東京都産業労働局 令和5年度中⼩企業サイバー
セキュリティ対策継続支援事業

文字サイズ

電子機器製造業 L社

取引先が求める厳格なセキュリティ新基準の
準拠に向けたセキュリティ対策を実行

取り組んだ支援テーマ

  • ネットワーク
    セキュリティ
  • エンドポイント
    セキュリティ
  • モバイルデバイス
  • データ保護
  • セキュリティ意識と
    教育
  • 外部パートナー
    との関係

企業プロフィール

業種 製造業
従業員数 ~300名
セキュリティ体制 複数/兼務
事業内容 各種電子機器や制御機器の設計・製造、開発受託を主軸として、自社製品の販売事業も展開している電子機器メーカーです。情報通信機器や医療機器などの分野において、IoT機器の小型基盤開発や比較的大きな装置の組立から検査を実施するなど、取引先からの多様なニーズに対応しています。
01

背景と状況

セキュリティ規程の整備や技術的対策は一通り実施済み

矢印
02

課題

取引先が求める厳格なセキュリティ新基準への対応

矢印
03

取組内容

セキュリティ新基準準拠のための現状把握と対応検討

矢印
04

結果と今後

本事業終了後もセキュリティ対策の取組と予算化を推進

Before After 取組を通じたビフォーアフター

beforeグラフ 矢印 afterグラフ

01

背景と状況

取引先が求めるセキュリティ新基準に対応する必要性が新たに浮上

セキュリティ規程の更新は随時実施 隔月でセキュリティ委員会を開催 セキュリティ新基準への対応が必要

10年以上前からセキュリティ規程の整備や更新を行うとともに、隔月でセキュリティ委員会を開催するなど、一通りのセキュリティ対策は講じています。令和7年度から厳格なセキュリティ基準への準拠が主要取引先に求められていることもあり、セキュリティに関する知見を得ることなどを目的に本事業に参加しました。

02

セキュリティ課題

取引先が求めるセキュリティ新基準準拠に向けた課題対応

当初の課題
社内のセキュリティ対策の現状把握および評価
セキュリティ新基準への準拠に向けた課題の可視化
矢印
専門家派遣支援で明らかになった課題
UTMの設定の見直し
バックアップからデータを復旧する方法の見直し
社給スマートフォンの利用ルールを制定

03

取組内容

セキュリティ新基準への準拠に向けたセキュリティ対策の整備

STEP1 STEP1

UTMの設定確認とログの活用

UTMによるさまざまなセキュリティ機能を十分に活用できていなかったため、まずはログを活用したセキュリティ状況の確認を実施することにしました。UTMから出力される週次レポートの内容を確認し、不明点についてはベンダーへの問合せや自社での調査を実施しました。

STEP2 STEP2

バックアップからデータを復旧する方法の検討

セキュリティ要件の一つとなっている「復旧」に対応するため、バックアップからのデータ復旧に要する時間を短縮することを目的に、ファイルサーバの入替を検討することにしました。

矢印
STEP3 STEP3

社給スマートフォンに関するセキュリティ規程の整備

社給スマートフォンに関しては、本社勤務の従業員にのみ支給されているため使用者は限られているものの、セキュリティ規程は未整備だったため、社内の利用ルールを明文化し、セキュリティ規程に盛り込むことにしました。

矢印
STEP4 STEP4

取引先が提示したセキュリティチェックリストに基づく課題の可視化と対応策検討

本事業の参加の主目的である、取引先が求めるセキュリティ新基準への準拠を進めるため、取引先から提示されたチェックリストに基づき現状整理を行い、セキュリティ課題の可視化を行いました。本事業の専門家と相談しながら不足しているセキュリティ対策を検討し、順次対策を講じることにしました。

同社は既にISMS認証要件を満たしているものの、令和7年度より取引先から高いレベルのセキュリティ基準を要求されています。そのため専門家派遣では、取引先が求める新基準への準拠に向けた課題を中心に対応しました。導入済みのUTM(Unified Threat Management)に関しては、ファイアウォール以外の機能が無効になっていたため、ログの管理設定を再確認するとともに、ベンダーによるアップデート管理に関するアドバイスを受けました。また、社給スマートフォンに関しては、使用者は少ないもののセキュリティ規程が未整備だったため、運用ルールなどの整備を進めました。この他、ファイルサーバの入替時にデータをコピーするために2週間かかったことから、令和5年度中にデータの復旧方法を再検討することにしました。また、取引先が求めるセキュリティ新基準への準拠に向けて、取引先から提示されたチェックリストに基づき現状を整理し、本事業の専門家による確認を踏まえてセキュリティ課題の可視化を行い、「ログの改ざんや消失の防止策、監視ツールの導入など管理方法の検討」、「ソフトウェアの構成管理用ツールの選定と管理手順の作成」、「インシデント対応手順書の整備と対応訓練の実施計画作成」など、必要な対応策を検討しました。

04

結果と今後

セキュリティ新基準への準拠に向けた取組を継続

取組を進めた結果、取引先が求めるセキュリティ新基準への準拠に向けた知見や気づきを得ることができました。また、本事業の専門家からアドバイスを受け、独立行政法人情報処理推進機構(IPA)が公開しているひな型を参考にすることにより、セキュリティ規程などを効率的に整備する方法などを習得できたほか、予算化が必要なセキュリティ対策についても継続して進めていく方針です。

経営層

経営層の声

本事業への参加を通じてセキュリティ担当が専門的な知識を習得し、セキュリティ対策の整備につながったことは有意義だったと感じています。取引先からの信頼維持および向上を目指し、セキュリティレベルを高めることができるセキュリティ管理体制の構築に期待しています。

参加者

参加者の声

本事業の専門家や他社の担当者との会話を通じて、自社のセキュリティ対策に関する取組が一定の水準に達していることを確認できました。今回得た知見から従業員が安心して事業活動できる環境の整備に取り組みます。本事業に参加することができて大変感謝しています。