ドメイン番人
Web 担当者ブランド保護メール認証学習

SECURITY ACTION の取得手順|中小企業・スタートアップ向け

ドメイン番人5 分で読めます
目次

この記事でわかること

  • SECURITY ACTION ★一つ星と★★二つ星の違いと、それぞれの宣言要件
  • IPA Webサイトからの自己宣言手順(無料、所要15〜30分)とロゴマーク掲出までの流れ
  • IT導入補助金など各種補助金審査で加点・要件化されている2026年現在の動向
  • メール認証(SPF/DKIM/DMARC)と組み合わせて「対外信頼」を底上げする打ち手

SECURITY ACTIONとは|Web 担当者向けの自己宣言制度

SECURITY ACTIONは、独立行政法人 情報処理推進機構(IPA)が運営するWeb 担当者向けの情報セキュリティ対策自己宣言制度です。「自主的に情報セキュリティに取り組む」と宣言し、SECURITY ACTIONのロゴマークを名刺・自社サイト・パンフレット等に掲出できます。

費用0円・所要15〜30分で完了する手軽な制度ですが、IT導入補助金など国の各種補助金の申請要件・加点項目に組み込まれている点が大きな特徴です(公式: IPA SECURITY ACTION)。

中小企業のメール周りの全体像は中小企業のメールセキュリティ|何から始めるかを参照。SECURITY ACTIONは「対外的に見える」レイヤーの一部として位置付けると整理しやすくなります。

★一つ星と★★二つ星の違い

SECURITY ACTIONには2段階があり、宣言要件と対外的な強さが異なります。

SECURITY ACTION 一つ星と二つ星の対比

★一つ星(情報セキュリティ5か条)

情報セキュリティ5か条」を実践することを自己宣言します。5か条は次のとおりで、内容は基本中の基本です。

  1. OSやソフトウェアは常に最新の状態にしよう
  2. ウイルス対策ソフトを導入しよう
  3. パスワードを強化しよう
  4. 共有設定を見直そう
  5. 脅威や攻撃の手口を知ろう

宣言だけで取得でき、社内体制の文書化までは求められません。「まずは社内の意識合わせから」という事業者向けです。

★★二つ星(情報セキュリティ自社診断)

★一つ星の5か条に加えて、IPAの「5分でできる!情報セキュリティ自社診断」(25項目)に取り組み、情報セキュリティ基本方針を社外に公開することを自己宣言します。25項目は組織体制・物理対策・ITシステム・運用ルールの4分類で、自社の現状把握から始まる構成です。

基本方針の公開が条件のため、自社サイトに「情報セキュリティ基本方針」ページを1枚用意する手間が発生します。一方、対外訴求力は一つ星より明確に強くなります。取引先や入札先からセキュリティ体制を問われる機会が多い事業者は、最初から二つ星を狙うのが効率的です。

取得手順|IPA Webサイトでの自己宣言

取得は完全オンラインで完結。費用0円、専用アカウントの作成も不要です。

SECURITY ACTION取得から訴求までのフロー

ステップ1: 該当する星を決める

★か★★かを決めます。補助金申請を視野に入れているなら二つ星推奨。IT導入補助金は2024年度以降、申請要件としてSECURITY ACTIONの自己宣言が明記されており、★以上で要件を満たします。

ステップ2: チェックリストに取り組む

★なら5か条を確認、★★なら25項目の自社診断とセキュリティ基本方針の整備を行います。基本方針はIPAがテンプレートを公開しているため、自社の業種・規模に合わせて調整するだけで済みます。

ステップ3: IPAサイトから自己宣言

SECURITY ACTION 自己宣言サイトから、企業情報(法人番号・所在地・代表者名等)と該当する星を入力して送信。送信後、宣言企業として一覧に登録され、ロゴマーク(ID付き)の利用が許可されます。

ステップ4: ロゴマークを掲出

自社Webサイトのフッター、名刺、会社案内、見積書テンプレート等にロゴを掲出します。一般的にはサイトフッターに置く形が多いです。有効期限は2年で、2年ごとに無料で更新(再宣言)します。

ロゴマーク掲出のメリット|補助金加点と取引先信頼

1. 補助金審査での加点・要件化

代表的な補助金での扱いは次のとおり(2026年5月時点、最新公募要領を要確認)。

  • IT導入補助金: 申請要件として★以上の自己宣言が必須
  • ものづくり補助金 / 事業再構築補助金: 加点項目として扱われるケースあり

特にIT導入補助金は中小企業のITツール導入の定番補助金で、上限数百万円が対象です。補助金活用予定があるなら最低でも★は取っておくべきです。

2. 取引先・入札での信頼性向上

近年、官公庁や大手企業の入札・取引開始時に「情報セキュリティ体制」のチェックシートを求められるケースが増えています。ロゴマークは「最低限の自己宣言は行っている」客観的な根拠として提示できます。

3. 社内意識の底上げ

宣言の手続き自体が自社の現状を棚卸しするきっかけになります。特に二つ星の25項目チェックは、運用上の穴(OSアップデートのルール未整備、退職者アカウント停止プロセスの不在等)を発見する機会になります。

メール認証と組み合わせて訴求力を高める

SECURITY ACTIONはあくまで「自社内の取り組み」の宣言です。対外的に「なりすましメールを許さない設定をしている」ことを示すには、メール認証設定が別途必要です。

SPF・DKIM・DMARCを整備すると、取引先のメールサーバーが自社の正規メールを高精度で受け入れ、なりすましは受信側で弾かれ、DMARCレポートで設定不備や不正試行を継続把握できます。

ブランド保護の枠組みはブランド保護の基本|メール認証から始める、DMARCの仕組みはDMARC とは?仕組みと中小企業が今すぐやるべき対応を 5 分でわかる入門を参照。SECURITY ACTIONが「自社内宣言」、メール認証が「メール経由の対外保護」と位置付けると、両者の役割が明確になります。

まとめ

  • SECURITY ACTIONはIPAのWeb 担当者向け自己宣言制度。費用0円、所要15〜30分
  • ★は5か条の宣言、★★は25項目自社診断と基本方針公開が必要。補助金前提なら★★推奨
  • IT導入補助金など主要補助金で要件・加点に組み込まれており、事実上の必須項目
  • 自社内宣言(SECURITY ACTION)と対外保護(SPF/DKIM/DMARC)の組み合わせが現実解

「取得して終わり」ではなく、2年ごとの更新と日々の運用が前提です。形だけのロゴにしないため、メール認証や日常のセキュリティ運用と並行して整備するのが現実的です。

自社の状況を確認してみませんか

設定状況がわからない方は、無料のドメイン診断で現状をチェックできます。 DMARC・SPF・DKIM・SSL の状態が数十秒でレポートされます。 判断に迷う場合はお問い合わせからご相談ください。専門家がわかりやすくサポートいたします。

関連記事

次の一歩は無料診断から。

無料診断を試す →相談したい方はこちらから