SECURITY ACTION一つ星の準備支援
- 山崎行政書士事務所
- 5月6日
- 読了時間: 15分
最初に取り組むべき基本対策
メタディスクリプションSECURITY ACTION一つ星は、中小企業が情報セキュリティ6か条に取り組むことを自己宣言する制度です。OS更新、ウイルス対策、パスワード、共有設定、バックアップ、攻撃手口の把握について、宣言前後に何を準備すべきかを、企業法務とサイバーセキュリティの実務視点から解説します。
1. SECURITY ACTION一つ星は「取得」ではなく「自己宣言」
SECURITY ACTIONは、中小企業が情報セキュリティ対策に取り組むことを自ら宣言する制度です。特に「一つ星」は、これから情報セキュリティ6か条に取り組むことを宣言するもので、IPAの公式説明でも「対策実施前でもお申込みいただけます」とされています。
ここで重要なのは、SECURITY ACTION一つ星は「認定」や「資格取得」ではないという点です。IPAは、SECURITY ACTIONについて、情報セキュリティ対策状況等をIPAが認定するものではなく、「一つ星の認定を受けました」「一つ星を取得しました」という表現は不適切であり、「一つ星を宣言しました」が適切であると明示しています。
したがって、企業法務の観点では、Webサイト、会社案内、見積書、取引先提出資料に記載する場合、次のように表現を統一すべきです。
表現 | 評価 |
SECURITY ACTION一つ星を取得しました | 不適切 |
SECURITY ACTION一つ星の認定を受けました | 不適切 |
SECURITY ACTION一つ星を宣言しました | 適切 |
当社は情報セキュリティ6か条に取り組むことを宣言しています | 適切 |
「取得」「認定」という言葉を使うと、第三者審査を受けたかのような誤解を取引先に与える可能性があります。これは、単なる表現の問題ではなく、対外表示・契約説明・セキュリティチェックシート回答に関わる法務リスクです。
2. 一つ星は「申し込むこと」より「基本対策を動かすこと」が大事
一つ星は、対策実施前でも申込み可能です。しかし、実務上は「宣言しただけ」で止まってしまう会社が少なくありません。
取引先から見れば、重要なのはロゴの有無ではなく、次のことです。
「OSやソフトは更新しているか」「ウイルス対策は全端末で動いているか」「メールやクラウドに多要素認証を入れているか」「クラウド共有リンクが外部公開されていないか」「バックアップから本当に戻せるか」「従業員が不審メールや偽サイトの手口を知っているか」
2026年3月に公開された「中小企業の情報セキュリティ対策ガイドライン第4.0版」では、従来の情報セキュリティ5か条に「バックアップを取ろう!」が追加され、情報セキュリティ6か条となりました。ランサムウェア被害やサプライチェーン被害を踏まえた改訂です。
つまり、一つ星の準備支援とは、単なる申込手続の支援ではありません。山崎行政書士事務所が重視するのは、中小企業が取引先に説明できる最低限の文書・台帳・記録を整えながら、一つ星の自己宣言を実務に落とし込むことです。
3. 情報セキュリティ6か条とは
一つ星で取り組む情報セキュリティ6か条は、次の6項目です。
No. | 情報セキュリティ6か条 | 中小企業での実務上の意味 |
1 | OSやソフトウェアは常に最新の状態にしよう | 脆弱性を放置しない |
2 | ウイルス対策ソフトを導入しよう | 感染・不審動作を検知する |
3 | パスワードを強化しよう | 不正ログインを防ぐ |
4 | 共有設定を見直そう | クラウド・NAS・複合機の誤公開を防ぐ |
5 | バックアップを取ろう | ランサムウェア・誤削除から復旧する |
6 | 脅威や攻撃の手口を知ろう | 従業員がだまされるリスクを下げる |
IPAの一つ星ページでも、この6項目がそのまま列挙されています。
大企業向けの高度なゼロトラスト設計、SOC、EDR、脆弱性診断、SIEM連携なども重要ですが、中小企業では、まずこの6か条が崩れていないかを確認することが先です。土台がない状態で高度な製品を入れても、退職者アカウント、弱いパスワード、共有リンクの外部公開、バックアップ未確認が残っていれば、事故は防げません。
4. 一つ星準備で最初に作るべき「最低限セット」
SECURITY ACTION一つ星の準備では、次の10点を整えると実務が安定します。
優先 | 準備するもの | 目的 |
1 | 情報セキュリティ6か条チェック表 | 6項目の現状を確認する |
2 | 端末台帳 | PC・スマホ・サーバ・NASを把握する |
3 | ソフトウェア更新確認表 | OS・業務ソフト・ブラウザの更新状況を確認する |
4 | ウイルス対策導入一覧 | 全端末で対策ソフトが動いているか確認する |
5 | アカウント・権限台帳 | 管理者権限、退職者アカウント、MFAを管理する |
6 | クラウド/SaaS台帳 | 利用サービス、管理者、保存データ、共有設定を把握する |
7 | バックアップ管理表 | 対象、頻度、保管先、復元テスト日を記録する |
8 | 情報管理ルール | 顧客情報、個人情報、契約書、認証情報の扱いを定める |
9 | 不審メール・事故報告ルール | 従業員が迷わず報告できるようにする |
10 | 対外表示文言 | 「一つ星を宣言しました」と正しく表示する |
一つ星では、二つ星と異なり、「5分でできる!情報セキュリティ自社診断」や情報セキュリティ基本方針の外部公開までは必須ではありません。二つ星は、自社診断と情報セキュリティ基本方針の策定・外部公開を行った上で取り組むことを宣言する制度です。
ただし、将来二つ星へ進むことや、取引先からセキュリティチェックシートを求められることを考えると、一つ星の段階から台帳・記録を作っておくことを強くお勧めします。
5. 第1条:OSやソフトウェアを最新にする
OSやソフトウェアを古いまま使うことは、攻撃者に入口を残すことと同じです。IPAの6か条資料でも、Windows Update、macOSのソフトウェアアップデート、Adobe Readerやブラウザなどの最新版利用、修正パッチ適用、サポートのあるOS・ソフトウェア・ネットワーク機器の利用が対策例として示されています。
中小企業で確認すべき対象は、パソコンだけではありません。
対象 | 確認ポイント |
Windows・macOS | 自動更新が有効か、サポート切れがないか |
ブラウザ | Chrome、Edge、Firefox等が最新版か |
PDF・Officeソフト | 古いバージョンを放置していないか |
会計・販売・給与ソフト | ベンダーの更新案内を確認しているか |
ルーター・VPN機器 | ファームウェア更新、サポート期限を把握しているか |
NAS・複合機 | 初期パスワード変更、更新、外部公開設定を確認しているか |
準備すべき記録は、端末台帳と更新確認表です。「担当者がたぶん更新しています」では、取引先には説明できません。
6. 第2条:ウイルス対策ソフトを導入する
ウイルス対策は、導入して終わりではありません。重要なのは、全端末に入っているか、停止していないか、定義ファイルが更新されているか、異常検知時に誰が対応するかです。
IPAの6か条資料では、ウイルス対策ソフトの導入、ウイルス定義ファイルの最新化、自動更新設定、統合型セキュリティ対策ソフトの検討、OSやアプリケーション標準搭載のセキュリティ機能の活用が示されています。
実務上は、次を確認してください。
確認項目 | 合格ライン |
導入範囲 | 業務用PC、ノートPC、サーバに導入済み |
更新状況 | 自動更新が有効 |
管理方法 | 管理画面または一覧表で未更新端末を確認 |
私物端末 | 私物PCで顧客情報・個人情報を扱わない |
異常時対応 | 検知時の報告先が決まっている |
無料ソフトを各自で入れているだけ、という状態では会社としての管理とはいえません。少なくとも、会社指定の対策、導入対象、確認責任者を決める必要があります。
7. 第3条:パスワードを強化する
現在の攻撃では、パスワードを「推測」するだけでなく、他サービスから漏えいしたID・パスワードを使い回してログインを試みる攻撃が一般的です。IPAの6か条資料では、パスワードを「長く」「複雑に」「使い回さない」こと、10文字以上でできるだけ長くすること、氏名・電話番号・誕生日・簡単な英単語を避けること、VPNや重要システムでは多段階認証・多要素認証・パスキー等を使うことが示されています。
中小企業で特に重要なのは、多要素認証です。
対象 | 推奨対応 |
メール | MFA必須 |
クラウドストレージ | MFA必須 |
会計・給与・勤怠 | MFA推奨、管理者は必須 |
VPN・リモートアクセス | MFA必須 |
EC・Web管理画面 | MFA必須 |
管理者アカウント | 最小人数、MFA必須、共有禁止 |
絶対に避けるべき運用は、全員のパスワードをExcelで平文管理することです。必要なのは「誰がどのサービスを使っているか」のアカウント台帳であって、パスワードそのものの一覧表ではありません。
8. 第4条:共有設定を見直す
情報漏えいは、高度なサイバー攻撃だけで起きるわけではありません。クラウドストレージの共有リンクを「リンクを知っている全員が閲覧可」にしたまま放置する。退職者がクラウドにアクセスできる。NASや複合機が外部から見える。こうした設定ミスで、顧客情報や取引資料が流出します。
IPAの6か条資料でも、Webサービス、ネットワーク接続の複合機・カメラ、NASなどの共有範囲を限定すること、従業員の異動・退職時に設定を変更・削除すること、フリーWi-Fi利用時にファイル共有をオフにすることが示されています。
確認すべき対象は次のとおりです。
対象 | 確認内容 |
Google Drive・OneDrive・Dropbox | 外部共有リンク、共有期限、閲覧権限 |
Microsoft 365・Google Workspace | ゲストユーザー、管理者権限、MFA |
NAS・ファイルサーバ | 社外公開、共有フォルダ権限 |
複合機 | スキャン保存先、管理者パスワード |
チャットツール | 外部ゲスト、公開チャンネル、ファイル共有 |
Web会議録画 | 保存場所、共有URL、閲覧権限 |
ここで作るべきものは、クラウド/SaaS台帳です。サービス名、管理者、保存データ、MFA、外部共有、ログ取得可否、退職時の停止方法を一覧化します。
9. 第5条:バックアップを取る
2026年改訂で6か条に追加された最重要項目が、バックアップです。IPAは、ランサムウェア攻撃への対策やBCPの観点から、バックアップを中小企業が初めに手掛ける対策として追加したと説明しています。
バックアップで重要なのは、「取っている」ことではありません。戻せることです。
IPAの6か条資料でも、重要情報の定期バックアップ、バックアップ媒体をバックアップ時のみPCに接続すること、オンラインバックアップ等の取得方法の決定、安全な場所での保管、バックアップデータを戻せるか定期的に確認することが示されています。
中小企業では、次をバックアップ管理表に記録してください。
項目 | 記録内容 |
対象 | 顧客情報、請求、会計、契約書、メール、Webサイト等 |
頻度 | 日次、週次、月次 |
保管場所 | 外付け媒体、別クラウド、別拠点等 |
分離 | 常時接続になっていないか |
世代管理 | 何世代残すか |
復元テスト | 最後に戻した日、結果、担当者 |
復旧優先順位 | どのデータから戻すか |
ランサムウェアでは、バックアップ先まで暗号化されることがあります。常時接続の外付けHDDだけ、同期型クラウドだけ、という状態では不十分です。
10. 第6条:脅威や攻撃の手口を知る
最後の1つは、従業員教育です。どれだけシステム対策をしても、従業員が偽メール、偽請求書、偽ログイン画面、サポート詐欺、ビジネスメール詐欺にだまされれば、認証情報は漏れます。
IPAの6か条資料では、取引先や関係者を装ったウイルス付きメール、正規サイトに似せた偽サイトによるID・パスワード窃取などの手口が増えているとして、IPAやNCO等の専門機関の情報、利用中サービスの注意喚起を確認し、管理者が従業員へ注意喚起し、従業員は懸念を速やかに報告することが示されています。
中小企業では、年1回の長い研修より、次のような短い運用の方が効果的です。
方法 | 内容 |
月1回の注意喚起 | 不審メール例、偽ログイン画面、振込先変更詐欺を共有 |
入社時説明 | パスワード、クラウド共有、個人情報、生成AI利用を説明 |
ヒヤリハット記録 | 誤送信未遂、不審メール受信、共有ミスを記録 |
報告ルール | 不審メールは削除前に責任者へ報告 |
机上訓練 | ランサムウェア、クラウド誤公開、誤送信を想定 |
「不審なメールに注意してください」だけでは足りません。誰に、どう報告し、証拠をどう残すかまで決める必要があります。
11. 2026年4月以降の申込ではGビズIDに注意
2026年4月1日から、SECURITY ACTIONの申込方法は新しい「SECURITY ACTION管理システム」に変わりました。IPAは、同システムの利用にはGビズIDプライムまたはGビズIDメンバーが必須であり、GビズIDエントリーは使用不可と案内しています。
新システムでは、GビズIDを使って申込み、申込直後に自己宣言IDやロゴマークを取得でき、マイページで登録情報の確認・変更やロゴダウンロードができるようになっています。
実務上の注意点は次のとおりです。
確認事項 | 内容 |
GビズID | プライムまたはメンバーが必要 |
ログイン管理 | 代表者・担当者のID管理を明確にする |
申込情報 | 事業者名、所在地、担当者情報を正確に入力する |
ロゴ使用 | 使用ガイドラインに従う |
表示文言 | 「宣言しました」と表記する |
証跡保存 | 申込日、自己宣言ID、ロゴ利用開始日を記録する |
GビズIDは重要な行政手続用アカウントです。外部支援者に安易にID・パスワードを共有してはいけません。山崎行政書士事務所では、申込前の準備資料、表示文言、台帳、社内ルールの整備を支援し、実際のログイン・申込操作については、事業者ご本人の管理を前提に手順確認を支援します。
12. 一つ星準備支援で整える社内ルール
一つ星では、分厚い規程集は不要です。ただし、最低限のルールは必要です。
ルール | 内容 |
情報管理ルール | 顧客情報、個人情報、契約書、見積情報、認証情報を社外秘として扱う |
端末管理ルール | 業務端末、私物端末、紛失時対応を定める |
アカウント管理ルール | 共有ID禁止、MFA、退職者アカウント停止を定める |
クラウド利用ルール | 会社承認サービス、外部共有、保存データを定める |
バックアップルール | 対象、頻度、保管先、復元テストを定める |
不審メール対応ルール | 開封時、クリック時、添付ファイル実行時の報告先を定める |
事故報告ルール | 誤送信、紛失、クラウド誤公開、不正アクセス時の初動を定める |
ISMSの考え方でも、情報セキュリティは機密性・完全性・可用性を守る体系的な仕組みであり、技術的対策だけでなく、従業員の教育・訓練、組織体制の整備も含むものとされています。SECURITY ACTION一つ星はISMS認証とは別物ですが、将来の二つ星、ISMS、Pマーク、取引先監査へ進むための入口として、同じ方向を向いた小さな仕組みを作ることが重要です。
13. 一つ星準備支援の実務フロー
第1段階:現状確認
最初に、情報セキュリティ6か条に沿って現状を確認します。
確認項目 | 見るもの |
OS・ソフト更新 | 端末台帳、更新状況 |
ウイルス対策 | 導入端末一覧、更新状況 |
パスワード | アカウント台帳、MFA設定 |
共有設定 | クラウド/SaaS台帳、共有リンク |
バックアップ | バックアップ管理表、復元テスト |
脅威教育 | 教育記録、注意喚起記録 |
第2段階:すぐ直せるリスクを直す
一つ星の準備では、まず低コストで効果が大きい対策を優先します。
すぐ直すべき事項 | 理由 |
退職者アカウントの停止 | 不正ログイン防止 |
メール・クラウドのMFA設定 | 侵入リスク低減 |
外部共有リンクの棚卸し | 誤公開防止 |
サポート切れOSの洗い出し | 既知脆弱性対策 |
バックアップ対象の確認 | ランサムウェア対策 |
不審メール報告先の明確化 | 初動遅れ防止 |
第3段階:台帳と記録を作る
取引先に説明するためには、台帳と記録が必要です。
作成物 | 目的 |
端末台帳 | どの端末を管理しているか説明する |
アカウント台帳 | 誰がどのシステムを使えるか説明する |
クラウド/SaaS台帳 | どのクラウドに何の情報があるか説明する |
バックアップ管理表 | 何をどこまで戻せるか説明する |
教育記録 | 従業員へ周知した証拠を残す |
ヒヤリハット記録 | 改善活動の証拠を残す |
第4段階:申込・表示文言を整える
SECURITY ACTION管理システムで一つ星を自己宣言する前後に、次を確認します。
項目 | 確認内容 |
GビズID | プライムまたはメンバーを用意 |
自己宣言区分 | 一つ星を選択 |
表示文言 | 「一つ星を宣言しました」に統一 |
ロゴ利用 | 使用ガイドラインを確認 |
社内記録 | 申込日、自己宣言ID、担当者を記録 |
取引先説明 | 6か条への取組状況を簡潔に説明できるようにする |
14. 一つ星を取引先説明に使うときの回答例
取引先から「SECURITY ACTIONはありますか」と聞かれた場合、次のように回答すると誤解が少なくなります。
回答例
当社は、IPAのSECURITY ACTION一つ星を宣言し、情報セキュリティ6か条に基づく基本対策に取り組んでいます。具体的には、業務端末の更新確認、ウイルス対策ソフトの導入、重要アカウントの多要素認証、クラウド共有設定の見直し、重要データのバックアップ、従業員への不審メール注意喚起を実施しています。今後、取引内容及び取扱情報に応じて、二つ星へのステップアップ及び情報セキュリティ基本方針の外部公開を検討しています。
この回答では、「宣言」と「実際の取組み」を分けて説明しています。ロゴだけを示すよりも、はるかに信頼性があります。
15. 一つ星から二つ星へ進むタイミング
一つ星は、基本対策の入口です。次の状態になったら、二つ星へのステップアップを検討すべきです。
状態 | 二つ星を検討すべき理由 |
取引先からセキュリティチェックシートを求められる | 基本方針や自社診断が説明資料になる |
個人情報や顧客情報を多く扱う | 管理体制の文書化が必要になる |
クラウド利用が増えている | SaaS台帳・ルール整備が必要になる |
外部委託が増えている | 委託先管理が必要になる |
補助金・入札・業務委託で説明資料が必要 | 対外的な説明力が上がる |
従業員が増えて口頭管理が限界 | 基本方針・規程・教育記録が必要になる |
一つ星の段階で台帳や記録を作っておけば、二つ星への移行はかなり楽になります。
16. 山崎行政書士事務所が支援できること
山崎行政書士事務所では、行政書士として対応できる範囲で、SECURITY ACTION一つ星に向けた社内文書・台帳・対外説明資料の整備を支援します。
支援内容 | 具体例 |
現状確認 | 情報セキュリティ6か条チェック |
文書整備 | 情報管理ルール、クラウド利用ルール、事故報告ルール |
台帳整備 | 端末台帳、クラウド/SaaS台帳、アカウント台帳、バックアップ管理表 |
対外表示 | Webサイト・会社案内に掲載する正しい文言の作成 |
取引先説明 | セキュリティチェックシート回答の土台作成 |
二つ星準備 | 情報セキュリティ基本方針、自社診断結果の整理 |
契約連動 | 業務委託契約、秘密保持契約、個人情報取扱覚書との整合確認 |
技術的な設定作業、脆弱性診断、EDR/SOC運用、フォレンジック調査等は、必要に応じてIT専門事業者や情報処理安全確保支援士等と連携します。紛争性のある損害賠償交渉、訴訟対応、法的代理が必要な場合は、弁護士と連携します。
17. まとめ:一つ星はゴールではなく、会社を守る最初の型である
SECURITY ACTION一つ星は、中小企業が情報セキュリティ対策を始めるための非常に有効な入口です。
ただし、重要なのは「宣言したこと」ではありません。重要なのは、次の基本対策を実際に動かすことです。
OSやソフトウェアを更新する
ウイルス対策を全端末で確認する
パスワードを強化し、多要素認証を入れる
クラウドや共有フォルダの公開設定を見直す
バックアップを取り、戻せることを確認する
従業員が攻撃手口を知り、すぐ報告できるようにする
そして、これらを台帳・記録・社内ルールとして残すことで、取引先や顧客に説明できる会社になります。
山崎行政書士事務所では、SECURITY ACTION一つ星を「ロゴを表示するための手続」ではなく、中小企業が情報管理体制を整える第一歩として位置付け、現場で運用できる文書・台帳・記録づくりを支援しています。
下記をテーマに山崎行政書士事務所のブログ記事を作成して下さい。サイバーセキュリティの最先端の技術者として、企業法務のスペシャリストとして、最新の正確な情報を基に作成して下さい。 SECURITY ACTION二つ星の準備支援 自社診断と情報セキュリティ基本方針の作成
コメント