東京都産業労働局 令和5年度中⼩企業サイバー
セキュリティ対策継続支援事業

文字サイズ
中小企業向けサイバーセキュリティ対策の極意 令和6年度中小企業サイバーセキュリティ社内体制整備事業

葬祭サービス業 C社

担当者の負荷を極力削減し、ベンダーとの
連携強化によるセキュリティ対策を推進

取り組んだ支援テーマ

  • ネットワーク
    セキュリティ
  • エンドポイント
    セキュリティ
  • モバイルデバイス
  • データ保護
  • セキュリティ意識と
    教育
  • 外部パートナー
    との関係

企業プロフィール

業種 生活関連サービス業・娯楽業
従業員数 ~20名
セキュリティ体制 1名体制/兼務
事業内容 地域密着型で葬祭サービスを提供している企業です。事前のご相談からご葬儀の手配などをサポートする葬祭事業を中心に、葬儀ホールの運営や終活支援、地域イベント支援など、幅広い事業を通じて地域に寄り添うエンディングの総合サポート企業を目指しています。
01

背景と状況

セキュリティ対策はベンダー任せで状況が把握できていない

矢印
02

課題

担当者が多忙なため、セキュリティ対策が進まない

矢印
03

取組内容

課題への対応を行いながら、ベンダーとの連携を強化

矢印
04

結果と今後

担当者の多忙を考慮したセキュリティ対策強化を推進

Before After 取組を通じたビフォーアフター

beforeグラフ 矢印 afterグラフ

01

背景と状況

セキュリティ対策はベンダー任せとなっており、現状が把握できていない

セキュリティ対策はベンダーに依存 UTMやウイルス対策は実施済み SECURITY ACTION(二つ星)を宣言

セキュリティ対策はベンダーに任せており、セキュリティ担当者は、インシデントなどが発生した場合のベンダーとの連絡が主な対応業務となっていました。そのため、自身がセキュリティに関する知識を習得することに加えて、社内のセキュリティ意識向上を図りたいと考え、本事業への参加を決定しました。

02

セキュリティ課題

ベンダーとの役割分担や責任範囲が明確化されていない

当初の課題
セキュリティ対策はベンダーに依存している
セキュリティ規程を更新していない
セキュリティ教育は必要な対策の周知のみ実施
矢印
専門家派遣支援で明らかになった課題
ベンダーとの役割分担が明確化されていない
アカウント管理の運用方法がルール化されていない
インシデント発生時の対応が明文化されていない

03

取組内容

セキュリティ対策の取組を通じたベンダーとの連携強化

STEP1 STEP1

本事業の専門家派遣におけるセキュリティ対策状況の整理と課題の洗い出し

本事業の専門家において、「UTMのログ取得状況や保存期間、ファームウェアのアップデート状況、ウイルス対策ソフトウェアの定期更新やスキャン設定などが把握できていない」、「パスワード設定ルールが定められていない」など、さまざまな課題が洗い出されました。

STEP2 STEP2

ベンダーとの役割分担を明確化し、セキュリティ対策の強化を促進

本事業の専門家からアドバイスを受け、ベンダーとの役割分担や責任範囲の明確化を進めることに加え、セキュリティ対策強化に向けたベンダーとの協議を通じて関係性を深め、連携強化を図っていくことにしました。ベンダーとの協議には経営層も同席し、具体的なセキュリティ対策強化の検討を行いました。

矢印
STEP3 STEP3

UTMやウイルス対策の最新化に加え、新たにセキュリティ対策ツールを導入

導入当時から更新していなかったUTMやウイルス対策ソフトウェアを新たな製品へ入れ替えました。さらに資産管理ツールやデータ暗号化ソフトウェアも新たに導入し、セキュリティ対策の強化を図ることにしました。

矢印
STEP4 STEP4

自社で保有しているウェブサイトの運用管理についても確認

自社で保有しているウェブサイトの運用管理についても、独立行政法人情報処理推進機構(IPA)の公開している「ウェブサイトのセキュリティ対策のチェックポイント20ヶ条」を参考にして、セキュリティ対策状況やベンダーの対応範囲などの確認を進めていくことにしました。

セキュリティ対策についてはベンダーに委託し、UTM(Unified Threat Management)やウイルス対策ソフトウェアも導入しており、基本的なセキュリティ対策は行っています。本事業の専門家派遣において、セキュリティ対策状況の整理と課題の洗い出しを行った結果、「UTMのログ取得状況やファームウェアのアップデート」、「ウイルス対策ソフトウェアの更新設定」などの情報を把握できていないといった指摘を受け、セキュリティに関するリスクを認識しました。セキュリティ担当者は社内業務の変更に伴い非常に多忙であるため、本事業の専門家から、ベンダーとの役割分担や責任範囲を確認することに加え、ベンダーとの協議を重ねる中で関係性を深め、連携強化を図ることなどの提案を受けました。同社では自社に設置しているサーバ環境で顧客情報の管理を行っていますが、ベンダーと協議した結果、セキュリティ製品のリプレースを進めることで、セキュリティ対策の強化を図っていくことにしました。システムの全体像を把握するため、ネットワーク構成図の作成をベンダーに依頼したほか、導入時から更新していなかったUTMやウイルス対策ソフトウェアの入替を検討するとともに、資産管理ツールやデータの暗号化ソフトウェアの導入を進めています。

04

結果と今後

多忙な業務を考慮し、ベンダーとの協力体制を構築

他業務と兼任のセキュリティ担当者が非常に多忙であることを考慮し、セキュリティ対策はベンダーとの協力体制のもとで進めていくことを確認しました。今後は導入したセキュリティ製品の最新化やソフトウェアのアップデートについても、担当者が実施目的について把握し、役割分担や責任範囲を明確化した上でベンダーに依頼する形で進めていく方針です。

経営層

経営層の声

葬祭サービス企業としてお客様の個人情報を取り扱うため、セキュリティ対策への取組は喫緊の課題となっています。本事業への参加により、今後対応するべき対策や管理体制構築の方向性が明確化されました。今後もセキュリティ強化を着実に進めていきたいと考えています。

参加者

参加者の声

業務が多忙をきわめる中での参加となりましたが、本事業の専門家からのアドバイスや提示いただいた資料がセキュリティ対策を進める上で非常に参考になり、具体的なアクションにつながりました。本事業から得られた知見を活かし、今後も継続的に対策の強化を図っていきます。

事例集TOP