東京都産業労働局 令和5年度中⼩企業サイバー
セキュリティ対策継続支援事業

文字サイズ
中小企業向けサイバーセキュリティ対策の極意 令和6年度中小企業サイバーセキュリティ社内体制整備事業

機械工具製造業 K社

IT中心のセキュリティ対策から、
確かなセキュリティ規程に基づいたセキュリティ対策へ

取り組んだ支援テーマ

  • ネットワーク
    セキュリティ
  • エンドポイント
    セキュリティ
  • モバイルデバイス
  • データ保護
  • セキュリティ意識と
    教育
  • 外部パートナー
    との関係

企業プロフィール

業種 製造業
従業員数 ~300名
セキュリティ体制 1名体制/兼務
事業内容 工業製品などの組立時に必要な特殊工具の製造・販売を行う機械工具メーカーです。工場を含め、国内外に複数拠点を持ち、販売代理店を通じて商品を提供しています。自社製品は、自動車、船舶、記憶媒体装置など、幅広い業種で使用されており、ものづくりを支える「製造業のための製造業」として貢献している企業です。
01

背景と状況

これまではITによるセキュリティ対策が中心

矢印
02

課題

体系的なセキュリティ方針や各種規程類の整備

矢印
03

取組内容

専門的な知見に基づくセキュリティ規程やルールの整備

矢印
04

結果と今後

セキュリティ規程が完成し、計画に対し7割の取組を達成

Before After 取組を通じたビフォーアフター

beforeグラフ 矢印 afterグラフ

01

背景と状況

担当者1名の管理体制でITによるセキュリティ対策を中心に推進し、社内教育も開始

兼務の担当者1名での管理体制 セキュリティ対策の知識を独学で習得 従業員向けセキュリティ教育を開始

セキュリティ担当は情報システム部門の課長1名が他業務と兼務しています。担当者はベンダーのセミナーなどを通じ独学でセキュリティ対策の知識を習得しつつ、経営層の理解を得ながらITによるセキュリティ対策を中心に推進しています。今年度から工場部門の役職者を対象に情報セキュリティ教育を実施しています。

02

セキュリティ課題

体系的な社内のセキュリティ方針や各種規程類の整備

当初の課題
体系的な知識がなくセキュリティ規程などが未整備
セキュリティ人材育成と教育体制の強化
矢印
専門家派遣支援で明らかになった課題
セキュリティ方針や社内ルールの体系化
社内のインシデント報告体制の確立・文書化
サプライチェーンのネットワーク機器の管理

03

取組内容

セキュリティ規程やさまざまなルールづくりを推進

STEP1 STEP1

専門家派遣によるセキュリティ対策に関する現状分析と課題整理、対応計画の策定

本事業の専門家派遣で同社のセキュリティ状況についてヒアリングを実施しました。セキュリティ方針や各種規程類の整備を最終目標として取組を進めることを確認し、ウィークポイントに対する対応計画を策定しました。

STEP2 STEP2

社内のインシデント報告体制の確立に向けたセキュリティ機器などの作業記録を取得

セキュリティ機器などの設定変更に関する作業記録を取得していなかったため、スプレッドシートによる管理を実施しました。また、インシデント発生時に別担当者が対応できるよう社内のインシデント報告体制を構築し、連絡網や体制図の作成ルールに関する明文化を進めました。

矢印
STEP3 STEP3

海外拠点で利用するセキュリティゲートウェイのアップデート状況の確認

海外拠点から自社のLANに接続する場合があるため、セキュリティゲートウェイに関するメーカーウェブサイトのリリース情報を毎週確認することとし、セキュリティパッチがリリースされている場合には確認後1週間以内に適用完了するルールとしました。

矢印
STEP4 STEP4

取組目標だったセキュリティ規程の完成と人材育成に関わる取組の推進

独立行政法人情報処理推進機構(IPA)が公開しているサンプル規程をひな型としてセキュリティ規程を作成し、本事業の専門家によるアドバイスを受けながら完成させました。また、セキュリティ規程の整備に伴い、社内のセキュリティ人材育成に向けての知識も習得しました。

社内のセキュリティ意識を向上させ、インシデント発生時の対応ルールを浸透させていくことが重要であると捉え、製品の設計データや特許に関する情報などの漏えいを防ぐため、今年度から工場部門の役職者を対象に情報セキュリティ教育を継続的に実施しています。あわせて、体系的な知識に基づいたセキュリティ規程やルールの整備を最終目標として取組を推進しました。セキュリティ規程は、本事業の専門家派遣でのアドバイスにより、セキュリティに関わる人員や役割、クラウドサービス利用時の規程を含む、数十ページに上る文書を作成しました。また、セキュリティ機器などの設定変更に関する作業記録を取得していなかったため、変更履歴をすべて確認できるよう、作業記録に関する情報はスプレッドシートを活用して一元化する管理方法を確立しました。これにより、インシデント発生時の対応ルールが明確になりました。
また、セキュリティ管理体制の強化に向け、担当者自身が人材育成できるよう教育実施なども盛り込んだセキュリティ規程の整備も行いました。このほか、海外拠点で利用するセキュリティゲートウェイのアップデート管理に関するルール化を推進しました。全従業員へのスマートフォン貸与を進めた際には、運用に関するルール作成にも知見を活かしています。

04

結果と今後

本事業で設定した対応計画の7割程度を達成

本事業で設定した対応計画に基づき、担当者を中心にセキュリティ対策を進めた結果、対応計画の7割程度を事業期間内に達成できました。個々の課題を着実に進めたことにより、最終目標としていたセキュリティ規程の整備も完了させることができました。残りの3割については今回の取組を活かしながら、ファイル共有に関する可視化ツールの導入を検討するなど、来期以降も継続していく方針です。

経営層

経営層の声

体系的なカリキュラムと実践を伴うワークショップまで無償で受講でき、非常に有益でした。今回を機に社内教育への取組を開始し、全社への情報展開や波及効果に期待しています。全従業員へのスマートフォン貸与を進めており、セキュリティ意識の向上が必要だと感じています。

参加者

参加者の声

これまでは独自にセキュリティ対策を進めてきましたが、専門家の的確なアドバイスに加え、ワークショップでは他社の担当者と同じ悩みを共有できたことで解決策が見えてきました。本事業への参加によりセキュリティ対策を大きく前進させることができたと思います。

事例集TOP