東京都産業労働局 令和5年度中⼩企業サイバー
セキュリティ対策継続支援事業

文字サイズ
中小企業向けサイバーセキュリティ対策の極意 令和6年度中小企業サイバーセキュリティ社内体制整備事業

金融情報サービス業 B社

セキュリティ対策のフレームワークを習得
規程類を整備し管理体制強化の土台を構築

取り組んだ支援テーマ

  • ネットワーク
    セキュリティ
  • エンドポイント
    セキュリティ
  • モバイルデバイス
  • データ保護
  • セキュリティ意識と
    教育
  • 外部パートナー
    との関係

企業プロフィール

業種 金融業・保険業
従業員数 ~20名
セキュリティ体制 1名体制/兼務
事業内容 投資助言・代理業の登録を申請し、開業準備を進めています。開業後は、顧客と投資顧問契約を結び、暗号資産に関する価値を調査・分析し、投資判断に基づく助言を行っていく予定です。また、ブロックチェーン関連のコンサルティング事業や、金融商品関連情報の発信およびメディアの管理運営事業も展開する予定です。
01

背景と状況

独学によって進めているセキュリティ対策に不安がある

矢印
02

課題

開業に向けてセキュリティ対策の強化が必須

矢印
03

取組内容

セキュリティ対策のフレームワークを活用

矢印
04

結果と今後

さらなるリテラシーの向上を目指し努力を継続

Before After 取組を通じたビフォーアフター

beforeグラフ 矢印 afterグラフ

01

背景と状況

投資助言業の開業に向けて、業態に則したセキュリティ対策を講じたい

投資助言業の開業準備中 顧客と電子契約する仕組みを導入予定 独学でセキュリティ対策を実施している

投資助言業の開業準備を進めています。電子契約で顧客の個人情報を取り扱う予定のため、情報セキュリティについては万全の対策を講じる必要があります。現状はセキュリティ担当者が独立行政法人情報処理推進機構(IPA)の各種ドキュメント類を参照し、独学で勉強しながらセキュリティ対策を実施しています。

02

セキュリティ課題

個人情報を取り扱うサービス事業者としての知識習得が必須

当初の課題
セキュリティ対策のためのフレームワークを習得したい
セキュリティ規程の維持管理が実施できていない
「個人情報保護法」に則した措置の知識を得たい
矢印
専門家派遣支援で明らかになった課題
情報資産管理台帳を作成していない
従業員の意識を共有する場を設定できていない
ウェブサイトのセキュリティ対策状況の確認が不十分

03

取組内容

リスクの可視化と各種セキュリティ対策を実行

STEP1 STEP1

フレームワークを理解し、セキュリティ対策の策定に活用

セキュリティ対策の検討を進める上で、「情報資産の洗い出し~リスク分析と可視化~セキュリティ対策の優先順位の決定と計画的な実行~定期的な見直し」、という一連の流れが重要であることを理解しました。具体的なセキュリティ対策の検討については、フレームワークを活用して進めています。

STEP2 STEP2

セキュリティ対策の土台となるセキュリティ規程類を整備

作成途中となっていたセキュリティ規程の見直しに加え、情報資産管理台帳やリスク管理表、ネットワーク構成図の作成を進め、セキュリティ対策の具体的な方針を固めました。また、「個人情報の保護に関する法律についてのガイドライン」に記載されている措置が講じられていることを確認しました。

矢印
STEP3 STEP3

ウェブサイト開発におけるセキュリティ対策状況を確認

開業後には顧客と電子契約を締結するため、ウェブサイトの開発を委託している制作会社が実施しているセキュリティ対策状況について問合せを行い、SSL(Secure Sockets Layer)の導入や海外からのアクセス制限などの対策が講じられていることを確認しました。

矢印
STEP4 STEP4

従業員のリテラシー向上を目指した取組を決定

セキュリティ対策に関する社内の情報共有を行うため、新たに勉強会の場を設けることにしました。また、セキュリティ担当者は、セキュリティ対策のより深い知識を体系的に身につけるため、情報セキュリティマネジメント資格試験の受験に向けた勉強を開始しました。

本事業のセミナーにおいて、情報資産の洗い出しとリスク分析、各種セキュリティ対策の策定と定期的な見直しという一連のサイクルを把握できたことにより、検討するべきことが明確になりました。具体的なセキュリティ対策の検討に関しては、フレームワークを活用して進めています。また、本事業の専門家からアドバイスを受け、情報資産管理台帳やリスク管理表、ネットワーク構成図の作成に加え、インシデント対応方法などを含めたセキュリティ規程の改訂を進めました。さらに、個人情報保護委員会が公開している「個人情報の保護に関する法律についてのガイドライン」に記載されている「講ずべき安全管理措置の内容」を参照し、現状の認識および措置が正しいことが確認できました。構築中のウェブサイトに関しては、制作会社にセキュリティ対策状況を確認することにより、セキュリティ面での安全性が担保できました。そのほか、ノートPCのディスク暗号化の確認、クラウドサービスにおける多要素認証および資産管理ソフトウェアの導入を検討しています。セキュリティ教育に関しては、最新の脅威に対する情報共有などを行うため、定期的に勉強会を開くことにしました。さらに、セキュリティ担当者が情報セキュリティマネジメントの資格取得を目指すことも決定しました。

04

結果と今後

セキュリティ対策の策定に有用なフレームワークを習得

セキュリティ対策のフレームワークについて理解を深めることができました。当初の懸念事項であった、「個人情報保護法」に則したさまざまな措置の妥当性を確認できたことは、事業を進める上での大きな安心材料となりました。今後は開業に向けて、セキュリティ対策をさらに強化するために、定期的な勉強会を行うほか、サービス事業者としてISMS認証の取得も目指していきたいと考えています。

経営層

経営層の声

インターネット上で契約を完結する業態であるため、ウェブサイトのセキュリティ対策が確認できたことは非常に有意義でした。セキュリティ担当者が本事業で習得した知識を全従業員で共有し、セキュリティ対策に関するリテラシーを全社的に高めていきたいと考えています。

参加者

参加者の声

これまでは独学で勉強しながらセキュリティ対策を講じてきましたが、本事業でフレームワークを習得するなど、ようやくスタートラインに立てたと感じています。本事業で習得した知識を活かし、情報セキュリティマネジメント資格の取得に向けた学習を進めていきます。

事例集TOP