東京都産業労働局 令和5年度中⼩企業サイバー
セキュリティ対策継続支援事業

文字サイズ
中小企業向けサイバーセキュリティ対策の極意 令和6年度中小企業サイバーセキュリティ社内体制整備事業

印刷業 C社

担当者の知識習得と導入製品の見直しにより、
ベンダー任せのセキュリティ管理から脱却

取り組んだ支援テーマ

  • ネットワーク
    セキュリティ
  • エンドポイント
    セキュリティ
  • モバイルデバイス
  • データ保護
  • セキュリティ意識と
    教育
  • 外部パートナー
    との関係

企業プロフィール

業種 製造業
従業員数 ~20名
セキュリティ体制 複数/兼務/経営者
事業内容 デザイン制作、印刷、製本・加工までのサービスをワンストップで展開している印刷企業です。本社と事業所の計2拠点で業務展開しています。企業や教育関連、官公庁から多様な印刷物を手掛けています。
01

背景と状況

知識不足によりセキュリティ管理がベンダー任せ

矢印
02

課題

セキュリティ対策に必要な製品を判断できる知見獲得

矢印
03

取組内容

自社に合ったセキュリティ機器の導入を検討

矢印
04

結果と今後

担当者はセキュリティ知識を獲得、教育にも注力予定

Before After 取組を通じたビフォーアフター

beforeグラフ 矢印 afterグラフ

01

背景と状況

担当者がセキュリティ対策の知見を獲得し、ベンダー任せの管理状況から脱却

プライバシーマークは取得済み セキュリティ管理がベンダー任せに 担当者のセキュリティ知識不足

個人情報を取り扱う業務のため、プライバシーマーク(Pマーク)を取得しています。セキュリティ担当が代表から事務部門の役員に変更となり、セキュリティ知識不足からセキュリティ管理はベンダー任せとなっていました。自社でセキュリティ対策の要否判断ができる知見を獲得したいと考え、本事業に参加しました。

02

セキュリティ課題

セキュリティ対策に必要な知見の獲得

当初の課題
セキュリティ機器の導入を検討したい
自社に必要なセキュリティ対策を明確にしたい
セキュリティの知識がある従業員を増やしたい
矢印
専門家派遣支援で明らかになった課題
ログ取得・監視など管理体制が整っていない
事業所のPCのアップデート状況の把握が必要
情報漏洩以外のインシデント対応が未策定

03

取組内容

情報収集を行い、自社に合った製品の見直しを検討

STEP1 STEP1

本事業の専門家のヒアリングで課題を洗い出し、優先的に着手する課題を決定

当初はセキュリティ知識が不足していたため、対策すべき課題や方法が不明確でした。本事業の専門家派遣のヒアリングにより、課題を網羅的に洗い出すとともに、優先順位をつけることができました。その結果、自社にとって重要度の高い「セキュリティ製品の見直し」から着手することにしました。

STEP2 STEP2

ベンダーから情報収集してセキュリティ機器を検討、専門家と相談して選定

自社の環境に合った製品やサービスを選定するため、ベンダーから資料を取り寄せたり、展示会に参加することにより、情報収集を行いました。さまざまなセキュリティ関連の製品を検討した上で、最終的に本事業の専門家からアドバイスを受け、「SOCサービスが付帯したEDR製品」を選定しました。

矢印
STEP3 STEP3

IPAのセキュリティ診断を活用し現状を把握

自社のセキュリティ状況を確認するため、IPAが提供している「5分でできる!情報セキュリティ自社診断」を全従業員に実施しました。また、セキュリティ教育にIPAの公開している「情報セキュリティ10大脅威」の内容も盛り込んだほか、標的型メール訓練も行うことにしました。

矢印
STEP4 STEP4

セキュリティ知識の習得により、ベンダーとの円滑なコミュニケーションが可能に

本事業のセミナーやワークショップを通じてセキュリティ知識を習得したことにより、ベンダーとのコミュニケーションが円滑に行えるようになりました。ベンダーに対して、自社の環境や要望を具体的に説明することにより、自社に合った効果的なセキュリティ対策の強化が可能となりました。

本事業の専門家によるヒアリングを通じて自社の状況を客観的に評価するとともに、セキュリティ対策の課題の洗い出しを実施しました。優先順位づけを行い、まず重要度の高かった「セキュリティ製品の見直し」という課題に取り組み、ベンダーから機器に関する資料を取り寄せることにより、自社に合ったセキュリティ製品やサービスを選定するための情報収集を行いました。さまざまな製品を検討した上で、本事業の専門家からアドバイスを受け、インシデント時の調査ができる「SOC(Security Operation Center)サービスが付帯したEDR(Endpoint Detection and Response)製品」を選定し、導入を決定しました。また、セキュリティ対策の強化のため、NAS(Network Attached Storage)のログ保管期間を確認することに加え、定期的に出力するように設定しました。さらに、独立行政法人情報処理推進機構(IPA)が提供している「5分でできる!情報セキュリティ自社診断」を全従業員に実施して現状を把握しました。本事業のセミナーやワークショップ通じてセキュリティ知識を習得したことにより、ベンダーと円滑なコミュニケーションを図ることができるようになりました。

04

結果と今後

担当者が習得したセキュリティ知識を社内教育に活用

担当者が習得したセキュリティ知識について、他の従業員に共有できる場を整備したいと考えています。今まではセキュリティに関する社内研修を不定期に行っていましたが、今後は定期的な情報発信および研修を行う予定です。また、「情報漏洩以外のインシデント対応」については、ウイルス対策や外部からの攻撃などの対応を整理して、文書化する取組を継続していきます。

経営層

経営層としての声

取引先からはさまざまなセキュリティ対策を強く求められています。セキュリティ対策は会社を存続させていくための重要な要素と考えており、今後も継続して取り組んでいきます。本事業への参加により、セキュリティ対策の強化を図ることができ、大変感謝しています。

参加者としての声

セキュリティ知識の不足を感じながら本事業に参加しましたが、セミナーの解説が丁寧でわかりやすかったため、少しずつ知識を習得できました。ワークショップでは他の企業の担当者と意見を交換することにより、自身のスキルアップを図ることができました。

事例集TOP