東京都産業労働局 令和5年度中⼩企業サイバー
セキュリティ対策継続支援事業

文字サイズ

オフィス用品製造業 M社

本事業の専門家からのアドバイスを活用し、
インシデント対応フローを具体化して作成

取り組んだ支援テーマ

  • ネットワーク
    セキュリティ
  • エンドポイント
    セキュリティ
  • モバイルデバイス
  • データ保護
  • セキュリティ意識と
    教育
  • 外部パートナー
    との関係

企業プロフィール

業種 製造業
従業員数 ~300名
セキュリティ体制 複数/兼務
事業内容 オフィス用品の製造販売および輸入販売を行っています。取引先の多様なニーズに対応するため、幅広い製品を取り扱っており、快適なオフィス環境に貢献するソリューションを提供しています。また、海外に拠点を置くグループ会社を通じて、国際市場への販路拡大も進めています。
01

背景と状況

セキュリティに関するルールの見直しと刷新

矢印
02

課題

インシデント報告後の対応が明確化されていない

矢印
03

取組内容

インシデント発生時の具体的な手順を検討

矢印
04

結果と今後

インシデント対応の明文化・フロー化を推進

Before After 取組を通じたビフォーアフター

beforeグラフ 矢印 afterグラフ

01

背景と状況

セキュリティに関するルールの刷新と社内教育制度の整備が必要

業務でPCを使用する機会が増加 セキュリティのルールの見直しが必要 社内のセキュリティ研修を不定期で開催

テレワークなどにより業務でPCを使用する機会が増加したため、情報セキュリティに関するルールの刷新および社内教育制度を整備する必要性を感じています。セキュリティ担当は2~4名が兼任で担当しています。社内教育では独立行政法人情報処理推進機構(IPA)の資料をもとに不定期で研修を実施しています。

02

セキュリティ課題

インシデント対応フロー作成とセキュリティ教育整備

当初の課題
セキュリティ規程は基本的な内容しか決定していない
インシデント報告後の対応フローが不明確
セキュリティ教育の定期的な実施計画の立案が必要
矢印
専門家派遣支援で明らかになった課題
ベンダーの製品調達時のセキュリティ要件が不明確
ウイルス対策ソフトウェアの定期スキャンが未実施
ネットワークログの取得ができていない

03

取組内容

インシデント発生時の具体的な手順とフローの整備

STEP1 STEP1

セキュリティ関連の課題を洗い出し、優先的に着手する課題を決定

本事業の専門家のヒアリングにより、セキュリティに関する7つの課題をリストアップしました。優先順位を検討し、課題の中でも緊急性が高く、本事業に参加する前から課題であったインシデント対応のフロー作成を最優先に着手することにしました。

STEP2 STEP2

「中小企業のためのセキュリティインシデント対応の手引き」をもとに手順検討

IPAが提供している「中小企業のためのセキュリティインシデント対応の手引き」を参考にして、自社の事業に合わせた対応手順を検討しました。セキュリティ担当部門内に加えて、他の部署や取引先にもインシデント対応フローを公開する必要があるため、慎重に進めています。

矢印
STEP3 STEP3

ログの取得、ベンダーへのIT製品調達時のセキュリティ要件を確認

ネットワークログの取得ができていなかったため、ベンダーにログの取得状況の確認を行いました。また、IPAが提供している「IT製品の調達におけるセキュリティ要件リスト」を参考にして、ベンダーへのIT製品調達の際に設定すべきセキュリティ要件について検討し明確化しました。

矢印
STEP4 STEP4

インシデント対応フロー作成に必要な調整を実施。令和6年度での予算化が決定

インシデント対応フロー作成に関しては、ベンダーへ依頼する作業などを整理しています。検討を進める上で明確になった課題に関しては、順次対応しています。また、インシデント対応に関わる費用については、令和6年度での予算化を進めています。

本事業に参加する前から課題であったインシデント対応フローの作成と、重要性の高いセキュリティ課題を個別に対応することにしました。インシデント対応フローに関しては、一次報告後の対応手順や、インシデント履歴の管理方法が明文化されていませんでした。そのため、本事業の専門家からIPAが提供している「中小企業のためのセキュリティインシデント対応の手引き」を紹介され、記載されている内容を参考にして対応手順の具体化を進めています。セキュリティ担当部門の調整に加えて、他の部署やベンダーとも連携しながらインシデント対応フローを作成しています。また、セキュリティ対策の見直しと刷新も行いました。ネットワーク機器に関しては、ネットワークログが取得できていなかったため、本事業の専門家からアドバイスを受けながら、ネットワークログの取得状況についてベンダーに確認を行いました。また、ベンダーへのIT製品の調達に関わるセキュリティ要件を設定していなかったため、IPAが提供している「IT製品の調達におけるセキュリティ要件リスト」を参考にして、本事業の専門家と相談しながら不明点を洗い出すことにより、自社として必要となるセキュリティ要件を明確化しました。

04

結果と今後

インシデント対応の手順化、セキュリティ体制を改善

本事業に参加する前は、自社のインシデント対応について不足している点が理解できていませんでしたが、本事業の専門家派遣やセミナー・ワークショップを通じて、取り組むべき課題が明確になりました。今後は、明確になった課題を解決することに注力します。また、今まで不定期で実施していたセキュリティ教育については、定期的に効率よく学習できる仕組みづくりを進めていく予定です。

経営層

経営層の声

サイバーセキュリティ対策は事業を存続するためにも喫緊の課題ですが、社内のリソースで対応することは難しく、東京都主催で本事業を実施いただき大変助かりました。人材不足の中、セキュリティ人材の育成という面に力点が置かれていることは価値があると感じています。

参加者

参加者の声

本事業のワークショップにおいては、一般的なセキュリティ対応を自社の業務に落とし込む難しさを実感しました。一例として、リスク管理の課題では、情報資産を洗い出すことに予想以上に時間がかかりました。このような知見を得ることができたことは良い経験となりました。