SECURITY ACTIONの一つ星と二つ星は、何が違うのでしょうか。
結論を先に示します。一つ星は「情報セキュリティ5か条に取り組むことの宣言」、二つ星はそれに加えて「情報セキュリティ自社診断の実施」と「情報セキュリティ基本方針の策定・外部公開」が必要な宣言です。
SECURITY ACTIONを検討する理由は、人によって異なります。デジタル化・AI導入補助金の申請要件として調べている方もいれば、取引先から取得を求められている方、あるいは自社のセキュリティ対応姿勢を対外的に示したい方もいるはずです。
この記事では、どの目的であっても必要になる「一つ星と二つ星の違い」「選び方の判断基準」「申請にあたって確認しておくべき点」を整理します。
そもそもSECURITY ACTIONとは何か
SECURITY ACTIONは、独立行政法人情報処理推進機構(IPA)が運営する、中小企業向けの情報セキュリティ対策自己宣言制度です。
IPA公式サイト内「SECURITY ACTION」ページ
※IPAから認定を受けるといったものではなく、あくまで自己宣言である点はご注意ください
制度の本来の目的は「セキュリティ対策に取り組む姿勢を対外的に示すこと」です。審査はなく、費用も不要で申し込むことができます。宣言後はロゴマークが付与され、自社のウェブサイトや会社案内に掲載することで、取引先や顧客に対してセキュリティへの取り組み姿勢を示すことができます。
補助金申請の要件として広く知られるようになりましたが、それはこの制度の活用方法の一つにすぎません。「補助金のために取る」という文脈だけで語られることが多い制度ですが、本来はセキュリティ対策の自己宣言としての意味を持っています。
対象は中小企業・小規模事業者です。業種の指定はなく、情報セキュリティ対策に取り組む意思があれば申し込むことができます。
違いは「求められる準備の深さ」
まず一覧表でその違いを確認してみます。
| 比較項目 | 一つ星 | 二つ星 |
|---|---|---|
| 目的 | 情報セキュリティ5か条への取り組みを宣言 | 自社診断と基本方針の整備まで行ったうえで宣言 |
| 必要な対応 | 5か条に取り組むことを宣言するのみ | 自社診断の実施+基本方針の策定・外部公開+宣言 |
| 基本方針の公開 | 不要 | 必須(外部公開が条件) |
| 準備の手間 | 比較的少ない | 自社診断・基本方針の整備が必要 |
| 向いているケース | まず要件を満たしたい/早期に進めたい | 整備水準を上げて対外的に示したい |
| 補助金申請との関係 | 申請要件を満たす | 申請要件を満たす+加点項目にもなりうる |
一つ星と二つ星は、どちらが「正しい」ということではありません。自社の目的と現状に合わせてどちらを選ぶかが重要です。この点については、後半の「目的別の判断基準」で整理します。
一つ星とは何か
一つ星は、SECURITY ACTIONの第1段階の宣言です。
「情報セキュリティ5か条に取り組むことを宣言する」というもので、IPAの公式案内では、これから取り組む段階であっても申し込みが可能とされています。つまり、対策を完了していなくても、取り組む意思と姿勢を示すことが宣言の要件になります。
情報セキュリティ5か条とは、IPAが中小企業向けに示している基本的なセキュリティ対策の指針で、以下の5項目が含まれます。
- OSやソフトウェアを最新の状態にする
- ウイルス対策ソフトを導入する
- パスワードを強化する
- 共有設定を見直す
- 脅威や攻撃の手口を知る
一つ星は「準備が整っていなければ取れない」ものではなく、これから整えていく意思を示す宣言です。補助金申請の要件としてだけでなく、セキュリティ対策のスタートラインとして位置づけることができます。
二つ星とは何か
二つ星は、SECURITY ACTIONの第2段階の宣言です。
一つ星の宣言に加えて、以下の2つの対応が必要です。
- 情報セキュリティ自社診断の実施:IPAが提供する診断シートを用いて、自社のセキュリティ対策の現状を把握します。
- 情報セキュリティ基本方針の策定・外部公開:自社のセキュリティに関する方針を文書化し、ウェブサイト等で外部に公開します。
一つ星が「取り組む意思の宣言」であるのに対し、二つ星は「実際に現状を把握し、方針を整備したうえでの宣言」という点で、対応の深さが異なります。
ここで実務上の注意点があります。二つ星の取得で詰まりやすいのは、宣言の手続きそのものよりも、自社診断の回答を実態に合わせて整えることや、基本方針をテンプレートのコピーではなく自社に合った内容に仕上げることです。この部分の精度が、宣言の実質的な意味を左右します。
どちらを選ぶべきかの判断基準
取引先・親会社から取得を求められている場合
サプライチェーン全体のセキュリティ水準を高める観点から、大企業や親会社が取引先にSECURITY ACTIONの取得を求めるケースが増えています。
この場合、まず相手方から「何星が必要か」を確認することが先決です。指定がある場合はそれに従います。
指定がない場合は、二つ星を選択するほうが対応水準として示しやすいです。自社診断と基本方針の公開まで整えることで、セキュリティ対策に実質的に取り組んでいることを具体的に示せるからです。
自社のセキュリティ姿勢を対外的に示したい場合
補助金や取引先要求とは無関係に、自社の情報セキュリティへの取り組みを対外的に示したいという場合は、二つ星が有効です。
理由は2つあります。1つ目は、自社診断の実施によって現状の課題が明確になり、実質的なセキュリティ整備につながるからです。2つ目は、基本方針を外部公開することで、顧客や取引先に対して具体的な根拠をもって示せるからです。
宣言後に付与されるロゴマークは、ウェブサイトや会社案内、提案書などに掲載することができます。対外的な信頼性の補強として活用できます。
どのケースにも共通する選び方の軸
目的にかかわらず、選び方の判断軸は次の2点に集約されます。
- 「とにかく早く要件を満たしたい」「まず始める」→ 一つ星から始める選択肢がある
- 「整備水準を上げて対外的に示したい」→ 二つ星が有力
どちらの目的であっても、自社診断の回答と基本方針の内容の質が問われる点は共通です。形式だけ整えたものは、宣言としての実質的な意味が薄くなります。
自社が一つ星・二つ星のどちらで進めるべきか迷う場合、または自社の状況を整理したい場合は、支援内容もあわせてご確認いただけます。
補助金申請を進める場合に確認しておきたいこと
補助金対応とSECURITY ACTION対応を並行して進める場合
補助金の申請準備とSECURITY ACTIONへの対応を同時に進めるケースでは、両者の説明内容や準備事項を整合させながら進めることが重要です。補助金申請書類の内容と、SECURITY ACTION上の宣言内容が乖離しないよう、並行して整理しておくと後の対応がスムーズになります。
2026年の申込方法変更について(補足)
SECURITY ACTIONは2026年4月(予定)に新管理システムへの移行が案内されており、申込み方法が変わります。移行後の申込みには、GビズIDプライムまたはメンバーのアカウントが必要になります。
申請時期が近い場合は、GビズIDの取得状況を早めに確認しておくことをお勧めします。
※申込方法の詳細・最新情報は、IPA公式サイトでご確認ください。制度の運用変更により、本記事の内容が実際と異なる場合があります。
こんな場合は専門家に相談したほうが早い
次のような状況に当てはまる場合、自力で進めるよりも専門家に確認しながら進めるほうが結果的に早くなることがあります。
- 一つ星・二つ星のどちらで進めるべきか、判断の根拠が定まらない
- 自社診断の回答が自社の実態を正しく反映しているか不安がある
- 基本方針をテンプレートのままにしてよいか判断がつかない
- 取引先から求められているが、何をどこまで準備すればよいか分からない
- 補助金対応とSECURITY ACTION対応を並行して、整合性を保ちながら進めたい
申請目的を問わず、自社診断・基本方針の整備から補助金申請対応の整合性確認まで、行政書士・登録セキスペが直接対応します。
まとめ
- 一つ星:情報セキュリティ5か条への取り組みを宣言するもの。対策実施前でも申し込み可能。
- 二つ星:自社診断の実施と基本方針の策定・外部公開が必要な、第2段階の宣言。
- 補助金申請では一つ星・二つ星どちらも要件を満たすが、申請する枠によっては二つ星は加点項目にもなりうる。
- 取引先対応・自社の姿勢を示す目的でも、二つ星のほうが対応水準として示しやすい。
- どの目的であっても、自社診断と基本方針の内容の質が宣言の実質的な意味を左右する。
迷う場合は、「何のために取得するのか」という目的と「自社の現状」の両方を見て判断してください。
情報処理安全確保支援士(登録セキスペ)/行政書士/個人情報保護士
ビーンズセキュリティサービス代表(ビーンズ行政書士事務所内)
「セキュリティが詳しくない経営者でも、統制できる仕組みを作る」をテーマに、情報処理安全確保支援士と行政書士のダブル国家資格を持つ専門家。中小企業の経営者・役員向けに各社に適したセキュリティの”はじめの一歩”をご提案します。
▶ お問い合わせ