東京都産業労働局 令和5年度中⼩企業サイバー
セキュリティ対策継続支援事業

文字サイズ

総合建築業 B社

業務委託先とのセキュリティに関する契約の
見直しとセキュリティ規程の再整備

取り組んだ支援テーマ

  • ネットワーク
    セキュリティ
  • エンドポイント
    セキュリティ
  • モバイルデバイス
  • データ保護
  • セキュリティ意識と
    教育
  • 外部パートナー
    との関係

企業プロフィール

業種 建築業
従業員数 ~5名
セキュリティ体制 1名体制/兼務
事業内容 主に自社で開拓した顧客を対象に、地域密着型で建物のリフォームや外壁塗装サービスを提供している企業です。トイレや風呂など水まわりの内装工事や、バリアフリーのための工事なども請け負っています。
01

背景と状況

セキュリティ課題に対し優先度づけができていない

矢印
02

課題

セキュリティ対策内容に不安がある

矢印
03

取組内容

セキュリティ対策を強化しセキュリティ対策を再整備

矢印
04

結果と今後

セキュリティ対策強化を継続。今後は情報資産を整理

Before After 取組を通じたビフォーアフター

beforeグラフ 矢印 afterグラフ

01

背景と状況

セキュリティ課題は多数あるが、課題対応の優先順位が判断できない

担当者は1名で他業務と兼務 必要なセキュリティ対策を知りたい 個人情報の管理方法に不安がある

セキュリティ担当者は1名で、多くのセキュリティ課題があることは認識していますが、課題対応の優先順位が判断できずにいました。また、個人情報を取り扱う機会が多いため、その管理方法についても不安があります。現在のセキュリティ対策を見直して、改善点を洗い出したいと考え、本事業に参加しました。

02

セキュリティ課題

セキュリティ対策に不安がある

当初の課題
社内のセキュリティ対策の状況把握
セキュリティ規程類の作成が必要
UTM導入後の運用方法が不明確
矢印
専門家派遣支援で明らかになった課題
業務委託先との守秘義務契約が必要
インシデント対応フローの作成
情報資産管理台帳の作成・整理

03

取組内容

課題対応の優先順位を決め、セキュリティ対策を推進

STEP1 STEP1

本事業の専門家のヒアリングで課題を洗い出して優先順位づけを実施

まずセキュリティ対策の現状を把握するため、本事業の専門家からヒアリングを受けることにより、セキュリティ課題を網羅的に洗い出して優先順位づけを行いました。本事業の専門家から優先課題を選定する観点を学んだことにより、円滑に進めることができました。

STE2 STE2

業務委託先との守秘義務契約の締結方法を検討

最も優先度が高い課題として挙がった「業務委託先との守秘義務契約の締結方法の検討」から着手しました。すでに業務を委託している業務委託先とただちに契約を締結することは難しいため、契約更新や新規依頼の際に、守秘義務に関する項目を追加した新しい契約書について説明を行うことにしました。

矢印
STEP3 STEP3

本事業の専門家から提供を受けた資料を参考にセキュリティ規程を作成

次に、「セキュリティ規程の作成」に取り組みました。以前作成したセキュリティ注意事項は、簡易的な内容だったため、IPAの「情報セキュリティハンドブック」を参考に、現場に周知したい内容を中心に整理してセキュリティ規程の作成を進めました。

矢印
STEP4 STEP4

UTMのセキュリティ設定やPCのパスワードを見直してセキュリティ対策を強化

UTM導入後の管理運用ができていなかったため、本事業の専門家からアドバイスを受け、UTMのファームウェアのバージョンとログ取得設定の確認を行いました。また、本事業のセミナーで学んだパスワードの管理方法を参考に、業務で使用するPCに複雑なパスワードを個別に設定しました。

本事業の専門家派遣では、現在のセキュリティ対策の状況について客観的な評価を受けるとともに、課題を洗い出しました。その結果、17件の課題がリストアップされたため、「すぐに対応できる」「費用が発生しない」「重要度が高い」という3つの観点から優先順位づけを行い課題に取り組みました。まず、業務委託先との守秘義務契約の締結方法の検討に着手しました。業務委託先とただちに契約を締結することは難しいため、契約更新や新規依頼の際に、あらためて契約書を作成することにしました。また、業務終了後に業務資料を返却することや顧客の個人情報などが記載されたデータを処分するなど、業務委託先との間の具体的なルールの策定を進めました。次に、セキュリティ規程の作成にも着手しました。本事業の専門家から提供を受けた独立行政法人情報処理推進機構(IPA)の「情報セキュリティハンドブック」を参考にして、現場に周知すべき内容を中心に整理することにより、セキュリティ規程を作成しました。また、以前から課題であったUTM(Unified Threat Management)のセキュリティ設定については、本事業の専門家からアドバイスを受けながら、ファームウェアのバージョンやログの取得期間などの確認を行いました。

04

結果と今後

情報資産を整理することによって、業務効率化まで実現

本事業の参加により、セキュリティ対策の優先順位が明確化され、自社にとって必要な課題に取り組むことができました。今後は、建屋の図面や間取りが記された資料など、業務上重要な情報資産の整理を進めていきます。セキュリティ対策の強化はもちろんですが、情報資産管理台帳を作成することにより各種資料や重要データの所在が整理され、業務効率化も実現できると考えています。

経営層

経営層の声

本事業の専門家によるヒアリングやセミナー・ワークショップで学んだ内容を、担当者から社内に共有することにより、全社的にセキュリティ意識を向上することができました。さらなるセキュリティ対策の強化のため、来年度に向けて予算を確保していく予定です。

参加者

参加者の声

本事業への参加を通して、自社のセキュリティ対策の方針が見えてきたことが最大の成果だと感じています。セミナーでセキュリティ対策を体系的に学ぶことにより、自社にとって本当に必要なセキュリティ対策を明確化することができました。今後も取組を継続していきます。