東京都産業労働局 令和5年度中⼩企業サイバー
セキュリティ対策継続支援事業

文字サイズ
中小企業向けサイバーセキュリティ対策の極意 令和6年度中小企業サイバーセキュリティ社内体制整備事業

化粧品原料製造業 A社

フレームワークを活用し、自社で対応するべき
セキュリティ対策を策定・推進

取り組んだ支援テーマ

  • ネットワーク
    セキュリティ
  • エンドポイント
    セキュリティ
  • モバイルデバイス
  • データ保護
  • セキュリティ意識と
    教育
  • 外部パートナー
    との関係

企業プロフィール

業種 製造業
従業員数 ~5名
セキュリティ体制 1名体制/兼務/経営者
事業内容 化粧品原料の開発、製造、輸出入、販売を行う企業です。天然由来の原料を取り扱うことにより、環境に配慮した化粧品原料の開発を進めています。化粧品メーカーを主な取引先として、BtoBでビジネスを展開しています。
01

背景と状況

経営者1名体制でセキュリティ対策を推進

矢印
02

課題

自社に必要な対策や情報資産が整理されていない

矢印
03

取組内容

フレームワークを活用したセキュリティ対策の策定

矢印
04

結果と今後

明確化された対策の実行と社内教育の強化を実現

Before After 取組を通じたビフォーアフター

beforeグラフ 矢印 afterグラフ

01

背景と状況

小規模事業者として人的資源やコストに制約がある中でセキュリティ対策を推進

セキュリティ担当は経営者が兼務 投入可能な人的資源やコストに制約 UTMは自社で導入済み

小規模事業者であるため、セキュリティ担当は経営者が兼任しています。セキュリティに関わる専門人材は配置できず、投資できるコストにも制約がある中で、経営者1名がセキュリティ知識を学びながら対応を進め、UTM(Unified Threat Management)も導入しています。

02

セキュリティ課題

自社に必要な対策や情報資産が整理されていない

当初の課題
必要なセキュリティ対策の過不足が把握できていない
UTMの運用状況が管理できていない
重要情報を取り扱うクラウドサービスの棚卸しが未実施
矢印
専門家派遣支援で明らかになった課題
自社の情報資産の整理や把握ができていない
UTMのアップデート状況や責任範囲が把握できていない
自社の業務に合わせたセキュリティ規程の見直しが必要

03

取組内容

フレームワークを活用したセキュリティ対策の策定

STEP1 STEP1

本事業の専門家派遣により、自社のセキュリティ状況と必要な対策を明確化

本事業の専門家からのアドバイスにより、現状のセキュリティ課題を明確化し必要なセキュリティ対策を検討することにしました。まず、自社にとって重要な情報資産を明確にするため、情報資産の整理および把握から着手しました。

STEP2 STEP2

重要情報を取り扱うクラウドサービスの棚卸しを完了し、多要素認証機能を導入

顧客情報や製品情報など、重要な情報を取り扱うクラウドサービスに関する棚卸しを行いました。本事業の専門家と相談して、個々のクラウドサービスごとに想定されるリスクを評価するとともに、必要なセキュリティ対策の検討を行い、多要素認証の機能があるクラウドサービスについては設定を追加しました。

矢印
STEP3 STEP3

UTMのアップデート状況やサポート範囲に関してベンダーに確認

UTMの活用状況が把握できていないため、UTMを提供しているベンダーのサポート範囲の確認を進めました。その結果、ファームウェアの更新はベンダー側のサポート範囲となっている契約であることが確認できました。

矢印
STEP4 STEP4

IPAの「情報セキュリティ10大脅威2023」を活用した対策の策定

セキュリティ対策の具体的な対応を定めた手順書を作成するため、IPAが公開している「情報セキュリティ10大脅威2023」をわかりやすい「フレームワーク」として活用し、セミナー・ワークショップで学んだISMSの管理策と組み合わせて対策内容を検討することにしました。

セキュリティ対策については、ベンダーのサポートを受けながら自社で対応可能な範囲で対策しているため、「自社のセキュリティ対策状況の過不足を明確にしたい」ということが本事業への参加目的の一つでした。本事業の専門家派遣におけるヒアリングを通して、さまざまな課題が洗い出されました。そこで、本事業の専門家のアドバイスにより、まず、社内の重要な情報資産の整理を行い、重要な情報を取り扱うクラウドサービスの棚卸しを進めるとともに、多要素認証機能を利用するように設定しました。また、ネットワークセキュリティ関連では、導入しているUTMのアップデート状況やセキュリティに関わる責任範囲が不明確であったため、ベンダーに問合せを行うことにより、ファームウェアの更新がベンダー側のサポート範囲となっていることを確認しました。セキュリティ規程は作成していましたが、具体的な対応を定めた手順書までは作成していませんでした。本事業の専門家からいくつかのフレームワークを紹介されましたが、専門知識がなくやや難しく感じられたため、独立行政法人情報処理推進機構(IPA)が公開している 「情報セキュリティ10大脅威2023」をよりわかりやすい「フレームワーク」として参考にすることでセキュリティ対策の検討を進めていくことにしました。

04

結果と今後

明確化された対策の実行と社内教育の強化を実現

本事業の専門家派遣により、自社に必要なセキュリティ課題を明確化することができ、自社で対応できるセキュリティ対策を中心に、優先順位をつけながら進める方針を確立できました。また、本事業のセミナーやワークショップへの参加を通じて、セキュリティに関する知識が向上したことにより、今後はセキュリティ規程の共有や浸透を図り、社内教育を強化していく方針を固めました。

経営層

経営層としての声

会社経営においてサイバーセキュリティは切り離せない経営課題であると日頃から感じていましたが、本事業へ参加することで、対策の重要性をより強く感じるようになりました。今後はプライオリティを検討し投資先を判断することに加え、社員教育にも力を入れていきます。

参加者としての声

セキュリティ知識が不足している中で本事業へ参加しましたが、セミナーで難しいと感じた内容であっても、ワークショップのグループセッションにおいて、他の参加者の実体験に基づいた話を聞くことができ、少しずつ理解できるようになりました。非常に勉強になりました。

事例集TOP