東京都産業労働局 令和5年度中⼩企業サイバー
セキュリティ対策継続支援事業

文字サイズ
中小企業向けサイバーセキュリティ対策の極意 令和6年度中小企業サイバーセキュリティ社内体制整備事業

計測機械器具製造業 F社

セキュリティ対策の体系的な知識を習得
最新の状況に合わせた効果的な対策を実行

取り組んだ支援テーマ

  • ネットワーク
    セキュリティ
  • エンドポイント
    セキュリティ
  • モバイルデバイス
  • データ保護
  • セキュリティ意識と
    教育
  • 外部パートナー
    との関係

企業プロフィール

業種 製造業
従業員数 ~100名
セキュリティ体制 1名体制/兼務
事業内容 自動車、半導体、医療、食品など幅広い業種で使用される工業用温度計の開発設計、販売を行っている企業です。長年培ってきた高度な技術力を活かし、取引先の多様なニーズに対応した製品の製造も請け負っています。
01

背景と状況

自社のセキュリティ対策を客観的に評価することが困難

矢印
02

課題

取り組むべき対策が明確化できていない

矢印
03

取組内容

セキュリティ知識を習得し管理体制の強化

矢印
04

結果と今後

最新のセキュリティ状況に柔軟に対応した対策を実行

Before After 取組を通じたビフォーアフター

beforeグラフ 矢印 afterグラフ

01

背景と状況

担当者の独学により進めてきたセキュリティ対策に不安あり

セキュリティ担当者は1名の管理体制 基本的なセキュリティ対策は実施済み 注意事項は部署ごとに紙で掲示

セキュリティ担当は1名で他業務と兼務しています。基本的なセキュリティ対策は講じていますが、客観的な評価ができないため、不安を感じています。従業員の教育面では、セキュリティ対策に関する注意事項を掲示板に貼り出し共有に努めています。テレワークが定着し、クラウドサービスの利用も活発化しています。

02

セキュリティ課題

セキュリティ対策の体系的な知識習得が必要

当初の課題
セキュリティ対策に関する客観的な評価ができない
従業員のセキュリティリテラシーに不安がある
セキュリティ規程の改訂が行われていない
矢印
専門家派遣支援で明らかになった課題
情報資産管理台帳を作成していない
パスワードの使い回しが常態化している
ファームウェアのアップデートができていない

03

取組内容

すぐに対応できる課題から着手し長期的な方針を策定

STEP1 STEP1

独学により進めてきたセキュリティ対策の状況確認と課題の洗い出し

これまで独学により進めてきたセキュリティ対策については、本事業のセミナーやワークショップを通じて、体系的な基礎知識を習得しました。また、本事業の専門家派遣により、現状のセキュリティ対策の把握と対応すべき課題の洗い出しを行いました。

STEP2 STEP2

すぐに対応できる課題から着手しセキュリティリスクを低減

すぐに取り組むことができる課題として、ネットワーク機器のファームウェアのアップデートに加え、サポート期限が迫っている自己所有端末のOSの確認とバージョンアップを実施しました。また、業務用のモバイルデバイスを管理するMDMを導入しました。

矢印
STEP3 STEP3

セキュリティ規程の見直しや情報資産管理台帳の作成を開始

独立行政法人情報処理推進機構(IPA)のひな型を参照してセキュリティ規程を見直し、不足事項の有無を確認しました。また、テレワーク関連の就業規則およびインシデントへの対応方法を盛り込みました。本事業のワークショップで学んだ知識を活かし、情報資産管理台帳の作成も開始しました。

矢印
STEP4 STEP4

今後取り組む課題を検討し方針を決定

常態化していたパスワードの使い回しを防止するため、一度のユーザー認証によって複数のシステムにログインできるシングルサインオンの導入を検討しました。また、セキュリティ担当の負担を減らすため、ネットワークログの確認や従業員教育を外部の専門家に業務委託することも検討しています。

本事業のセミナーにおいて、セキュリティ対策の基本を体系的に学びました。また、本事業の専門家派遣では、現状のセキュリティ対策の実施状況を改めて確認し、課題を整理しました。リスクが高くすぐに取り組むことができる課題として、本事業の専門家に指摘されたネットワーク機器のファームウェアのアップデートを実施しました。テレワークの際に従業員が使用している自己所有端末については、端末OSのサポート状況を確認し、サポート期限が迫っているOSのバージョンアップを行いました。また、業務用のモバイルデバイスを管理するためにMDM(Mobile Device Management)を導入しました。一方で、長期的に取り組む課題として、セキュリティ規程の見直しを開始し、テレワークの就業規則やインシデントへの対応方法の追加を検討しました。また、情報資産管理台帳の作成にも着手しました。各システムの認証におけるパスワードの使い回しの常態化に関しては、シングルサインオンの導入によるセキュリティ対策の強化とアカウント管理の負担軽減を検討しました。さらに、セキュリティ担当が1名の管理体制にリソース不足を感じているため、従業員教育やネットワークログの確認といった業務を外部に業務委託することも検討しています。

04

結果と今後

時代の流れに合わせたセキュリティ対策の強化に注力

これまで取り組んできた基本的なセキュリティ対策については、一定の評価が得られ不安が払拭されました。一方で、これまで気づいていなかった課題も明らかになり、早急に取り組むことでセキュリティに関わるリスクを低減することができました。今後は、長期的な各課題への取組と並行して情報収集を積極的に行い、最新の状況に合わせてセキュリティ対策を強化していきたいと考えています。

経営層

経営層の声

本事業に参加し、セキュリティ対策の重要性を改めて認識しました。専門家からの指摘により、セキュリティ担当者が1名では負担が大きいことがわかったため、外部に業務委託することにより、リソースの確保およびセキュリティ管理体制の強化を図りたいと考えています。

参加者

参加者の声

本事業のセミナーで、セキュリティ対策の基本を体系的に習得できました。ワークショップでは、他社の担当者が前向きにセキュリティ対策に取り組んでいる姿を見て、大いに刺激を受けました。また、専門家からのアドバイスにより、セキュリティ対策全般を強化できました。

事例集TOP