SECURITY ACTIONとSCS評価制度の関係
IPAが運営するSECURITY ACTIONは、中小企業が情報セキュリティ対策に取り組むことを自己宣言する制度です。SCS評価制度では、SECURITY ACTIONの★1・★2がそのまま制度の基礎レベルとして位置づけられています。
| レベル | 制度 | 内容 |
|---|---|---|
| ★1 | SECURITY ACTION | 「情報セキュリティ5か条」に取り組むことを宣言 |
| ★2 | SECURITY ACTION | 「5分でできる!情報セキュリティ自社診断」を実施し、基本方針を策定・公開 |
| ★3〜★5 | SCS評価制度 | 経産省の新制度で追加される評価レベル |
★1・★2の内容
★1:情報セキュリティ5か条
- OSやソフトウェアは常に最新の状態にする
- ウイルス対策ソフトを導入する
- パスワードを強化する
- 共有設定を見直す
- 脅威や攻撃の手口を知る
★2:自社診断+基本方針
- IPAの「5分でできる!情報セキュリティ自社診断」(25項目)を実施
- 情報セキュリティ基本方針を策定・公開
★2から★3へのギャップ
★2までは「自己宣言」で完結しますが、★3では25項目の具体的な要求事項への準拠が求められます。
| ★2で実施済み | ★3で追加される要求 |
|---|---|
| 基本方針の策定 | 責任者の指定、経営層への報告体制 |
| パスワード強化 | MFA(多要素認証)の全ユーザー適用 |
| ウイルス対策ソフト導入 | EDRの導入、パッチ管理の体系化 |
| 自社診断の実施 | 情報資産の台帳管理、リスクアセスメント |
| — | インシデント対応計画の策定 |
| — | バックアップの取得・復旧テスト |
| — | 委託先へのセキュリティ要件提示 |
★3取得に向けたステップ
| Step | 内容 |
|---|---|
| 1 | ★3の25要求事項を確認し、★2との差分を洗い出す |
| 2 | MFA、資産台帳、インシデント対応計画など未対応項目に着手 |
| 3 | 対策を実装し、自己評価で準拠を確認 |
| 4 | 制度開始後に★3の評価を申請 |
まとめ
SECURITY ACTION★2宣言済みの企業は、MFAの適用、資産台帳の整備、インシデント対応計画の策定に追加で取り組むことで★3への準拠が可能です。制度開始前の今が準備のベストタイミングです。