東京都産業労働局 令和5年度中⼩企業サイバー
セキュリティ対策継続支援事業

文字サイズ
中小企業向けサイバーセキュリティ対策の極意 令和6年度中小企業サイバーセキュリティ社内体制整備事業

展示ディスプレイ業 E社

現場での運用を視野に規程類の改訂を推進
セキュリティ対策のPDCAの確実な循環へ

取り組んだ支援テーマ

  • ネットワーク
    セキュリティ
  • エンドポイント
    セキュリティ
  • モバイルデバイス
  • データ保護
  • セキュリティ意識と
    教育
  • 外部パートナー
    との関係

企業プロフィール

業種 製造業
従業員数 ~50名
セキュリティ体制 複数/兼務
事業内容 文化施設の展示ディスプレイおよび展示されている造形物の製作をメインに行っています。
01

背景と状況

リソース不足で進まないセキュリティ対策

矢印
02

課題

セキュリティ対策のPDCAサイクルが回っていない

矢印
03

取組内容

規程類の整備と各種セキュリティ対策の実施

矢印
04

結果と今後

全社的なセキュリティ対策のPDCAの循環を目指す

Before After 取組を通じたビフォーアフター

beforeグラフ 矢印 afterグラフ

01

背景と状況

取組意欲はあるもののリソース不足で思うように進まないセキュリティ対策

SECURITY ACTION(二つ星)を宣言 セキュリティ規程の作成がストップしている セキュリティ担当は2部署に1名ずつ配置

令和4年にSECURITY ACTION(二つ星)を宣言しましたが、以後の取組はやや断続的で、セキュリティ規程の作成も途中で止まっています。セキュリティ担当は技術部門、工場部門に1名ずつ配置していますが、リソースは足りていません。また、セキュリティに関する従業員の知識には個人差があります。

02

セキュリティ課題

セキュリティ対策のPDCAサイクルが回っていない

当初の課題
セキュリティ規程が作成途中のため運用できていない
従業員のセキュリティに関する知識に個人差がある
セキュリティ対策が十分か客観的な判断ができない
矢印
専門家派遣支援で明らかになった課題
業務データの運用・廃棄ルールが定まっていない
情報資産管理台帳の整備が行われていない
共有フォルダのアクセス制限が設定されていない

03

取組内容

規程類の整備と各種セキュリティ対策の実施に注力

STEP1 STEP1

課題の洗い出しと改善策の検討

本事業の専門家派遣において、課題の洗い出しを実施しました。セキュリティ規程および情報資産管理台帳の整備に加え、重要データの保護への対策を中心に、セキュリティ対策に必要な改善策を検討しました。

STEP2 STEP2

セキュリティ規程と情報資産管理台帳の整備に着手

IPAの提供する「情報セキュリティ関連規程」をひな型として、作成途中で止まっていたセキュリティ規程を見直し、確認すべき部分をリスト化した後、本事業の専門家から指摘を受けながら改訂を実施しました。
情報資産管理台帳は、IPAの提供する「リスク分析シート」を活用して記入を進めました。

矢印
STEP3 STEP3

重要データ保護として強化するべきセキュリティ対策を検討

重要データ保護として、共有フォルダのアクセス制限の設定、業務データの廃棄ルールを策定したほか、
クラウド型グループウェアによる共有ツールの一本化などを検討しました。また、本事業の専門家からネットワーク構成図のテンプレートの提供を受け、新たにネットワーク構成図を作成しています。

矢印
STEP4 STEP4

「情報セキュリティハンドブック」を活用して従業員のセキュリティ意識の向上を促進

従業員教育に関しては、本事業の専門家派遣において紹介されたIPAの提供する「情報セキュリティハンドブック」を活用し、自社の環境や業務運用に即して見直しを行うことで教育資料を作成し、セキュリティ意識の向上を促しています。

本事業の専門家派遣において、セキュリティ対策状況の確認および課題の洗い出しを実施しました。その際に、セキュリティ規程および情報資産管理台帳の整備が不十分であることや、従業員のセキュリティ対策に関する知識に個人差があることなど、取り組むべき課題が明らかになりました。早速、セキュリティ規程および情報資産管理台帳の見直し、社内データの保護、従業員のセキュリティ教育の着手を実施しました。セキュリティ規程に関しては、独立行政法人情報処理推進機構(IPA)のひな型をもとに整備を進め、客観的評価および改訂を実施しました。情報資産管理台帳に関しては、ほぼ着手していなかったため、IPAの提供する「リスク分析シート」を活用して作成を進めました。
データ保護に関しては、共有フォルダのアクセス制限設定、業務データの廃棄ルールの明確化、クラウドサービス導入による共有ツールの一本化や多要素認証の導入などを進めました。また、本事業の専門家による事務所内のハードウェア設置環境などの目視チェックを受け、セキュリティ機器の配置および配線が安全であることを確認しました。従業員のセキュリティ教育に関しては、IPAの提供する「情報セキュリティハンドブック」を活用して教育資料を作成し、各自が勉強に取り組み始めています。

04

結果と今後

セキュリティ対策のPDCAサイクルの循環を目指す

セキュリティ規程と情報資産管理台帳の整備・改訂が終わり、従業員とともにセキュリティ対策のPDCAサイクルを回していく目途が立ちました。本事業に参加したセキュリティ担当者は知識が身につき、これまで抱いていた不安が払拭されました。今後は、クラウド型グループウェアの導入による共有ツールの一本化を推進しつつ、並行してリモートワークの管理体制を構築していく予定です。

経営層

経営層の声

本事業のセミナーやワークショップ、専門家派遣による指導を通じて、自社の社員だけでは学ぶことができない専門的な知見を得ることができました。セキュリティ担当者も我々経営陣も、今後の自社でのセキュリティ対策に自信を持って取り組むことができると考えています。

参加者

参加者の声

本事業の専門家派遣はもちろん、セミナーやワークショップでも有意義な時間を過ごすことができました。特に最新のセキュリティ対策に関する情報の入手先を知ることができたことは大きな収穫でした。本事業への参加を通じて刺激を受け、モチベーションが向上しました。

事例集TOP