東京都産業労働局 令和5年度中⼩企業サイバー
セキュリティ対策継続支援事業

文字サイズ
中小企業向けサイバーセキュリティ対策の極意 令和6年度中小企業サイバーセキュリティ社内体制整備事業

金属製品製造業 G社

業務に即したガイドラインの運用を開始
従業員のセキュリティへの取組意識を醸成

取り組んだ支援テーマ

  • ネットワーク
    セキュリティ
  • エンドポイント
    セキュリティ
  • モバイルデバイス
  • データ保護
  • セキュリティ意識と
    教育
  • 外部パートナー
    との関係

企業プロフィール

業種 製造業
従業員数 ~100名
セキュリティ体制 複数/兼務
事業内容 携帯電話会社の通信基地局に設置する各種建設部材の設計・製造・施工を行っている企業です。設置場所の現地調査から製品試験までワンストップで行っています。また、防災・減災製品の開発・製造も手掛けています。
01

背景と状況

基本的なセキュリティ対策は実施済み

矢印
02

課題

従業員のセキュリティ意識が把握できず不安あり

矢印
03

取組内容

自社の業務に合わせたガイドラインの作成・運用

矢印
04

結果と今後

セキュリティに対する主体的な取組意識が向上

Before After 取組を通じたビフォーアフター

beforeグラフ 矢印 afterグラフ

01

背景と状況

従業員のセキュリティ意識向上の必要性を強く感じている

基本的なセキュリティ対策は実施済み PCのパスワードが未設定 従業員のセキュリティ意識に不安あり

セキュリティ規程を作成し、基本的なセキュリティ対策は実施しています。一方で、PCの認証パスワードが設定されていないなどの不安も抱えています。また、従業員のセキュリティリテラシーの向上を目的として、標的型攻撃メール訓練を年2回実施するとともに、外部の講師による研修を不定期に行っています。

02

セキュリティ課題

セキュリティ対策に関わるガイドラインの作成が必要

当初の課題
自社のセキュリティ対策を客観的に評価できていない
従業員のセキュリティ意識に不安がある
PCのパスワードが設定されていない
矢印
専門家派遣支援で明らかになった課題
セキュリティのルールや手順が明文化されていない
インシデントの対応フローが明確化されていない
UTMのログ管理ができていない

03

取組内容

フレームワークを活用しガイドラインを作成

STEP1 STEP1

セキュリティ対策状況の確認および課題の洗い出し

本事業の専門家派遣において、現状のセキュリティ対策を確認し、課題の洗い出しを実施しました。その結果、「UTMのネットワークログ管理の見直し」や「従業員向けのガイドラインの作成」など、従来は意識していなかった新たな課題が明確になりました。

STEP2 STEP2

PCの認証パスワードを設定・自社ウェブサイトのセキュリティ設定を確認

早急に取り組める課題として、PCの認証パスワードを設定しました。そのほか、自社ウェブサイトにおけるセキュリティ対策状況を制作会社に確認しました。また、ネットワーク構成図の作成、UTMのログの長期保管のための情報セキュリティ対策製品およびEDRの導入検討などを行いました。

矢印
STEP3 STEP3

セキュリティ対策に関するガイドラインを社内に展開

従業員向けの具体的なガイドラインとしてIPAの提供する「情報セキュリティハンドブック」を自社の業務に合わせて修正し、社内に展開しました。今後、IPAの提供する「5分でできる!情報セキュリティ自社診断」を活用し、従業員のセキュリティ意識の状況を確認していく予定です。

矢印
STEP4 STEP4

インシデント管理体制の構築を検討

インシデント発生時における対応フローが不明確であったため、現場での運用に留意して極力わかりやすく文書化することに加え、インシデントの報告書の様式も整備することでインシデント内容や対応履歴を残すことを決定し、従業員に周知しました。

本事業の専門家派遣において、現状のセキュリティ対策の評価と課題の洗い出しを行いました。その結果、「UTM(Unified Threat Management)のログ管理運用方法の確立」、「従業員向けガイドラインの作成」といった新たな課題が明らかになりました。以前から課題だと感じていたデスクトップPCの認証パスワードは、すぐに設定しました。また、ウェブサイトの開発を委託している制作会社に問合せ、適切なセキュリティ設定がされていることを確認しました。さらに、UTMのログを長期保管する方法の検討、ネットワーク構成図の作成、EDR(Endpoint Detection and Response)の導入検討などを行いました。セキュリティ規程に基づく従業員向けの具体的なガイドラインが未整備だったため、独立行政法人情報処理推進機構(IPA)の提供する「情報セキュリティハンドブック」を自社の業務に合わせて修正し、社内に展開しました。不明確であったインシデントの対応フローについては、発生時の報告内容も含めて整備し、従業員に周知しています。今後、IPAの提供する「5分でできる!情報セキュリティ自社診断」を活用し、従業員のセキュリティリテラシーおよびセキュリティ意識の状況を確認していく予定です。

04

結果と今後

従業員のセキュリティへの主体的な取組意識を醸成

本事業におけるさまざまな取組により、従業員のセキュリティリテラシーが向上し、セキュリティ対策へ主体的に取り組む意識が醸成されると考えています。また、今後3ヶ年の中長期計画も作成しており、令和6年度のEDRの導入や定期的な教育実施などのイベントとともに、導入している機器類のリースやサポート終了などの時期も盛り込んで、継続的なセキュリティ対策を行っていきます。

経営層

経営層の声

情報セキュリティ対策への理解を深める良い機会となりました。セキュリティ対策に関するガイドラインの運用開始により、従業員のセキュリティ意識が向上し、社内体制の強化も図ることができました。今後も継続してセキュリティ対策を推進していきたいと考えています。

参加者

参加者の声

自社の業務に合わせて優先順位をつけて取り組む必要性など、中小企業のセキュリティ対策に欠かせない内容を習得することができました。また、ワークショップで他社の担当者との交流を通じ、さまざまなセキュリティ対策の情報を得たことも大きな収穫となりました。

事例集TOP