東京都産業労働局 令和5年度中⼩企業サイバー
セキュリティ対策継続支援事業

文字サイズ
中小企業向けサイバーセキュリティ対策の極意 令和6年度中小企業サイバーセキュリティ社内体制整備事業

電子部品製造業 O社

情報資産の棚卸しを行い、リスクを分析
セキュリティ規程を修正し円滑な運用を実現

取り組んだ支援テーマ

  • ネットワーク
    セキュリティ
  • エンドポイント
    セキュリティ
  • モバイルデバイス
  • データ保護
  • セキュリティ意識と
    教育
  • 外部パートナー
    との関係

企業プロフィール

業種 製造業
従業員数 ~300名
セキュリティ体制 複数/兼務
事業内容 主に自動車、スマートフォンなどに使われる半導体や電子部品にめっき加工を行っています。取引先の製品の部分的な加工に加え、企画段階から試作・開発、量産、アフターフォローに至るまで、あらゆる生産プロセスをめっき技術でサポートするサービスを提供しています。
01

背景と状況

取引先の要望をベースとするセキュリティ対策を実施

矢印
02

課題

情報資産に紐づくセキュリティ規程の運用が不十分

矢印
03

取組内容

情報資産を守るためのセキュリティ対策を実現

矢印
04

結果と今後

全従業員によるセキュリティ規程の運用が目標

Before After 取組を通じたビフォーアフター

beforeグラフ 矢印 afterグラフ

01

背景と状況

セキュリティ規程の社内展開が不十分で現場に浸透していない

取引先の要望で具体的な対策に着手 規程類の運用が浸透していない 担当者3名のセキュリティ管理体制

約15年前、取引先からISMSに則ったセキュリティ対策を要望され、セキュリティ規程を作成しました。その後、約5年前に見直しを行いましたが、セキュリティ規程が自社の業務に適合していなかったため、社内へ浸透せず円滑な運用ができていません。セキュリティ対策は担当部署の3名が主導しています。

02

セキュリティ課題

情報資産を守るためのセキュリティ対策が不十分

当初の課題
セキュリティ対策の客観的評価ができていない
セキュリティ規程のPDCAサイクルが回っていない
情報資産の棚卸しができていない
矢印
専門家派遣支援で明らかになった課題
リスク対応の要否判断ができていない
外部サービスの利用状況が把握できていない
業務委託先のセキュリティ対策が管理できていない

03

取組内容

情報資産の重要度に基づくセキュリティ対策を実施

STEP1 STEP1

現状のセキュリティ対策を点検し、課題の洗い出しを実施

本事業の専門家派遣において、現状のセキュリティ対策を点検し、課題の洗い出しを実施しました。その結果、「セキュリティ規程のメンテナンス」、「情報資産の棚卸し」、「各部門のセキュリティ対策状況の可視化」、「社内における意識共有の強化」などの課題が浮き彫りとなりました。

STE2 STE2

セキュリティ規程の評価と情報資産の棚卸しを実行

見直しが必要だったセキュリティ規程は、IPAの提供するひな型を参照し、相違点を確認しながら修正しました。運用にあたっては、ISMSのPDCAサイクルに則った運用を行う方針としました。情報資産の棚卸しは、IPAの提供する「リスク分析シート」を活用し、各部門と連携して行いました。

矢印
STEP3 STEP3

全社的なセキュリティ対策状況の可視化に着手

各部門におけるクラウドサービスや取引先のEDIサービスなどの利用・契約状況を調査しました。また、業務委託先との契約状況やセキュリティ対策の要求内容などの把握も進めており、各部門におけるセキュリティ対策状況の可視化を行いました。

矢印
STEP4 STEP4

経営層に対してセキュリティ対策の重要性を説明し、全社的な取組に拡大

経営層に対して、セキュリティ対策に関する理解と全社に向けた発信について相談しました。セキュリティ対策の現状および課題、基本的な考え方、今後に向けた展望を説明することにより、セキュリティ対策が全社的な活動となることを目指していきます。

本事業の専門家派遣において、現状のセキュリティ対策を改めて点検し、課題の洗い出しを実施しました。ネットワーク関連のセキュリティ対策については、一定の評価が得られましたが、運用面や現場への浸透に関する課題が浮き彫りとなりました。また、各部門における取引先のEDI(Electronic Data Interchange)サービスなど外部サービスの利用・契約状況や、業務委託先のセキュリティ対策状況の把握など、「各部門のセキュリティ対策状況の可視化」という新たな課題に気づきました。セキュリティ規程に関しては、現場に十分浸透しておらず最新化などの運用管理ができていなかったため、見直しが必要だと考えていました。そこで、独立行政法人情報処理推進機構(IPA)の提供するひな型との相違点を確認し、必要に応じて修正を実施しました。記載項目の網羅性や現場運用との整合性を精査するとともに、ISMSに則った運用を行うことを検討しました。情報資産の棚卸しに関しては、各部門にIPAの提供する「リスク分析シート」への記入を依頼することに加えて、情報資産の重要性について理解を促しました。さらに、経営層に対してセキュリティ対策の現状および重要性を説明し、経営層と一体となったセキュリティ対策の推進を予定しています。

04

結果と今後

セキュリティ対策のPDCAサイクルを全社的に実行

情報資産の重要度を分類し、その結果に基づいて各種のセキュリティ対策を講じるという基本的な対策の強化を進めることができました。また、各部門におけるセキュリティ対策の状況も可視化されました。今後は、経営層をはじめとする全従業員で役割を分担し、セキュリティ対策のPDCAサイクルを実行することで、より強固なセキュリティ管理体制を構築していきたいと考えています。

経営層

経営層の声

当社が抱えているセキュリティ対策の課題に関して、本事業の専門家派遣において実情に沿ったアドバイスをいただき、改善への道筋がつきました。今後はセキュリティ規程に沿った明確な運用ルールを設け、共通認識のもとでPDCAサイクルを回していきたいと考えています。

参加者

参加者の声

本事業の専門家派遣において、自社のネットワークに関するセキュリティ対策を評価されたことは自信につながりました。人的リソースが不足している状況ですが、セキュリティ対策のPDCAサイクルの実行などにより、一つ一つの課題に順次対応していく予定です。

事例集TOP