セキュリティ対策評価制度とは?中小企業が知るべき5つのポイント
セキュリティ対策評価制度とは、企業のサイバーセキュリティ対策レベルを第三者が客観的に評価・認定する仕組みです。中小企業でもサイバー攻撃被害が急増しており、経済産業省の調査では2023年に報告されたサイバーインシデントの約半数が中小企業に集中しています。自社のセキュリティ水準を可視化し、取引先や顧客からの信頼を獲得するために、評価制度の活用が急務となっています。
セキュリティ対策評価制度とは何か?基本的な定義を理解する
セキュリティ対策評価制度とは、第三者機関が企業のセキュリティ対策を審査し、一定水準を満たすと認定・証明する制度です。
サイバーセキュリティ対策の実施状況は、外部からは見えにくいという課題があります。評価制度を活用することで、自社のセキュリティレベルを客観的に把握でき、取引先・顧客・金融機関への証明手段にもなります。
IPA(独立行政法人情報処理推進機構)が2023年に公表した「中小企業における情報セキュリティ対策の実態調査」によると、セキュリティ対策を「十分に実施できていない」と回答した中小企業は全体の62%に上ります。評価制度の取得は、この課題を解消する有効な手段です。
評価制度が生まれた背景
2016年以降、サプライチェーン攻撃が急増し、大企業の取引先である中小企業が攻撃の起点となるケースが相次ぎました。経済産業省は2019年に「サイバーセキュリティ経営ガイドライン」を改訂し、取引先のセキュリティ水準確認を経営者の責務として明記しました。これを受けて、中小企業向けの評価制度・認証制度の整備が加速しています。
評価制度と認証制度の違いは何か?
評価制度は自社のセキュリティ対策レベルを測定・スコアリングする仕組みであり、認証制度は一定基準を満たした企業に認定マークを付与する制度です。両者は目的が異なります。評価制度は現状把握と改善に重点を置き、認証制度は対外的な証明に重点を置きます。実務では両方を組み合わせて活用するケースが増えています。
中小企業が活用できる主要なセキュリティ対策評価制度を比較する
PR
DX推進についてご相談ください
ツール選定・業務改善・導入支援など、専門コンサルタントが無料でお答えします。
無料相談を申し込む日本国内で中小企業が活用できる主要な評価制度は5種類あり、目的・コスト・難易度がそれぞれ異なります。
制度名運営機関対象規模費用目安難易度主な特徴SECURITY ACTIONIPA全規模無料★☆☆自己宣言型・二段階Pマーク(JIS Q 15001)JIPDEC全規模30〜100万円★★★個人情報保護特化ISMS(ISO/IEC 27001)各認定機関中〜大企業100〜300万円★★★国際標準・包括的サイバーセキュリティお助け隊サービスIPA認定小規模月1〜3万円★☆☆監視・対応込みCIS Controls評価CIS(米国)全規模費用は実施体制次第★★☆18の管理策に基づく評価
※費用は2025年1月時点の目安です。審査機関・企業規模により変動します。
SECURITY ACTION(セキュリティアクション)とは
SECURITY ACTIONはIPAが運営する自己宣言型のセキュリティ対策評価制度で、費用は無料です。「一つ星」と「二つ星」の2段階があり、一つ星は「情報セキュリティ5か条」の実践宣言、二つ星は「情報セキュリティ基本方針」の策定と公開が条件です。IT導入補助金の申請要件としても採用されており、2023年度のIT導入補助金では申請事業者の約78%がSECURITY ACTIONを取得しています(IPA発表)。
ISMS・Pマークは中小企業に必要か?
ISMS(ISO/IEC 27001)とPマークは取得コストが高く、中小企業には負担が大きい面があります。ただし、官公庁・大手企業との取引条件として求められるケースが増えており、取引先の要求水準を確認したうえで検討する必要があります。従業員50名以下の企業ではまずSECURITY ACTIONから始め、取引要件に応じてPマークやISMSへステップアップする段階的アプローチが現実的です。
なぜ今、中小企業にセキュリティ対策評価制度が必要なのか?
サプライチェーン攻撃の増加と取引条件の厳格化により、評価制度の取得は中小企業の経営課題となっています。
警察庁の「令和5年におけるサイバー空間をめぐる脅威の情勢等について」によると、2023年のランサムウェア被害報告件数は197件で、うち中小企業が占める割合は約60%です。被害を受けた企業の復旧コストは平均1,000万円を超えるケースも報告されており、セキュリティ投資の重要性は数字が示しています。
取引先・発注元から求められるケースが増加している
大企業・官公庁が調達基準にセキュリティ要件を盛り込む動きが加速しています。経済産業省は2023年に「経済安全保障推進法」に基づくサプライチェーン管理強化の指針を公表し、重要インフラ関連の発注企業は取引先のセキュリティ水準確認を義務付けられています。評価制度の取得証明は、入札・商談での差別化要素になります。
金融機関・保険会社の審査でも活用される
サイバー保険の引受審査や、銀行の融資審査でセキュリティ対策の実施状況が確認されるケースが増えています。東京商工リサーチの2024年調査では、サイバー保険加入企業の42%が「セキュリティ評価制度の取得が保険料割引に影響した」と回答しています。
セキュリティ対策評価制度の取得手順はどうすればよいか?
セキュリティ対策評価制度の取得は「現状評価→方針策定→対策実施→申請・審査」の4ステップで進めます。
ステップ1:現状のセキュリティギャップ分析
取得を目指す制度の要件と自社の現状を照らし合わせるギャップ分析が出発点です。IPAが無料公開している「情報セキュリティ対策ベンチマーク」を使うと、約30の設問に回答するだけで自社のセキュリティレベルを5段階でスコアリングできます。ギャップ分析の結果をもとに、優先度の高い対策から着手します。セキュリティ診断ツールの比較はこちら
ステップ2:社内体制の整備と文書化
ISMSやPマークでは、情報セキュリティ基本方針・リスク管理規程・インシデント対応手順書などの文書整備が審査要件です。SECURITY ACTIONの二つ星でも情報セキュリティ基本方針の策定と公開が必要です。文書作成にはIPAが公開しているテンプレートを活用することで、工数を大幅に削減できます。セキュリティポリシー策定支援サービスの比較はこちら
ステップ3:申請・審査・認定取得
SECURITY ACTIONはオンラインで自己宣言するだけで取得完了です。PマークやISMSは認定審査機関による書類審査・現地審査を経て認定が付与されます。審査期間はPマークで約6〜12ヶ月、ISMSで約9〜18ヶ月が目安です。認証取得支援コンサルタントの比較はこちら
セキュリティ対策評価制度を活用した中小企業の実例
評価制度の取得により、受注拡大・コスト削減・従業員意識向上の3つの効果が得られた事例が報告されています。
製造業・従業員30名:SECURITY ACTION取得で大手との取引が実現
愛知県の精密部品製造業(従業員30名)では、大手自動車メーカーからの発注条件としてセキュリティ対策の証明を求められました。SECURITY ACTION二つ星を取得し、情報セキュリティ基本方針をウェブサイトに公開した結果、3ヶ月後に新規受注を獲得しています。取得にかかったコストは社内工数のみで費用ゼロ、取得期間は約2週間でした。
IT企業・従業員15名:ISMS取得で官公庁案件の入札資格を獲得
東京都内のシステム開発会社(従業員15名)では、官公庁のシステム開発案件への入札にISMS認証が必須要件として設定されていました。取得コストは審査費用・コンサルティング費用込みで約180万円、取得期間は14ヶ月でした。取得後初年度に受注した官公庁案件の売上は投資回収を大幅に上回る結果となっています。中小企業のISMS取得事例をもっと見る
小売業・従業員8名:サイバーセキュリティお助け隊でインシデント早期検知
神奈川県の小売業(従業員8名)では、IPA認定の「サイバーセキュリティお助け隊サービス」を月額2万円で導入し、不審な通信の早期検知体制を整備しました。導入6ヶ月後にランサムウェアの初期侵入を検知・遮断し、被害を未然に防いでいます。従業員数が少なく専任のIT担当者がいない企業でも、外部サービスを活用することで評価制度要件を満たせます。
セキュリティ対策評価制度導入前に確認すべき5つのポイント
セキュリティ対策評価制度を取得する前に、以下の5点を必ず確認してください。目的と実態を整合させないまま進めると、取得後も活用できない「形だけの認証」になるリスクがあります。
チェックリスト:評価制度導入前の確認事項
① 取得目的が明確か 取引先から要求されている、補助金申請要件を満たしたい、自社のリスク管理を強化したい、など目的を一つに絞ってから制度を選定する。目的が曖昧なまま難易度の高い制度を選ぶと、取得後の維持管理コストが無駄になります。
② 取引先・発注元が求める制度と一致しているか 発注元が「ISMS取得済みであること」を条件としている場合、SECURITY ACTIONでは要件を満たせません。商談・入札説明会の資料で要求される制度名・規格番号を必ず確認します。
③ 維持・更新コストを予算計画に組み込んでいるか ISMSは初回取得後も年1回のサーベイランス審査(費用:約30〜50万円)と3年ごとの更新審査が必要です。取得コストだけでなく、維持コストを含めたTCO(総保有コスト)で判断します。
④ 社内に推進できる担当者がいるか 文書整備・従業員教育・審査対応を担うキーパーソンを事前に決めておかないと、審査直前に業務が集中して現場が混乱します。外部コンサルタントを活用する場合も、社内窓口担当者は必須です。
⑤ 現状のセキュリティ水準と目標制度のギャップを把握しているか ギャップ分析なしに審査を受けると、不適合事項が多発して審査が長期化します。IPAの無料ツール「情報セキュリティ対策ベンチマーク」で事前スコアリングを実施してから申請計画を立てます。
セキュリティ対策評価制度に関してよくある質問
SECURITY ACTIONとISMSはどちらを先に取得すべきか?
まずSECURITY ACTIONから取得するのが正解です。無料・短期間で取得でき、IT導入補助金の申請要件も満たせます。ISMSは取引先からの要求や官公庁案件への対応が必要になった段階で検討します。段階的に取り組むことで、コストと工数を最小化できます。
セキュリティ対策評価制度の取得に補助金は使えるか?
中小企業診断士によるコンサルティング費用はIT導入補助金の対象外ですが、セキュリティソフト・EDR・UTMなどのITツール導入費用はIT導入補助金(セキュリティ対策推進枠)で最大450万円まで補助されます。2025年度のIT導入補助金では補助率2/3以内が適用されます(中小企業庁発表)。
評価制度を取得しないと何かリスクがあるか?
直接的な罰則はありませんが、取引機会の損失・サイバー保険加入の制限・融資審査での不利といったビジネスリスクが発生します。経済産業省は2025年以降、重要インフラ関連のサプライチェーンに対してセキュリティ評価の提出を義務化する方向で制度設計を進めています。
今すぐできる3つのアクション
自社のセキュリティレベルを無料で診断する IPAの「情報セキュリティ対策ベンチマーク」にアクセスし、30問の質問に回答してスコアを確認します。所要時間は約15分です。セキュリティ診断ツール一覧はこちら
SECURITY ACTION一つ星を今週中に申請する IPAのSECURITY ACTIONサイトで「情報セキュリティ5か条」を確認し、オンライン申請フォームから自己宣言します。費用ゼロ・最短即日で完了します。SECURITY ACTION申請サポートサービスの比較はこちら
取引先が求める制度要件を確認し、取得ロードマップを作成する 次回の商談・入札説明会で発注元のセキュリティ要件を確認します。要件が明確になったら、詳しいツール・サービス比較でDX比較ナビをご活用ください。セキュリティ認証支援サービスの比較はこちら
