ITパスポート 令和3年度 問79:セキュリティマネジメントに関する問題
中小企業の情報セキュリティ対策普及の加速化に向けて,IPAが創設した制度である"SECURITY ACTION"に関する記述のうち,適切なものはどれか。
- aISMS認証取得に必要な費用の一部を国が補助する制度
- b営利を目的としている組織だけを対象とした制度
- c情報セキュリティ対策に取り組むことを自己宣言する制度正答
- d情報セキュリティ対策に取り組んでいることを第三者が認定する制度
AI解説(初心者・標準・上級)
理解度に合わせて3レベルの解説を無料で読めます。
答えは c「自己宣言する制度」 です。
「SECURITY ACTION」は、中小企業が「うちはちゃんとセキュリティ対策に取り組みます!」と自分で宣言するしくみです。試験もなく、自分で『やります』と表明するのがポイント。お店の入口に貼る『当店は手洗い徹底中』の宣言ポスターのようなイメージ。
👉 覚え方:「ACTION=行動を自分で宣言」。
ほかの選択肢:a 国がお金を補助する制度ではない/b 営利企業だけでなく幅広い組織が対象/d 第三者が認定するのは別の制度(ISMS認証など)で、SECURITY ACTIONは自己宣言。
なぜこれが正解か
正解は c。SECURITY ACTIONはIPAが中小企業向けに創設した、情報セキュリティ対策に取り組むことを自己宣言する制度。第三者の審査や認証はなく、取組み内容に応じて『★一つ星』『★★二つ星』のロゴマークを使用できる。
各選択肢の解説
- a 誤り:費用補助(補助金)の制度ではない。
- b 誤り:対象は中小企業・小規模事業者で、営利組織に限定していない。
- d 誤り:『第三者が認定する』のはISMS適合性評価制度(ISO/IEC 27001認証)など別制度。SECURITY ACTIONは自己宣言である点が決定的な違い。
覚え方・ひっかけ注意
最大のひっかけは d との混同。『自己宣言=SECURITY ACTION』『第三者認証=ISMS認証』とセットで覚える。星マーク(一つ星=5分でできる自社診断の実施、二つ星=基本方針の策定など)も問われる。
理論的背景
SECURITY ACTION は IPA(独立行政法人情報処理推進機構)が2017年に創設した制度で、中小企業・小規模事業者が情報セキュリティ対策に取り組むことを「自己宣言」し、その証として2段階のロゴマークを使用できる仕組みだ。
2つの宣言レベルの内容:
| レベル | 名称 | 要件 |
|---|---|---|
| 一つ星(★)| セキュリティ対策に取り組んでいます | 「情報セキュリティ5か条」(①OS・ソフトの更新 ②ウイルス対策 ③パスワードの強化 ④共有設定の見直し ⑤脅威・手口を知る)の実施を宣言 |
| 二つ星(★★)| セキュリティ対策を積極的に推進しています | 「5分でできる!情報セキュリティ自社診断」実施 + 情報セキュリティ基本方針の策定・外部公開 |
自己宣言制度の意義:審査・認証がないため中小企業でも取得しやすく、対策への第一歩のきっかけとして機能する。宣言ロゴマークは名刺・ウェブサイト・製品パッケージ等に表示できる。
第三者認証制度との対比:
| 制度 | 種別 | 審査機関 | 対象 |
|---|---|---|---|
| SECURITY ACTION | 自己宣言 | なし(自社判断)| 中小企業・小規模事業者 |
| ISMS(ISO/IEC 27001) | 第三者認証 | 認定認証機関 | 大企業・中堅企業 |
| プライバシーマーク(Pマーク) | 第三者認証 | JIPDEC 指定機関 | 個人情報を扱う事業者 |
実務での位置づけとサプライチェーン
近年、製造業・IT 業界では発注元の大企業が取引先中小企業に対して SECURITY ACTION 宣言を取引条件として要求する動きが広まっている。これはサプライチェーン全体のセキュリティレベルを底上げするための施策で、大企業が自社のセキュリティ対策だけでは不十分なことが認識されるようになった背景がある。
IPA は SECURITY ACTION と連動した「サイバーセキュリティお助け隊サービス」も整備しており、簡易監視・簡易検査・インシデント対応サポートを低価格で中小企業に提供している。自己宣言から具体的な実施まで一連のサポート体制として機能している。
試験での位置づけ
ITパスポートのセキュリティマネジメント分野で IPA 関連の制度・組織の識別は頻出テーマで、SECURITY ACTION(自己宣言)・ISMS 認証(第三者認証)・J-CRAT(標的型攻撃のレスキュー支援)・J-CSIP(情報共有)・JPCERT/CC(CSIRT の調整機関)を一覧として整理しておくことが重要。本問は選択肢 d「第三者が認定する制度」との区別が最重要で、「自己宣言か否か」という軸を判断基準にすれば瞬時に正答できる。二つ星の要件(自社診断+方針策定・外部公開)まで問われる出題もあるため詳細も確認しておきたい。
選択肢の発展補足
選択肢 a「ISMS 認証取得の費用を国が補助する制度」 は誤りで、SECURITY ACTION に補助金の仕組みはない。ただし IPA や各都道府県のデジタル推進機関が提供するセキュリティ補助金・IT 導入補助金(経済産業省)とは別途存在するため混同注意。補助金の有無という観点で切り分けると明確だ。
選択肢 b「営利を目的としている組織だけを対象とした制度」 は誤り。SECURITY ACTION は対象を「中小企業・小規模事業者」としており、営利・非営利を問わない。NPO・一般社団法人・医療法人なども対象として宣言できる。「営利のみ限定」という記述はどのセキュリティ関連制度でも誤りになりやすいため注意が必要だ。
選択肢 d「情報セキュリティ対策に取り組んでいることを第三者が認定する制度」 は ISMS 認証(ISO/IEC 27001)やプライバシーマーク(Pマーク)の説明として正確だ。本選択肢との明確な識別こそが本問の核心。「SECURITY ACTION ≠ 第三者が判断」「SECURITY ACTION = 自社が宣言」という絶対的な区別を記憶することが最重要ポイントだ。
出典:IPA(情報処理推進機構)公式 ITパスポート試験 令和3年度 問79/ 公的機関配布資料につき出典明記の上引用。解説は合格ナビによる独自AI解説です。