するのか決まっているか • 何を守るべきか整理されているか • 事故が起きたとき、最低限どう動くか考えられているかつまり、「ITやセキュリティを、経営として扱えているか」が問われています。なぜ「評価制度」という形を取っているのかこの制度の背景には、はっきりした目的があります。それは、中小企業に“高度な対策”を求めることではなく、取引先が安心して仕事を任せられる最低ラインを示すことです。実際、多くの企業では、 •
SCS評価制度への対応で迷う中小企業向けに、note有料記事を公開しました!|ITワークラボ
www.it-worklab.com
SCS評価制度への対応で迷う中小企業向けに、note有料記事を公開しました!|ITワークラボ
取引先から「セキュリティ対策の状況を確認したい」と言われたとき、 • 何を整理すればよいのか • どこまで準備すればよいのか • 誰が対応すればよいのかで迷う中小企業は多いと思います。そこで今回、SCS評価制度(セキュリティ対策評価制度)への対応を求められたときに、中小企業が最初にやる10項目を、実務目線で整理したnote有料記事を公開しました。この記事では、制度の難しい解説だけではなく、 • 使っている機器やクラウドの整理 • 管理者アカウントや権限の確認 • 外部委託先の整理 • バックアップや更新確認 • 取引先に説明できる状態の整え方など、実際に手を動かすためのポイント をまとめています。また、購入者向けの付録として、次の4点も用意しました。 • 初動チェックリスト • 情報資産管理台帳(Excel) • セキュリティ対応の役割分担 参考シート • 取引先説明前の整理シート「制度の話は気になるけれど、まず何から始めればいいか分からない」という方の、最初の整理に使っていただける内容です。現在、公開記念として4月中は980円 で公開しています。5月以降は1,280円 を予定していま


関連ページ



コメント

bottom of page