SECURITY ACTIONを最短で完了する方法とは?一つ星・二つ星の違いと申請方法をわかりやすく解説
- 5月7日
- 読了時間: 18分
公開日:2026年5月7日
企業を狙うサイバー攻撃が巧妙化する中、中小企業にとっても情報セキュリティ対策の重要性が高まっています。
その「はじめの一歩」として経済産業省・IPA(独立行政法人情報処理推進機構)が推進しているのが「SECURITY ACTION(セキュリティアクション)」制度です。
この記事では、制度の概要や一つ星・二つ星の違い、2026年4月から一新された最新の申請手続き、最短で宣言を完了させるコツ、そして宣言後の運用を効率化するシステム『Eye“247” Work Smart Cloud』の活用法までをわかりやすく解説します。
※本記事は、独立行政法人情報処理推進機構(IPA)および経済産業省が公開している公式ガイドラインと、株式会社フーバーブレインの製品仕様に基づき、正確な情報を提供しています。
■ SECURITY ACTION(セキュリティアクション)とは?
中小企業のIT化・DXを支援するセキュリティ宣言制度
「SECURITY ACTION」とは、独立行政法人情報処理推進機構(IPA)が創設した、中小企業自らが情報セキュリティ対策に取り組むことを「自己宣言」する制度です。(出典:IPA「SECURITY ACTION」)
中小企業がIT化やDXを進めるうえで避けて通れない情報セキュリティの基礎を整えるための、実務的な入口として設計されています。たとえば、クラウドサービスの導入、テレワーク環境の整備、AIツールの活用、顧客情報のデジタル管理などは業務効率化に役立つ一方で、ID管理の甘さや端末管理不足があると事故につながります。SECURITY ACTIONでは、こうしたリスクに対して、まず何から始めるべきかを中小企業でも理解しやすい形で示しています。
この制度の最大の特徴は、公的機関が企業を「認定」するのではなく、企業が自発的に「対策に取り組みます」と宣言する点にあります。宣言した企業は、取り組み段階に応じて専用のロゴマーク(一つ星・二つ星)を使用できるようになり、自社の安全性を対外的にアピールできます。
【2026年4月更新】申込には「GビズID」のアカウントが必須に
2026年4月1日より、申込から管理までを一新した新システム「SECURITY ACTION管理システム」が公開されました。(出典:IPA「SECURITY ACTION管理システム公開のお知らせ」)最大の変更点は、申請に「GビズID(プライムまたはメンバー)」のアカウントが必須となったことです。
既にGビズIDをお持ちの企業様はスムーズに手続きが可能ですが、未取得の場合はIDの発行までに一定期間を要するため、早めの準備が必要です。
特に、補助金の締切直前にSECURITY ACTIONも進めようとすると、GビズID未取得がボトルネックになるケースがあります。
最短で完了したいなら、制度理解より先にアカウント準備を済ませるくらいの意識が大切です。
※GビズID:複数の行政サービスに1つのアカウントでログインできる、法人・個人事業主向けの共通認証システムです。(出典:GビズID公式)
デジタル化・AI導入補助金やDX認定の要件・加点メリット一覧
SECURITY ACTIONを宣言する最大のメリットの一つが、各種補助金や助成金の「必須要件」や「加点対象」になることです。そのため、単なるセキュリティ対策だけでなく、資金調達や事業拡大の観点でも重要な取り組みといえます。ただし、どの補助金で必須か、どの制度で加点対象かは公募要領や年度によって変わるため、必ず最新情報を確認しましょう。代表的なものは以下の通りです。
項目 | SECURITY ACTIONの要件 |
デジタル化・AI導入補助金(旧:IT導入補助金) | ★一つ星 または ★★二つ星 が必須要件(2026年3月30日より交付申請受付開始) |
DX認定制度 | ★★二つ星(※中小企業・個人事業主では、サイバーセキュリティ項目の代替として利用可) |
東京都中小企業振興公社 サイバーセキュリティ対策促進助成金 | ★★二つ星 が必須 |
その他、各自治体の助成金(札幌市、鹿児島県など) | サイバーセキュリティ対策に関連する助成金の多くが宣言を要件化。 |
■ SECURITY ACTIONの「★一つ星」と「★★二つ星」の違いと要件
SECURITY ACTIONには、「★一つ星」と「★★二つ星」の2段階があります。
どちらも中小企業が情報セキュリティ対策に取り組む自己宣言ですが、求められる内容の深さが異なります。
そのため、急いで補助金要件を満たしたい企業、まずは社内の意識づけから始めたい企業は一つ星が向いていますが、重要なのは、見栄えで選ぶのではなく、自社が実際に運用できるレベルを選ぶことです。
一つ星の要件(情報セキュリティ6か条への取り組み)
「★一つ星」は、IPAが定める「情報セキュリティ6か条」を実施することで宣言できます。(出典:IPA「情報セキュリティ6か条」)これから対策を始める企業でも、宣言自体はすぐに行うことができます。比較的短時間で対応できるため、初めての企業に適しています。
【情報セキュリティ6か条】
OSやソフトウェアは常に最新の状態にしよう!(更新プログラムの適用)
ウイルス対策ソフトを導入しよう!(定義ファイルの自動更新など)
パスワードを強化しよう!(長く、複雑なものを使い回さない)
共有設定を見直そう!(データのアクセス権限の適切な管理)
バックアップを取ろう!(ランサムウェア被害や機器故障への備え)
脅威や攻撃の手口を知ろう!(最新のサイバー攻撃の手口の把握と社内共有)
二つ星の要件(自社診断・基本方針の策定)
「★★二つ星」は、組織として一歩踏み込んだ対策を行う企業向けです。自社のセキュリティ状況を評価する「自社診断」と、「情報セキュリティ基本方針」の策定・公開の2点が要件となります。
「5分でできる!情報セキュリティ自社診断」の実施(出典:IPA「中小企業の情報セキュリティ対策ガイドライン」):自社のセキュリティ対策状況を25項目のチェックリストで把握します。
「情報セキュリティ基本方針」の策定と外部公開:自社がどのようにセキュリティ対策に取り組むかを示した方針(宣言書)を策定し、自社のWebサイトや会社案内などで外部に公開します。
二つ星は一つ星より手間がかかりますが、その分、補助金申請や取引先への説明、社内統制の強化において説得力が増します。
今後DXやクラウド活用を本格化させる企業なら、早い段階で二つ星を視野に入れる価値があります。
初めての企業でも迷わない!自社のフェーズに合わせた最適な星の選び方
「どちらを選べばいいか」と迷った場合は、以下の基準で判断してください。
選び方の基準 | おすすめ |
まず早く宣言したい | 一つ星 |
補助金準備を急いでいる | 一つ星を優先 |
社内ルールや方針まで整えたい | 二つ星 |
DX・クラウド活用が進んでいる | 二つ星 |
既にISMSを取得済み | 二つ星 |
専任担当者がいない | 一つ星から開始 |
重要なのは、最初から完璧を目指して進めることではなく、実行できるレベルから始めて段階的に引き上げることです。迷われる場合は、まずは「一つ星」から始め、社内の体制が整い次第「二つ星」へステップアップするという流れが最も確実です。
■ 最短ルート!新システムでの申し込み手順とロゴマーク掲載の注意点【2026年最新版】
ここでは、最短で進めるための全体フロー、必要な準備物、新システムでの申請手順、ロゴ利用時の注意点を順番に整理します。
最短5ステップで完了する全体フロー
SECURITY ACTIONの申し込みは、流れを理解しておけば比較的短時間で進められます。(出典:IPA「SECURITY ACTION申込方法」)宣言までの手順はシンプルです。以下の5ステップを押さえておけば、初めてでも迷いにくくなります。
取り組み目標を決定する:自社の状況に合わせて、一つ星or二つ星のどちらを宣言するか決めてください。※二つ星を宣言する場合は、事前に「自社診断」の実施と「情報セキュリティ基本方針」の外部公開等の要件を満たしておく必要があります。
GビズIDの取得とシステムへのログイン: 「GビズIDプライムアカウント」(介護施設の場合は施設ごとに「GビズIDメンバーアカウント」)を取得します。取得済みの場合は、そのままSECURITY ACTION管理システムへログインします。
申請フォームへの入力・送信:事業者情報や取り組み内容を入力。
申請手続き完了メール受信: 事務局から「自己宣言ID」とロゴマークの使用方法を知らせる手続き完了メールが届きます。
自己宣言完了・ロゴマークのダウンロード: 完了後すぐにIDが発行され、ロゴがダウンロード可能になります。ガイドラインに従って名刺やWebサイト等でご活用ください。
事前準備しておくべきもの
申請を最短で終わらせたいなら、事前準備がほぼすべてと言っても過言ではありません。
2026年4月以降、スムーズに申請を進めるために以下の準備が必要です。
GビズIDとパスワード: 必須。
企業情報: 法人番号や所在地、代表者名など。
(二つ星の場合)基本方針のURL: 公開済みの自社Webサイトに掲載した「情報セキュリティ基本方針」のURL。(※会社案内やパンフレット等への掲載でも可)
これらを事前に整理しておくことで、申請時間を大幅に短縮できます。
新システム「SECURITY ACTION管理システム」の申請手順
一新された管理システムでは、入力項目が整理されており、短時間で完了します。
まず、IPAの専用ページから「SECURITY ACTION管理システム」にアクセスし、取得済みの「GビズID(プライムまたはメンバー)」を使用してログインします。
ログイン後、申し込みフォームにて以下の手順で手続きを進めます。
規約への同意:個人情報の取扱い、および「SECURITY ACTIONロゴマーク使用規約」に同意します。
事業者情報の入力:法人の場合は事業者名、個人事業主の場合は代表者名や屋号に加え、それぞれ都道府県、市区町村、業種などの情報を入力します。(※介護施設の場合は介護施設名も入力します)
取り組み内容の選択・入力:宣言する星(一つ星または二つ星)のいずれかを選択し、取り組み内容を入力します。(※一つ星と二つ星を同時に申し込むことはできません)
すべての入力内容を確認して送信すると申し込みが完了し、直後に「自己宣言ID」とロゴマークの使用方法をお知らせする手続き完了メールが届きます。万が一メールが届かない場合でも、再度システムにGビズIDでログインし、マイページに自己宣言IDが表示されていれば手続きは正常に完了しています。
注意!Webサイトで「取得」「認定」と書いてはいけない理由
ロゴマークを自社サイトに掲載する際、「一つ星の認定を受けました」「取得しました」といった表現は禁止されています。SECURITY ACTIONは、IPAが企業のセキュリティレベルを審査・認定するものではなく、あくまで企業自らの「自己宣言」だからです。正しくは「一つ星を宣言しました」と記載してください。(出典:IPA「SECURITY ACTION」)ロゴマークを使う場合も、利用規約やガイドラインを確認し、誤認を与えない掲載を徹底しましょう。
表現 | 適切性 |
SECURITY ACTIONを取得しました | 不適切 |
SECURITY ACTIONに認定されました | 不適切 |
SECURITY ACTIONを自己宣言しました | 適切 |
SECURITY ACTION一つ星を宣言しています | 適切 |
■ 自己宣言を「形だけ」にしない!効率的な対策と教育の実装方法
SECURITY ACTIONは申し込み自体よりも、宣言後にどう運用するかが本当の勝負です。
実際、多くの企業で起こるのは「申請はしたが、その後の教育や対策が続かない」という問題です。
情報セキュリティは、一度ルールを作れば終わりではありません。
ここでは、宣言を形だけで終わらせないために押さえたい考え方を整理します。
宣言を「形だけ」にしない!継続的な教育と実務対策の限界
自己宣言はゴールではなくスタートです。SECURITY ACTIONを宣言してロゴを掲載しても、現場でルールが守られなければ意味がありません。多くの企業では、宣言後の運用が形骸化するケースが見られます。たとえば、社員は日々の業務に追われる中で、更新通知を後回しにしたり、私物USBを使ったり、怪しいメールを開いてしまったりします。
ハンドブックを配布して教育を行うことは重要ですが、人間の注意力に依存する対策だけでは、ヒューマンエラーや巧妙なサイバー攻撃を完全に防ぐことはできません。SECURITY ACTIONを本当に活かすには、定期的な周知、簡潔なルール整備、ログ確認、端末設定の統制などを組み合わせる必要があります。
OS更新、USB制限、バックアップ……人力での「徹底」には限界がある
「情報セキュリティ6か条」にあるOS・ソフトウェアの更新やウイルス対策ソフトの管理を、情シス部門が数十台〜数百台のPCを目視で1台ずつチェックするのは非現実的です。この方法では担当者の負担が大きく、確認漏れや属人化が起こりやすくなります。また、テレワークの普及により、「誰がどこでどんなファイルを持ち出しているか」を管理者の目だけで監視することは不可能です。USBメモリによる情報の持ち出し制限や、不適切なWebサイトの閲覧制限を口頭での注意だけで済ませるのは、リスク管理として不十分と言わざるを得ません。
こうした課題を解決するには、人の注意力だけに頼るのではなく、ログ取得や端末管理を支援する仕組みを導入し、継続的に見える化することが有効です。
■ 宣言後の運用負荷を削減する『Eye“247” Work Smart Cloud』の活用メリット
SECURITY ACTIONで定めたルールを確実に実行し、管理者の負担を最小限に抑えるためのツールとして『Eye“247” Work Smart Cloud』の導入が非常に有効です。
また、SECURITY ACTIONを宣言した後、「宣言内容をどう継続するか」という運用負荷も削減できます。
端末利用状況や操作ログ、セキュリティ運用を可視化・支援できる『Eye“247” Work Smart Cloud』を活用することで、手作業をなくし、ルールの実効性を高めやすくします。さらに、専門家支援や保険などが付帯するサービスであれば、万一の事故対応まで含めて安心感を高められます。
『Eye“247” Work Smart Cloud』の導入で満たす要件
『Eye“247” Work Smart Cloud』の「IT資産管理機能」や「ログ管理機能」を活用すれば、SECURITY ACTIONで求められる多くの要件をカバーできます。一つ星・二つ星のそれぞれの要件に対して、『Eye“247” Work Smart Cloud』がどのように活用できるかを解説します。
【★一つ星】の要件(情報セキュリティ6か条)で満たす項目
一つ星の要件である「情報セキュリティ6か条」のうち、特にシステム管理者の負担が大きい項目の運用を『Eye“247” Work Smart Cloud』がカバーします。
要件1:OSやソフトウェアは常に最新の状態にしよう!
OS・ソフトウェア最新化の把握:『Eye“247” Work Smart Cloud』は、全社員のPCのOSバージョンやインストールされているソフトウェア情報を自動収集します。ダッシュボード上で、「古いバージョンのOS」や「脆弱性警告の多いソフトウェア」を利用しているPCを一目で特定・グラフ化できるため、更新の漏れを確実に防ぎます。
要件2:ウイルス対策ソフトを導入しよう!
ウイルス対策ソフトの導入・稼働確認:各PCにウイルス対策ソフト(Windows Defenderや他社製品など)が導入されているかどうかに加え、定義ファイルが自動更新されているか、マルウェアを検知・防御する「リアルタイム保護」がオンになって正しく稼働しているかを一覧で可視化します。
その他の要件に対する防御力の底上げ
『Eye“247” Work Smart Cloud』の「禁止ソフトウェアの起動制限」や「USBデバイスの接続・書き込み制限」を活用することで、マルウェア感染の脅威や内部からの意図しない情報持ち出しをシステムレベルでブロックできます。
【★★二つ星】の要件(自社診断・基本方針の策定)で満たす項目
二つ星の要件である「5分でできる!情報セキュリティ自社診断」の実施と、「情報セキュリティ基本方針」の外部公開は、企業様自身で行う手続きです。しかし、『Eye“247” Work Smart Cloud』を導入することで、これらを「正確に診断し、継続的に運用するための基盤」として活用できます。
要件1:自社診断のための「正確な実態把握」
自社診断のチェック項目には、「OSやソフトウェアを最新にしているか」「ウイルス対策ソフトを導入しているか」といった実態を問う内容が含まれます。『Eye“247” Work Smart Cloud』のIT資産管理機能による客観的なデータ(ダッシュボード)を見るだけで、各PCの実態を正確に把握したうえで診断に回答することができます。
要件2:基本方針(ルール)の「確実な運用と監査」
策定・公開した基本方針(セキュリティルール)が、現場の従業員に本当に守られているかを目視で監視し続けることは不可能です。『Eye“247” Work Smart Cloud』の「1分単位のPC操作ログ(ファイル操作・Webアクセス)」や、ローカルPCに放置された「個人情報ファイルの自動スキャン」機能を活用することで、ルールの遵守状況をシステムで継続的に監査できます。これにより、二つ星の宣言を形骸化させず、実効性のあるセキュリティ対策として定着させることが可能です。
※ウイルス対策ソフトの稼働確認、禁止ソフトウェアの起動制限、個人情報ファイルスキャン機能等はWindows版のみ対応となります。
SECURITY ACTIONを「形だけ」にしないためのログ管理
ログ管理は、SECURITY ACTIONを実効性ある取り組みに変えるうえで非常に重要です。なぜなら、ルール違反や異常の兆候は、口頭報告よりもログに表れやすいからです。
『Eye“247” Work Smart Cloud』は、「誰が・いつ・どのファイルにアクセスしたか」という操作ログを1分単位で記録します。
これにより、万が一の情報漏洩事故が発生した際も、流出経路を特定でき、取引先に対する誠実な報告が可能になります。
また情報漏洩が発生する前に、深夜の不自然なPC利用、想定外のUSB接続、長期間更新されていない端末、業務時間外の大量操作をログで把握することができれば、予兆の段階で対策を打ちやすくなります。
さらに、社内教育の面でも、「ルールがあります」だけでなく「運用状況を確認しています」と示せるため、抑止力が高まります。
SECURITY ACTIONを単なる宣言で終わらせないためには、ログを残すこと、見える化すること、改善に活かすことの3点が欠かせません。
専門家による「駆けつけ対応」と「サイバー保険」による安心の付加
SECURITY ACTIONを始めることは、情報漏洩対策の第一歩ですが、現実には100%事故を防ぐことはできません。
さらに強固な対策を求める企業には、『Eye“247” Work Smart Cloud』のオプション「セキュリティワイドパック」がおすすめです。
未知のマルウェアを検知・防御する次世代型ソフト『Eye“247” Safety Zone』に加え、万が一の感染時に専門家がリモート駆除や現場へ駆けつける「駆けつけ対応サービス」、そして損害賠償をカバーする「サイバー保険」が付帯しており、経営層も安心できるセキュリティ体制を構築できます。
■ まとめ:SECURITY ACTIONは“取得”ではなく“運用”が重要
SECURITY ACTIONは、中小企業が情報セキュリティ対策に取り組むことを示す自己宣言制度です。
一つ星は基本対策の着手に向いており、二つ星は自社診断や基本方針策定まで含めた、より組織的な取り組みに適しています。
SECURITY ACTIONは、申請してロゴをWebサイトに貼ることがゴールではありません。「情報セキュリティ6か条」や基本方針を日々の業務に落とし込み、正しく「運用」し続けることが真の目的です。
宣言を「形だけ」で終わらせないためには、教育と同時に『Eye“247” Work Smart Cloud』のようなITツールを活用し、無理なく確実に対策を実行できる環境を整えることが、最短かつ最適な道のりと言えるでしょう。
補助金対策として始める場合でも、その先の実務改善まで見据えることが、結果的に最も効果的です。
■ よくある質問(FAQ)
Q. 2026年3月以前の自己宣言IDは使えますか?IDを忘れた場合や、登録情報(事業者名・住所等)を変更したい場合はどうすればいいですか?
A. ID忘れや情報の変更がなければ、デジタル化・AI導入補助金2026の「第1次公募(〜2026年5月12日17時)」までは以前のIDで申請可能です。
しかし、第2次公募以降に申請する場合や、旧IDを忘れた場合、登録情報を変更したい場合は、GビズIDを用いて新システムから改めて自己宣言をお申し込みいただく必要があります(自己宣言IDは新しいものに変更となります)。
Q. 申請には何が必要ですか?補助金申請とは異なるGビズIDで申し込んでもよいですか?
A. 申請には「GビズID」のアカウントが必須です。デジタル化・AI導入補助金を申請する場合は、補助金申請に使う「GビズID」と同一のアカウントでお申し込みいただく必要があります。加えて、法人情報、担当者情報、申請する星区分の決定、二つ星の場合は自社診断や情報セキュリティ基本方針の準備が必要になります。
Q. 一つ星と二つ星はどちらを選べばよいですか?一つ星だけでも問題ありませんか?
A. はい、一つ星だけでも問題ありません。初めて取り組む企業や、まず早く対応したい企業は一つ星から始めることが多いです。一方で、社内方針の整備や自社診断まで進めたい企業、DXやクラウド活用が進んでいる企業は二つ星が適しています。迷った場合は、一つ星から始めて後から二つ星へ進む方法でも問題ありません。
Q. 補助金申請が目的でもいいですか?また、一度宣言すれば永久に有効で、それだけで安全になりますか?
A. 宣言のきっかけが補助金でも問題ありませんが、宣言しただけで安全になるわけではありません。自己宣言に有効期限はありませんが、OS更新やバックアップ、教育などの対策を継続して実施することが求められます。取り組み内容に変更があった場合や、年に一度程度の自己診断による見直しが推奨されています。SECURITY ACTIONはゴールではなく、運用を始めるためのスタートラインとお考えください。
Q. 「SECURITY ACTION」(セキュリティアクション)は認証制度ですか?ロゴマークは自由に使えますか?
A. いいえ、認証制度ではなく、企業が自ら取り組むことを宣言する「自己宣言制度」です。ロゴマークは利用可能ですが、ガイドラインに従う必要があります。特に、「認定」「取得」といった誤解される表現は避け、「自己宣言」「宣言済み」といった適切な表現を使用してください。
Q. 宣言に費用や時間はどれくらいかかりますか?
A. 宣言自体は無料です(※GビズID取得やWebサイト修正に実費がかかる場合はあります)。 申請手続き自体は、一つ星であれば、GビズID取得後は当日中に申請を完了することも可能です。ただし、申請に必要なGビズIDの取得には通常数日〜1週間程度かかります。(※マイナンバーカード等を用いたオンライン申請であれば、GビズID取得から自己宣言まで最短1日での実施も可能です)補助金締切直前は混み合いやすいため、早めの準備がおすすめです。
参考・出典一覧
独立行政法人 情報処理推進機構(IPA):「SECURITY ACTION セキュリティ対策自己宣言」ポータルサイト https://www.ipa.go.jp/security/security-action/
独立行政法人 情報処理推進機構(IPA):「SECURITY ACTION管理システム公開のお知らせ(2026年4月)」 https://www.ipa.go.jp/security/security-action/news/sa-notice-202602.html
独立行政法人 情報処理推進機構(IPA):「SECURITY ACTION 申込方法」 https://www.ipa.go.jp/security/security-action/entry/
独立行政法人 情報処理推進機構(IPA):「情報セキュリティ6か条」 https://www.ipa.go.jp/security/security-action/download/infosec6to-dos.pdf
独立行政法人 情報処理推進機構(IPA):「中小企業の情報セキュリティ対策ガイドライン(5分でできる!情報セキュリティ自社診断 等)」 https://www.ipa.go.jp/security/guide/sme/about.html
独立行政法人 情報処理推進機構(IPA):「SECURITY ACTIONと補助金(デジタル化・AI導入補助金)」 https://www.ipa.go.jp/security/security-action/it-hojo.html
経済産業省:「ここから始めるセキュリティ! ―SECURITY ACTION自己宣言ー」https://www.meti.go.jp/policy/netsecurity/security_action.html
デジタル庁・GビズID公式:「GビズID」 https://gbiz-id.go.jp/top/
