公開日:2026年2月5日
ISO27001(ISMS)の認証取得もご検討中ですか?
東京スタンダードでは、中小企業様が取り組みやすいISO27001認証取得支援ツールや、ISMS審査を月額¥17,000(税抜)~ご提供しています。セキュリティアクションからステップアップしたい企業様、ぜひご相談ください!
公開日:2026年2月3日
ISO27001(ISMS)の認証取得もご検討中ですか?
東京スタンダードでは、中小企業様が取り組みやすいISO27001認証取得支援ツールや、ISMS審査を月額¥17,000(税抜)~ご提供しています。セキュリティアクションからステップアップしたい企業様、ぜひご相談ください!
この記事は 17 分で読了することができます。
この記事で解決できる課題
この記事では、「SECURITY ACTION(セキュリティアクション)」の概要から、「一つ星」「二つ星」の違い、ISO27001との比較まで、実践的な情報を図表を使ってわかりやすく解説します!
ISOやマネジメントに関する情報を毎週配信!ISOご担当者様・ご興味がある企業様は、情報収集の一環としてぜひご覧ください!
1. SECURITY ACTION(セキュリティアクション)とは?
1-1. SECURITY ACTION(セキュリティアクション)の概要・目的
1-2. SECURITY ACTION(セキュリティアクション)のメリット
2-1. 「一つ星」「二つ星」それぞれの概要
2-2. 「一つ星」「二つ星」はこんな企業におすすめ
2-3. SECURITY ACTION(セキュリティアクション)宣言するまでの流れ
4. よくある質問(FAQ)
5. まとめ:情報セキュリティの次のステップを踏み出そう
SECURITY ACTION(セキュリティアクション)とは、IPA(独立行政法人情報処理推進機構)が実施する、中小企業の情報セキュリティ対策を促進するための取り組みです。
近年、サイバー攻撃の対象は大企業だけでなく、セキュリティ対策が十分でない中小企業にも広がっています。
ランサムウェアによる被害や、取引先を経由した情報漏えいなど、中小企業が狙われるケースが増加しているのです。
このような状況を受けて、IPAは中小企業が情報セキュリティ対策に取り組むことを自己宣言する制度として、「SECURITY ACTION(セキュリティアクション)」を2017年から開始しました。
この制度の最大の目的は、「中小企業でも取り組みやすい、実効性のある情報セキュリティ対策の普及」です。
大企業向けの複雑な仕組みではなく、中小企業の実態に合った現実的な対策から始められることが特徴となっています。
セキュリティアクションに取り組むことで、以下のようなメリットが得られます。
宣言をきっかけに、経営者から従業員まで、組織全体でセキュリティ意識を高めることができます。「何をすべきか」が明確になるため、具体的な行動につなげやすいのです。
ロゴマークを名刺やホームページに掲載することで、「この会社は情報セキュリティに取り組んでいる」というメッセージを取引先に伝えられます。
特に大企業との取引では、サプライチェーン全体のセキュリティが重視されるため、宣言していることが取引条件になるケースもあります。
セキュリティアクションは、以下のような補助金で申請要件・加点対象となっています(2026年1月時点)。
| 補助金名 | 申請要件・加点対象 | 備考 |
|---|---|---|
| デジタル化・AI導入補助金 (旧:IT導入補助金) | 一つ星または二つ星 ※デジタル化基盤導入枠やセキュリティ対策推進枠で加点 | 2025年度は募集終了。2026年度は春ごろ公募開始の見通し |
| 介護テクノロジー導入支援事業 (地域医療介護総合確保基金) | 一つ星または二つ星 | 介護従事者確保分 |
| 事業再構築補助金 | 二つ星 ※サプライチェーン強靱化枠で加点 | |
| ものづくり補助金 | 一つ星または二つ星 ※一部の申請類型で加点対象 | |
| 事業承継・引継ぎ補助金 | 一つ星または二つ星 ※専門家活用枠などで優遇措置 |
宣言完了後、IPAから「一つ星」または「二つ星」のロゴマークがダウンロードできます。
会社のホームページや、会社案内・パンフレット、名刺や封筒などの印刷物で使用してみましょう!
ロゴマークを活用することで、顧客や取引先に対して「当社は情報セキュリティに真剣に取り組んでいます」という姿勢を視覚的にアピールできます。
東京スタンダードでは、中小企業様が取り組みやすいISO27001認証取得支援ツールや、ISMS審査を月額¥17,000(税抜)~ご提供しています。セキュリティアクションからステップアップしたい企業様、ぜひご相談ください!
セキュリティアクションには、取り組みレベルに応じて「一つ星」と「二つ星」の2段階があります。それぞれの違いを理解して、自社に合ったレベルから始めましょう。
一つ星は、「情報セキュリティ5か条」に取り組んでいることを宣言するレベルです。
1. OSやソフトウェアは常に最新の状態にしよう!
– Windows Updateやソフトウェアのアップデートをこまめに実施し、脆弱性を放置しない
2. ウイルス対策ソフトを導入しよう!
– すべてのパソコンにウイルス対策ソフトをインストールし、定義ファイルを最新に保つ
3. パスワードを強化しよう!
– 推測されにくい複雑なパスワードを設定し、使い回しをしない
4. 共有設定を見直そう!
– ファイル共有やクラウドサービスの公開範囲を適切に設定する
5. 脅威や攻撃の手口を知ろう!
– 最新のサイバー攻撃手法や対策方法について、継続的に情報収集する
これらは基本的な対策ですが、実施するだけでも多くのセキュリティリスクを低減できます。
「何から始めればいいか分からない」という企業様は、まず一つ星から取り組むことをおすすめします!
二つ星は、一つ星の取り組みに加えて、IPAが提供する「5分でできる!情報セキュリティ自社診断」を実施し、その結果に基づいた具体的な対策を行うレベルです。
「5分でできる!情報セキュリティ自社診断」は、25問の質問に答えることで、自社のセキュリティレベルを客観的に把握できるツールです。
診断結果では、不足している対策が明確になるため、優先的に取り組むべき項目が分かります。
二つ星を取得することで、単なる宣言だけでなく、「実際に診断と対策を行っている」という具体的な取り組みを示すことができます。
一つ星は、以下のような企業様におすすめです。
– これまで体系的なセキュリティ対策を行っていなかった企業
– 補助金申請の期限が迫っているなど、早急に宣言が必要な企業
– 複雑な仕組みではなく、基本的な対策から着実に進めたい企業
– 5~10名程度の小規模企業で、管理負担を最小限にしたい企業
二つ星は、以下のような企業様におすすめです。
– 大企業や官公庁との取引で、具体的な対策実施の証明が必要な企業
– IT導入補助金など「二つ星推奨」とされている場合
– 診断ツールを使って現状を可視化し、計画的に改善したい企業
– いきなりISO27001は難しいが、段階的にステップアップしたい企業
二つ星は、診断と対策の記録が必要なため、一つ星よりも手間はかかりますが、その分「実効性のある取り組み」として評価されます。
「より具体的な取り組みを証明したい」という企業様に最適です。
まずは一つ星から始めて、基本対策を定着させてから二つ星にステップアップする方法もおすすめです。無理なく継続できる方法を選びましょう!
(情報セキュリティ対策の取組段階に応じて、使用できるロゴマークはどちらかのみとなります。)
準備が整ったら、それぞれの星を宣言するため、申し込みを行いましょう。
具体的な手順をご紹介します。
まずは、IPAが定める「情報セキュリティ5か条」の内容をしっかり理解しましょう。各項目で何が求められているのか、自社でどう実施すべきかを確認します。
理解した内容をもとに、実際に対策を実施します。
<実施内容例>
対策の実施が完了したら、IPAの「SECURITY ACTION」公式サイトにアクセスし、申し込みページを開きます。
申し込みフォームには、以下の情報等を入力しましょう。(法人の場合)
入力内容を確認し、「申し込む」ボタンをクリックします。
登録したメールアドレスに受付完了メールが届きます。
申込から約1週間程度で、自己宣言IDをお知らせするメールが届きます。
申込から1~2週間程度で、ロゴマークのダウンロードが可能になった旨と、ロゴマークを解凍するためのパスワードが記載されたメールが届きます。
メールに記載されたURLから一つ星のロゴマークをダウンロードし、解凍パスワードを使用して解凍します。
所要時間の目安:
取り組み実施1週間~1カ月 + 申請手続き15分程度 + ロゴマーク受領まで1~2週間
「情報セキュリティ5か条」の実施状況によって期間は変わりますが、すでに一部の対策を実施している企業様であれば、より短期間で宣言できます!
まず一つ星と同様に、5か条の基本対策を実施します。
IPAのサイトから診断ツールをダウンロードし、25問の質問に回答します。回答は選択式なので、難しくありません。
診断結果で不足していると指摘された項目について、具体的な対策を実施します。
<実施内容例>
二つ星では、自社の情報セキュリティに対する基本的な考え方や方針を文書化し、ホームページなどで外部に公開することが求められます。
一つ星と同様に、IPAの「SECURITY ACTION」公式サイトにアクセスし、申し込みページを開きます。
二つ星の場合は、以下の情報等を入力しましょう。(法人の場合)
入力内容を確認し、「申し込む」ボタンをクリックします。
登録したメールアドレスに受付完了メールが届きます。
申込から約1週間程度で、自己宣言IDをお知らせするメールが届きます。
申込から1~2週間程度で、ロゴマークのダウンロードが可能になった旨と、ロゴマークを解凍するためのパスワードが記載されたメールが届きます。
メールに記載されたURLから二つ星のロゴマークをダウンロードし、解凍パスワードを使用して解凍します。
所要時間の目安:
取り組み実施1カ月~3カ月 + 申請手続き15分程度 + ロゴマーク受領まで1~2週間
診断と対策実施に時間がかかりますが、その分、実効性のある取り組みとして評価されます!
東京スタンダードでは、中小企業様が取り組みやすいISO27001認証取得支援ツールや、ISMS審査を月額¥17,000(税抜)~ご提供しています。セキュリティアクションからステップアップしたい企業様、ぜひご相談ください!
宣言後も以下の取り組みを行いましょう。
セキュリティアクションとISO27001(ISMS認証)は、どちらも情報セキュリティ対策に関する取り組みですが、目的やレベル、費用などが大きく異なります。
| 項目 | セキュリティアクション(二つ星) | ISO27001(ISMS認証) |
|---|---|---|
| 主な目的 | 中小企業が基本的な情報セキュリティ対策を開始するきっかけづくり | 国際規格に基づく体系的な情報セキュリティマネジメントシステムの構築と第三者によるチェック |
| 取り組み | 基本的なセキュリティ対策(5か条)+ 自社診断と改善 | リスクアセスメントに基づく包括的な管理策の実施とPDCAサイクルの運用 |
| 費用 | 無料 | 月額17,000円(税抜)~(審査費用を12カ月で分割) ※東京スタンダードの場合 |
| 審査 | なし(自己宣言) | あり(外部認証機関による審査) |
| 認証・宣言の有効性 | 継続的に取り組みを実施している限り有効 | 3年ごとの更新審査が必要(毎年の維持審査もあり) |
| 準備期間 | 一つ星:1週間~1カ月 二つ星:1カ月~3カ月 | 初回認証まで:9カ月~1年 ※東京スタンダードの場合 |
| 外部からの信頼度 | 基本対策実施の証明として一定の評価 | 国際規格による第三者認証として高い信頼性 |
| 必要な文書 | 最小限(対策実施記録程度) | 情報セキュリティ方針、リスクアセスメント結果、各種手順書、記録等 |
| 取引先への対応 | 基本対策の実施証明として提示可能 | 官公庁入札や大企業取引の必須要件として広く認知 |
| 補助金 | IT導入補助金などで申請要件・加点対象 | ISO取得費用に対して補助金の活用が可能 |
初めて情報セキュリティ対策に取り組む中小企業や、費用を抑えたい企業には、無料で取り組めるセキュリティアクションがおすすめです。
一方、官公庁や大企業との取引が必要となる企業や、金融・医療・IT業など機密情報を多く扱う企業には、ISO27001認証が適しています。
自社にとってどちらが適しているか、目標や状況に合わせて、最適な方法を選んで取り組んでみましょう!
段階的なステップアップも有効!
「いきなりISO27001は難しいけれど、将来的には取得したい」という企業様には、以下のような段階的なアプローチがおすすめです。
無理なく段階的にセキュリティレベルアップを目指しましょう!
東京スタンダードでは、中小企業様が取り組みやすいISO27001認証取得支援ツールや、ISMS審査を月額¥17,000(税抜)~ご提供しています。セキュリティアクションからステップアップしたい企業様、ぜひご相談ください!
A1:明確な更新手続きは不要です。ただし、継続的に5か条への取り組みを実施し、二つ星の場合は定期的に自社診断を行うことが推奨されています。
取り組みを停止した場合は、自主的に宣言を取り下げることが求められます。
A2:はい、可能です。一つ星を宣言した後、「5分でできる!情報セキュリティ自社診断」を実施し、その結果に基づいた対策を行えば、改めて二つ星として宣言できます。
手続きは新規宣言と同様に、IPAの公式サイトから行います。
A3:いいえ、セキュリティアクションは補助金の「申請要件」「加点要素」であり、宣言したからといって必ず補助金が採択されるわけではありません。
補助金ごとに審査基準があり、総合的に評価されます。ただし、加点があることで採択の可能性は高まります。
A4:ISO27001認証を取得している企業でも、セキュリティアクションを併せて行うことは可能です。
特に補助金申請で「セキュリティアクションが加点要件」となっている場合は、両方を保有することで より高い評価を得られる可能性があります。
手間もかからないため、宣言しておくことをおすすめします。
セキュリティアクションの取り組みには、従業員への教育が含まれます。IPAが提供する以下の教材を活用すると効果的です。
これらはすべて無料なので、社内研修に活用しましょう!
情報セキュリティ対策は、もはや「大企業だけの課題」ではありません。サイバー攻撃の被害は中小企業にも広がっており、「うちは狙われない」という考えは危険です。
セキュリティアクションは、中小企業でも無料で今すぐ始められる情報セキュリティ対策の第一歩となります。
この記事で解決できる課題
東京スタンダードでは、中小企業様が取り組みやすいISO27001認証取得支援ツールや、ISMS審査を月額¥17,000(税抜)~ご提供しています。セキュリティアクションからステップアップしたい企業様、ぜひご相談ください!
・IPA「SECURITY ACTION」公式サイト
https://www.ipa.go.jp/security/security-action/
・IPA 「SECURITY ACTIONとは」
https://www.ipa.go.jp/security/security-action/sa/
・IPA「情報セキュリティ5か条」
https://www.ipa.go.jp/security/sme/f55m8k0000001wb3-att/000055516.pdf
・IPA「5分でできる!情報セキュリティ自社診断」
https://www.ipa.go.jp/security/sme/f55m8k0000001waj-att/000055848.pdf
・IPA 「SECURITY ACTION自己宣言の申込方法」
https://www.ipa.go.jp/security/security-action/entry/
・IPA 「SECURITY ACTION自己宣言を申請要件に採用している補助金・助成金一覧」
https://www.ipa.go.jp/security/security-action/requirement/requirement.html
・IPA「デジタル化・AI導入補助金(旧:IT導入補助金)の申請要件になっています」https://www.ipa.go.jp/security/security-action/it-hojo.html
・デジタル化・AI 導入補助金2026「申請を行う前に必要な手続き」
2023年東京スタンダード設立。エイエスアール株式会社、アームスタンダード株式会社、アフノールジャパン株式会社、QAICジャパン株式会社をグループ会社として持ち、ISO認証登録件数グループ合計5,500件以上の実績を持つ。長年の経験とノウハウを活かして、ISOをより活かすことができるお役立ち情報を発信。
記事の監修者
東京スタンダード編集部
こちらのフォームにご入力後、弊社サービスやISOに関する資料がダウンロードできます。
