東京都産業労働局 令和5年度中⼩企業サイバー
セキュリティ対策継続支援事業

文字サイズ
中小企業向けサイバーセキュリティ対策の極意 令和6年度中小企業サイバーセキュリティ社内体制整備事業

医療用機器製造業 H社

今後の会社の規模拡大と従業員の増加を想定して、
セキュリティ対策の優先順位を決定

取り組んだ支援テーマ

  • ネットワーク
    セキュリティ
  • エンドポイント
    セキュリティ
  • モバイルデバイス
  • データ保護
  • セキュリティ意識と
    教育
  • 外部パートナー
    との関係

企業プロフィール

業種 製造業
従業員数 ~100名
セキュリティ体制 複数/兼務
事業内容 医療診断や治療、生命科学研究にイノベーションを起こすことを目指している大学発のベンチャー企業です。再生医療や医療検査診断、創薬についての最先端の研究結果や技術を用いて、ライフサイエンスツールを開発・販売しています。
01

背景と状況

セキュリティ課題の優先順位づけができていない

矢印
02

課題

事業規模に合ったセキュリティルールが設定されていない

矢印
03

取組内容

セキュリティルールをアップデートし運用方法を確立

矢印
04

結果と今後

セキュリティルールの周知を図り社内教育に注力

Before After 取組を通じたビフォーアフター

beforeグラフ 矢印 afterグラフ

01

背景と状況

セキュリティ対策状況の客観的な評価、課題の優先順位づけができていない

兼務の4名によるセキュリティ体制 セキュリティ課題の優先順位が不明確 会社規模の拡大と従業員増加を予定

セキュリティ担当は他業務との兼務の4名です。セキュリティに関する課題があることは認識していましたが、優先順位づけの客観的な評価やアドバイスを必要としていました。今後、会社としての規模の拡大と従業員の増加を予定しており、必要なセキュリティ対策をあらかじめ検討しておきたいと考えていました。

02

セキュリティ課題

最新化したセキュリティルールに基づいた運用方法の確立

当初の課題
従業員の情報リテラシーに個人差がある
セキュリティルールの見直しと修正が必要
インシデント対応フローが未整備
矢印
専門家派遣支援で明らかになった課題
セキュリティ機器の設定の確認とアップデートが必要
アカウントの棚卸しおよび管理表作成ができていない
情報資産管理台帳の作成ができていない

03

取組内容

セキュリティルールをアップデートし、社内へ周知徹底

STEP1 STEP1

セキュリティ課題を洗い出してリスト化し、優先順位づけを実施

本事業の専門家によるヒアリングにより、セキュリティ対策の現状把握とセキュリティ課題の洗い出しを行いました。洗い出した課題について、「自社の事業に対する影響度とコストのバランス」、「今後の会社の規模拡大と従業員増加を想定したセキュリティ対策」を考慮して、優先順位づけを行いました。

STEP2 STEP2

セキュリティルールを昨今のセキュリティ情勢に合わせてアップデート

まず、最も優先度が高いセキュリティルールのアップデートに取り組みました。セキュリティルールについては、会社設立当初に作成し未更新だったため、昨今のセキュリティ情勢に対応する内容へ変更しました。従業員が増えていることから、社内へ周知徹底し、従業員のセキュリティ意識の向上を図りました。

矢印
STEP3 STEP3

マルウェア感染時やパソコンの紛失・盗難時のインシデント対応フローの策定

マルウェア感染時やパソコンの紛失・盗難時のインシデント対応フローの作成に取り組みました。本事業の専門家から提供を受けたIPAの「中小企業のためのセキュリティインシデント対応手引き」を参考にして、さまざまなインシデント発生時の具体的な対応を検討し、明文化しました。

矢印
STEP4 STEP4

セキュリティ機器の設定の確認とアップデートを実施

セキュリティ対策を技術的にも強化するため、ネットワーク機器の設定やウイルス対策ソフトウェアのスキャン設定などの確認とアップデートに取り組みました。その結果、ネットワークログの保管期間が導入当時から変更されていなかったため、保管期間を6か月間に延長しました。

本事業の専門家のヒアリングにより、自社のセキュリティ対策の現状を確認するとともに、セキュリティに関する課題を網羅的に洗い出しました。洗い出した課題の中から、「自社の事業に対する影響度とコストのバランス」を考慮することに加え、「今後会社の規模が拡大し、従業員が増加することを想定した際に必要となるセキュリティ対策」という観点からも、優先順位をつけていきました。まず、会社設立当初に作成し未更新だったセキュリティルールの見直しに着手しました。たとえば、使用ルールが不明確であったUSBの使用を原則禁止とし、総務部門が許可した場合のみ使用可能とするとともに、使用履歴を記録するルールに変更し、ルールに盛り込みました。更新した内容については、社内の全体ミーティングでアナウンスし、周知徹底を図っていきます。さらに、本事業の専門家から提供を受けた独立行政法人情報処理推進機構(IPA)の「中小企業のためのセキュリティインシデント対応手引き」を参考にして、インシデント対応フローの作成にも取り組みました。このほか、本事業の専門家からアドバイスを受け、ベンダーへセキュリティ機器のアップデート状況やログに関する設定内容を確認し、ログの保管期間の延長などを実施することにより、セキュリティ対策の強化を図りました。

04

結果と今後

社内教育を強化し、セキュリティ意識の向上を図る

当初からの課題であったセキュリティルールについては、最新化を図ることができました。更新した内容については、社内の全体ミーティングにて周知徹底していきます。また、各部門の担当者と協力して、情報資産管理台帳の作成も進めています。今後は社内教育の強化のため、セキュリティ対策の一般的な内容に社内ルールを盛り込んだ教育資材を作成し、理解度テストも実施していく予定です。

経営層

経営層の声

本事業の取組によりセキュリティ課題が洗い出されて、対応の優先順位と中長期的なセキュリティ対策計画が整理できました。こうした取組は取引先からの信頼感につながるものなので、必要に応じて予算化していくなど、継続的に対応していきたいと考えています。

参加者

参加者の声

本事業のセミナーやワークショップで自社に合ったセキュリティ対策を学ぶことができたほか、他企業のセキュリティ担当者と意見交換できたことは大変有意義でした。さらなるセキュリティ対策の強化に向けて、本事業で獲得した知見を最大限に活かしていきます。

事例集TOP