令和3年度 ITパスポート試験 公開問題 問79 解説 SECURITY ACTION

この問題は、SECURITY ACTIONという制度が「何をするものか」という本質的な目的を理解しているかで正誤が決まります。

判断のポイントは、SECURITY ACTIONが「自己宣言」というキーワードと結びついているかどうかです。この制度は、中小企業が自発的にセキュリティ対策に取り組む意思を表明するものであり、外部機関の審査や認証とは仕組みが異なります。

SECURITY ACTIONは、情報処理推進機構（IPA）が中小企業の情報セキュリティ対策を推進するために立ち上げた制度です。大きな特徴は、企業が「情報セキュリティ対策にしっかり取り組みます」と自ら宣言することで、ロゴマークなどを利用して取引先や顧客に対して信頼性をアピールできる点にあります。

この制度には二段階のステップがあり、安全対策の取組レベルに応じて「一つ星」と「二つ星」が用意されています。どちらのレベルにおいても、外部の厳しい審査を受ける必要はなく、IPAのWebサイトから申し込みを行い、自ら宣言をするという手順で登録が完了します。

選択肢にあるような「費用補助（ア）」や「第三者による認定（エ）」は、ISMS（情報セキュリティマネジメントシステム）適合性評価制度など、別の仕組みを指しています。ISMSは第三者機関の審査を経て認証を取得するものですが、SECURITY ACTIONはあくまで「自分で宣言する」という形式をとることで、コストや手間を抑えて多くの企業がセキュリティ対策の第一歩を踏み出せるようにしています。

試験では、この「自己宣言」というキーワードがSECURITY ACTIONの定義として問われることが多いため、第三者機関が介在する他の制度と混同しないように整理しておきましょう。IPAが実施している他の施策（情報セキュリティ安心相談窓口や情報セキュリティ自社診断など）とあわせて、中小企業向けの支援策としてセットで覚えておくと役立ちます。

• SECURITY ACTION（セキュリティアクション） - IPA
• 中小企業の情報セキュリティ対策ガイドライン - IPA
• ISMS適合性評価制度 - 一般社団法人情報マネジメントシステム認定センター（ISMS-AC）