東京都産業労働局 令和5年度中⼩企業サイバー
セキュリティ対策継続支援事業

文字サイズ

環境対策コンサルティング業 I社

インシデント対応フローやセキュリティ規程など、
管理面でのセキュリティ対策を強化

取り組んだ支援テーマ

  • ネットワーク
    セキュリティ
  • エンドポイント
    セキュリティ
  • モバイルデバイス
  • データ保護
  • セキュリティ意識と
    教育
  • 外部パートナー
    との関係

企業プロフィール

業種 建設業
従業員数 ~100名
セキュリティ体制 複数/兼務
事業内容 公害防止などの環境対策に関わるエンジニアリングやコンサルティングサービスを提供する企業です。
培ってきた研究開発力を生かし、サステナブルな社会づくりや環境づくりに貢献しています。
01

背景と状況

セキュリティ対策を進めているが規程類は整備中

矢印
02

課題

管理面での対策が不足、規程類の整備も必要

矢印
03

取組内容

インシデント対応や規程類など管理面の対策を強化

矢印
04

結果と今後

取組を通じて今後対応していくべき方向性が明確化

Before After 取組を通じたビフォーアフター

beforeグラフ 矢印 afterグラフ

01

背景と状況

技術的なセキュリティ対策を進めているが、セキュリティ規程は整備中

セキュリティ対策は複数名で対応 技術面での対策は自社で推進 セキュリティ規程類は整備中

技術的なセキュリティ対策は、情報システム部門の複数名体制により、ベンダーのサポートを受けながら進めています。役員主導で全部門のマネージャーを集めて開催する情報セキュリティ委員会では、セキュリティ基本方針の策定を進めていますが、具体的なルールを盛り込んだセキュリティ規程の整備が必要でした。

02

セキュリティ課題

管理面での対策が不足、規程類の整備も必要

当初の課題
自社のセキュリティ対策の客観的な評価を得たい
運用ルールを盛り込んだセキュリティ規程の整備
情報セキュリティ委員会を効果的に運用したい
矢印
専門家派遣支援で明らかになった課題
インシデント発生時の対応フローの決定
利用しているクラウドサービスの棚卸し
自社のウェブサイトのセキュリティ対策状況の確認

03

取組内容

インシデント対応や規程類など管理面での対策を強化

STEP1 STEP1

インシデント発生時の詳細な対応フローの決定

インシデント発生時の対応フローの作成にあたり、本事業の専門家からIPAが提供する「中小企業のためのセキュリティインシデント対応の手引き」を紹介され、参考にしました。インシデント発生時に誰がどのように対応するか、対外的に何をいつ公表するかなどの具体的な対応フローの整備を進めました。

STEP2 STEP2

クラウドサービスの棚卸しと、取り扱う情報やアカウント管理状況を整理

基幹システムをはじめ、社内で利用しているウェブサービスの棚卸しを実施しました。利用しているアカウントの管理や取り扱う情報の把握を進めるとともに、パスワードの桁数増加による認証強化の対策も行いました。

矢印
STEP3 STEP3

自社で保有しているウェブサイトのセキュリティ設定状況を委託先に確認

自社で保有しているウェブサイトについて、開発・保守・運用を委託しているベンダーに、開発におけるセキュリティ対策の状況や脆弱性診断の実施有無を確認しました。その結果、いずれも問題なく実施されていることが確認できました。

矢印
STEP4 STEP4

社内のセキュリティ規程類の評価と修正

情報セキュリティ委員会を中心として、IPAが公開している「中小企業の情報セキュリティ対策ガイドライン」を参考に、現場向けの運用ルールを盛り込んだセキュリティ規程の整備を進めました。本事業の専門家からアドバイスを受け、自社の業務に合わせた内容に修正しながら推進する方針を固めました。

本事業の専門家によるヒアリングと課題の整理を行った結果、UTM(Unified Threat Management)などのセキュリティ機器やソフトウェアの導入は進んでいたため、本事業では管理面でのセキュリティ対策を中心に進めることにしました。まず、インシデント発生時の対応フロー作成から着手しました。特にランサムウェア感染が発生した際の具体的な対応や事態の公表判断について、担当者が具体的にイメージできていなかったため、本事業の専門家から参考資料の紹介を受け、対応フローの整備を進めることにしました。また、利用しているクラウドサービスの棚卸しを行い、使用しているアカウントや取り扱っている情報を把握するとともに、パスワードの桁数増加による認証強化も行いました。さらに自社で保有するウェブサイトの開発・保守・運用を委託しているベンダーに対し、セキュリティ設定状況を確認しました。
あわせて、現場向けの運用ルールを盛り込んだセキュリティ規程の整備も進めました。本事業の専門家からアドバイスを受け、独立行政法人情報処理推進機構(IPA)の提供する「中小企業の情報セキュリティ対策ガイドライン」を参考に、情報セキュリティ委員会で内容を協議しながら自社の業務に合わせて修正していくことにしました。

04

結果と今後

取組を通じて今後対応していくべき方向性が明確化

本事業での取組を通じて、セキュリティ対策における課題と対応するべき対策の方向性が明確になりました。現時点ではまだ取組を開始したところですが、セキュリティ規程類やインシデント対応フローの継続的な整備強化やアップデートを進めていきます。従業員教育についても、情報セキュリティ委員会において、標的型メール訓練の実施やセキュリティに関する動画配信などを計画しています。

経営層

経営層の声

当社では技術的なセキュリティ対策を推進していましたが、サイバー攻撃などのリスクへの対応が十分とは言い難い状況でした。本事業で得た知見をセキュリティ対策に反映させることにより、より万全なセキュリティ対策を講じていきたいと考えています。

参加者

参加者の声

本事業の専門家から受けたアドバイスや、セミナーで得た知識を活かし、セキュリティ対策の強化を進めることができました。ワークショップで他社の状況を聞くことができたことも、大きな成果の一つです。今後は学んだ内容を社内へ共有していきたいと考えています。