東京都産業労働局 令和5年度中⼩企業サイバー
セキュリティ対策継続支援事業

文字サイズ
中小企業向けサイバーセキュリティ対策の極意 令和6年度中小企業サイバーセキュリティ社内体制整備事業

金属建材加工業 N社

技術面偏重のセキュリティ対策から脱却
バランスの取れたセキュリティ管理体制を構築

取り組んだ支援テーマ

  • ネットワーク
    セキュリティ
  • エンドポイント
    セキュリティ
  • モバイルデバイス
  • データ保護
  • セキュリティ意識と
    教育
  • 外部パートナー
    との関係

企業プロフィール

業種 製造業
従業員数 ~300名
セキュリティ体制 複数/兼務
事業内容 建築物の内外装に使用する金属製建材の設計・製造・施工を手掛ける企業です。これまで蓄積してきた技術力と最新のテクノロジーを組み合わせ、住宅、オフィス、店舗、学校などの多様な施設に取りつけるオーダーメイドの金属製建材を製造しています。近年は国内に加え、海外のさまざまなプロジェクトにも携わっています。
01

背景と状況

技術面偏重のセキュリティ対策に不安あり

矢印
02

課題

取り組むべき課題の優先度が不明確

矢印
03

取組内容

技術面以外のセキュリティ対策を中心に実施

矢印
04

結果と今後

バランスの取れたセキュリティ管理体制を構築

Before After 取組を通じたビフォーアフター

beforeグラフ 矢印 afterグラフ

01

背景と状況

技術面を中心とした現状のセキュリティ対策状況を第三者視点から評価したい

セキュリティ対策は技術面が中心 セキュリティ知識は独学で習得 セキュリティ対策関連の委員会を組織

セキュリティ担当者が独学で習得した知識をもとに、技術面を中心としたセキュリティ対策を講じています。令和3年にSECURITY ACTION(二つ星)を宣言した際に、社内の各部門より1名ずつ参加する形でセキュリティ対策の強化を目的とする委員会を組織し、月1回定例会を開催しています。

02

セキュリティ課題

各セキュリティ対策の優先順位が明確になっていない

当初の課題
セキュリティ担当者が知識を身につける機会がない
セキュリティ対策として不十分な対策を知りたい
従業員への効果的な教育方法がわからない
矢印
専門家派遣支援で明らかになった課題
USBメモリの使用が常態化し、管理できていない
セキュリティ規程が整備できていない
インシデントの発生や対応の履歴が記録できていない

03

取組内容

セキュリティ対策の強化を目指す委員会主導の管理強化

STEP1 STEP1

セキュリティ対策の基本となる考え方とフレームワーク活用の重要性を理解

セキュリティ対策の基本的な考え方を理解することにより、現状では技術的なセキュリティ対策に偏重していることに気づきました。また、セキュリティ対策の策定に際しては、フレームワークを活用することにより、ゼロベースで対策を検討することなく、効率的かつ網羅性をもって推進できることを学びました。

STEP2 STEP2

「緊急性の高い課題」と「中長期的に取り組んでいく課題」への分類を実施

本事業の専門家派遣において洗い出された、さまざまなセキュリティ課題に対して、影響度や緊急度による優先順位づけを行いました。「緊急性の高い課題」、「中長期的に解決していく課題」に分類し、セキュリティ対策の強化を目指す委員会で共有することにより具体的な対策を検討しました。

矢印
STEP3 STEP3

本事業の専門家派遣にセキュリティ対策に取り組む委員会の全メンバーが参加

本事業の専門家派遣にセキュリティ対策に取り組む委員会の全メンバーが参加する回を設けて、座談会形式で質疑応答を実施しました。メンバー間の課題共有に加え、本事業の専門家による明快なアドバイスによって、一人一人のメンバーが抱えていた不安や悩みを解消することができました。

矢印
STEP4 STEP4

技術面にとらわれることなく、網羅的な観点からセキュリティ対策を実行

具体的なセキュリティ対策としては、「USBメモリの利用停止のルール化」、「セキュリティガイドライン作成への着手」、「ヒヤリハット事案を含むインシデントの記録および是正プロセスの策定」などを行うことで、技術面にとらわれることなく、網羅的な観点から対策を実行しています。

本事業のセミナーにおいて、セキュリティ対策の基本的な考え方を理解したことに加え、セキュリティ対策の策定にフレームワークを活用することの重要性に気づきました。本事業の専門家派遣では、現状の対応で不十分な対策を洗い出した上で、さまざまなセキュリティ課題に対して影響度や緊急度による優先順位づけを行い、「限られたリソースおよび予算で迅速に取り組む緊急性の高い課題」、「中長期的に解決していく課題」に分類しました。セキュリティ意識の向上を目的として、本事業の専門家派遣の中にセキュリティ対策の強化を目指す委員会の全メンバーが参加する座談会の場を設けました。座談会では活発な質疑応答が行われ、メンバー間で課題を共有することに加え、セキュリティに関する知識のアップデートを行うことができました。リスクの高い課題への取組としては、「暗号化されていないUSBメモリによるデータの持ち出しが常態化している」ことを指摘され、今後の利用停止を検討しました。セキュリティ規程に関しては、社内向けのセキュリティガイドラインから段階的に作成していくことを決定し、着手しています。インシデント対策としては、インシデント発生の傾向を可視化するためにヒヤリハット事案を含めて記録し、組織内で共有できるようにしました。

04

結果と今後

セキュリティ対策に取り組む委員会の活発化が目標

セキュリティ対策全般において、緊急度および重要度の高い課題を把握しました。それらを解決する計画を立て、来年度より本格的に取り組む予定です。中長期的に取り組む課題としては、各部署のセキュリティ対策における手順の策定を予定しています。また、セキュリティ対策に取り組む委員会の活動を活発化し、全社的にセキュリティ対策を推進していきたいと考えています。

経営層

経営層の声

本事業への参加を通じ、現状のセキュリティ対策において対応できていることと、今後取り組むべき課題が明確になりました。本事業で習得した知識を活かして、今後のセキュリティ対策を全社的に進め、取引先に安心してもらえるセキュリティ管理体制の構築を目指します。

参加者

参加者の声

これまで実施してきた自社のセキュリティ対策が、技術的な管理策に偏っていたことを痛感しました。今後は、「人的」「組織的」「物理的」なアプローチを段階的に進めていき、バランスの取れたセキュリティ対策を実施していきたいと考えています。

事例集TOP