東京都産業労働局 令和5年度中⼩企業サイバー
セキュリティ対策継続支援事業

文字サイズ
中小企業向けサイバーセキュリティ対策の極意 令和6年度中小企業サイバーセキュリティ社内体制整備事業

専門技術コンサルティング業 A社

実効性のあるルールを策定し、教育方法を検討
従業員一人一人の自発的な取組を促進

取り組んだ支援テーマ

  • ネットワーク
    セキュリティ
  • エンドポイント
    セキュリティ
  • モバイルデバイス
  • データ保護
  • セキュリティ意識と
    教育
  • 外部パートナー
    との関係

企業プロフィール

業種 学術研究・専門・技術サービス業
従業員数 ~20名
セキュリティ体制 1名体制/兼務/経営者
事業内容 再生可能エネルギーに関わる技術コンサルティングを行っている企業です。取引先からの依頼を受け、発電所の立地計画から発電量の予測、レイアウトの検討などを行い、カーボンニュートラルの実現に貢献しています。
01

背景と状況

基本的なセキュリティ対策は実施済み

矢印
02

課題

実効性のあるセキュリティ教育ができていない

矢印
03

取組内容

ガイドラインを策定し、今後の教育方針を検討

矢印
04

結果と今後

従業員一人一人の主体的な取組を促進

Before After 取組を通じたビフォーアフター

beforeグラフ 矢印 afterグラフ

01

背景と状況

基本的なセキュリティ対策から、実効性のある対策による強化が必要

基本的なセキュリティ対策は実施済み ベンダーの責任範囲が不明確 実効性のある教育方法を模索中

UTM(Unified Threat Management)やアンチウイルスソフトウェアの導入など、基本的なセキュリティ対策は実施済みですが、ベンダーと自社の対応範囲の責任分界点が不明確です。取引先との信頼関係を構築・維持するため、継続的かつ実効性のあるセキュリティ対策を模索しています。

02

セキュリティ課題

実効性のあるセキュリティ対策および教育が必要

当初の課題
従業員向けのガイドラインが策定されていない
実効性のあるセキュリティ教育ができていない
ベンダーと自社との責任範囲が不明確
矢印
専門家派遣支援で明らかになった課題
対応課題の明確化と優先順位づけが必要
ノートPCのディスク暗号化を実施していない
クラウドサービスでの多要素認証が導入されていない

03

取組内容

ガイドラインの策定と実効性のある教育方法を検討

STEP1 STEP1

セキュリティ課題の洗い出しおよび詳細化

現状のセキュリティ対策を確認し、これまで大枠で捉えていた課題を洗い出し、詳細化した上で、実行すべき取組を明確にしました。さらに、課題の重要度を順位づけすることにより、今年度中に取り組む課題と来年度以降に取り組む課題に仕分けしました。

STEP2 STEP2

従業員向けの具体的な利用ルールを作成

セキュリティ規程に基づく従業員向けのガイドラインとして、テレワークを含むモバイル端末使用時の具体的な利用ルールを作成し、現場での運用の定着を進めています。また、活用しているクラウドサービスの整理を行い、クラウドサービス利用時の多要素認証の導入などの認証強化を検討しています。

矢印
STEP3 STEP3

セキュリティ教育の拡充・浸透に向けて外部講師の活用を検討

策定したガイドラインの形骸化を防ぐとともに、セキュリティ意識を浸透させるために、セキュリティ対策への理解を深める仕組みづくりを検討しました。セキュリティ担当者によるさまざまな情報共有とあわせて、外部講師を招いて研修を行うことにより、セキュリティ教育を拡充する方針を固めました。

矢印
STEP4 STEP4

セキュリティ対策に関するベンダーとの役割分担や責任範囲を明確化

現在のセキュリティ対策の状況と自社との役割分担や責任範囲を、ベンダーに確認しました。機器のファームウェアのアップデートに関しては、自社の対応範囲であることが明確になりました。UTMやシステムのログなどの管理に関しては、取得方法や保存期間などの観点から運用方法を検討しています。

本事業の専門家派遣において、現状のセキュリティ対策を評価して課題の洗い出しと詳細化を行い、解決するべき課題の優先順位を明確化しました。まず、既存のセキュリティ規程に基づく従業員向けのガイドラインとして、テレワークを含むモバイル端末使用時の具体的な利用ルールを作成し、現場での運用の定着を進めています。また、クラウドサービス利用時における多要素認証の導入による認証強化も検討しています。社内セキュリティ教育の拡充・浸透という面においては、セキュリティ担当者による最新の脅威に関する情報共有などを継続することに加え、外部講師を招いた研修を検討することにより、より実効性のある教育実施の方法を検討しています。ネットワークセキュリティの強化策として、UTMの設定などのセキュリティ対策状況およびベンダーの対応範囲について、ベンダーに確認しました。機器のファームウェアのアップデートに関しては、自社の対応範囲であることを確認し、今後の運用方法を検討しています。ネットワークやシステムのログなどの管理に関しては、取得方法や保存期間など運用の観点から、クラウドサービスによるログ管理を検討しています。ノートPCにおけるディスク暗号化については、ツールの適用を予定しています。

04

結果と今後

継続的かつ実効性のあるセキュリティ対策を推進

本事業への参加により、セキュリティ対策における課題の把握と必要な対策を整理することができました。今後はセキュリティ教育を強化していき、従業員が知識を深めることによりセキュリティに関する意識を向上させ、自発的にセキュリティ対策へ取り組むことを促していきます。ビジネス面においても、取引先との信頼関係を築いていく基盤になると考えています。

経営層

経営層としての声

本事業を通じ、企業が経営基盤を強固にするための取組の一環として、セキュリティ対策の重要性を認識することができました。従業員のITに関するスキルレベルに違いがある中で、従業員一人一人が納得して対応できるような仕組みの構築を進めていきたいと考えています。

参加者としての声

本事業のセミナーで網羅的な知識を習得したことに加え、他社のセキュリティ対策から気づきを得ることも多くありました。また、専門家からの適切なアドバイスにより、セキュリティ対策強化に向けた具体的な進め方や今後のプランニングができたと実感しています。

事例集TOP