★3(三つ星)を取得するには、具体的に何をすればいいの?
officesuport_admin★3(三つ星)を取得するために企業が具体的に行うべきことは、大きく分けると**「社内の対策(全25項目のクリア)」と「申請に向けた手続き」**の2つです。
どのような手順で進めればよいのか、具体的なステップに分けてわかりやすく解説します。
ステップ1:対象となる「範囲(境界)」を決める
まずは、社内のどこを評価対象にするかを決めます。「全社一括」でなくても構いません。
- 例: 「主要な取引先と繋がっている、特定の工場やシステム部門だけ」を対象にする。
- ポイント: 対象(パソコンやサーバなど)を絞ることで、最初の導入ハードルをグッと下げられます。
ステップ2:現状をチェックする(25項目の自己評価)
IPA(情報処理推進機構)が提示する★3の要求事項(全25項目)をチェックリストにして、自社がどれだけできているかを採点します。
★3で特に厳しくチェックされる必須の5大要素は以下の通りです。
1. 資産の把握 ─── どのパソコンやサーバがネットワークに繋がっているか、台帳があるか 2. 防御の徹底 ─── 全端末にウイルス対策ソフトが入り、OSが最新にアップデートされているか 3. 認証の強化 ─── 管理者アカウントに「多要素認証(MFA)」が設定されているか 4. 復旧の備え ─── データのバックアップを定期的に取り、復元できるテストをしているか 5. 組織の教育 ─── 従業員(派遣含む)に年1回以上のセキュリティ研修を行っているか
不足している部分(ギャップ)があれば、ここでITツールを導入したり、社内ルール(基本方針)を作ったりして穴を埋めていきます。
ステップ3:セキュリティ専門家に確認してもらう
★3は「自己評価」でOKですが、**「専門家確認付き」**という条件があります。
- やること: 自社で記入した25項目のチェックシートと、その証拠(エビデンスとなる設定画面のキャプチャや社内規定のPDFなど)を、社内または社外のセキュリティ専門家に確認してもらいます。
- 専門家とは: 高度なIT・セキュリティ知識を持ち、かつこの制度の指定研修を受けた有資格者(情報処理安全確保支援士や、ITコーディネータ、特定のITベンダーの有資格担当者など)のことです。
💡 アドバイス: 自社に専門家がいない場合は、セキュリティ製品を購入した販売店や、サポートを依頼しているITベンダーの専門家にチェック(助言・確認)を依頼するのが一般的です。
ステップ4:ポータルサイトから申請・登録
専門家のOKが出たら、いよいよ申請です。
- 評価結果の提出
WEBで完結
制度の専用登録機関(ポータルサイト)へ、確認済みの自己評価結果を提出します。 - 事務局による審査
書類確認
登録機関(事務局)側で、申請内容に不備や矛盾がないかチェックが行われます。 - 台帳への登録・公開
星の獲得!
問題がなければ、正式に「★3取得企業」として台帳に登録・公開され、自社が★3を達成していることを取引先に客観的に証明できるようになります。
⚠️ 取得後にもう一つ必要なこと:「年1回の更新」
★3の有効期限は3年間ですが、1年ごとに自己評価を更新して事務局へ提出する義務があります。
「一度システムを入れたから終わり」ではなく、毎年「新しいパソコンもちゃんと管理できているか」「今年も社員教育をやったか」を振り返る運用の定着が、★3を維持する最大のポイントです。
まずは「社内のパソコンが何台あって、誰が使っているか」という**IT資産の棚卸し(現状把握)**からスタートしてみましょう。