東京都産業労働局 令和5年度中⼩企業サイバー
セキュリティ対策継続支援事業

文字サイズ

機械工具関連卸売業 D社

ノートPCのパスワード管理体制を構築
端末を外部に持ち出す際の運用ルールを策定

取り組んだ支援テーマ

  • ネットワーク
    セキュリティ
  • エンドポイント
    セキュリティ
  • モバイルデバイス
  • データ保護
  • セキュリティ意識と
    教育
  • 外部パートナー
    との関係

企業プロフィール

業種 卸売業・小売業
従業員数 ~20名
セキュリティ体制 1名体制/兼務
事業内容 機械工具関連の卸売を手掛ける企業です。自動車メーカーをはじめ、さまざまな分野の工場で使用される工具や資材を幅広く取り扱っています。取引先から依頼を受け、各種機械工具関連製品の見積もりから仕入れ、販売までワンストップで行っています。
01

背景と状況

従業員のセキュリティリテラシー向上が必要

矢印
02

課題

PC使用時のパスワード管理が不十分

矢印
03

取組内容

PCにパスワードを設定し運用ルールを策定

矢印
04

結果と今後

ノートPCの安全な運用方法を確立

Before After 取組を通じたビフォーアフター

beforeグラフ 矢印 afterグラフ

01

背景と状況

デスクトップPCからノートPCへの入替を予定

セキュリティ担当者1名の管理体制 ノートPCの導入を予定 全社的なセキュリティ意識向上が必要

セキュリティ担当者1名が、ベンダーと連携しながら独学でセキュリティ対策を講じています。今後、リモートワークを含めたフレキシブルな働き方を実現するため、デスクトップPCからノートPCへの入替を行いました。従業員のセキュリティリテラシー向上のため、社内教育の必要性を感じています。

02

セキュリティ課題

ノートPCへの入替に伴い、運用ルールの策定が課題

当初の課題
セキュリティ対策に関する客観的な評価ができない
従業員のセキュリティリテラシーに不安がある
PCのパスワード管理が不十分
矢印
専門家派遣支援で明らかになった課題
業務データをバックアップする場所が不明確
ノートPCの運用方法が定まっていない
情報資産の棚卸しができていない

03

取組内容

PCのパスワード設定および運用ルールの策定を実施

STEP1 STEP1

現状のセキュリティ対策の確認および課題の洗い出し

本事業の専門家派遣を通じて、現状のセキュリティ対策における課題を洗い出しました。ネットワークセキュリティおよびエンドポイントセキュリティに関しては、一定の水準を満たしていることが確認できた一方で、PCのパスワード管理方法の整備などの課題が明らかになったため、必要な対策を検討しました。

STEP2 STEP2

デスクトップPCからノートPCへの入替に伴い、運用ルールを策定

社内のデスクトップPCをノートPCへ入れ替えるタイミングで、一台ずつ個別に10桁以上のパスワードを設定しました。また、ファイルやデータはクラウドストレージに保存するなど、運用ルールを策定しました。さらに、セキュリティパッチやアンチウイルスソフトウェアのアップデートを行いました。

矢印
STEP3 STEP3

各種業務データの精査と情報資産の棚卸しを実施

各種業務データの内容を把握し分類・整理するとともに、バックアップの保存先を確認しました。また、IPAの提供するリスク分析シートを活用した情報資産の棚卸しを行い、重要度とリスクの洗い出しを実施しました。さらに、リスクを低減するため、クラウドストレージへのデータ移行を検討しています。

矢印
STEP4 STEP4

情報セキュリティハンドブックを活用し、社内教育を実施

従業員教育については、以前から朝礼や社内チャットを介してセキュリティ関連のインシデント事例や注意事項などを周知していましたが、さらなるセキュリティ意識向上のため、IPAの提供する情報セキュリティハンドブックを自社の業務内容に合わせて見直し、社内に展開しました。

本事業の専門家派遣において、現状のセキュリティ対策における課題を洗い出しました。ネットワークセキュリティおよびエンドポイントセキュリティに関しては一定水準を満たしているという評価を受けた一方で、PCのパスワード管理など改善すべき課題も明らかになったため、重要度の高い課題から対応する方針を固めました。PCにパスワードが設定されておらず、他従業員のPCを使用して代理で業務を行うこともあったため、デスクトップPCからノートPCへ入れ替えるタイミングで、一台ずつ個別に10桁以上のパスワードを設定しました。また、ノートPCを外部に持ち出す際のセキュリティリスクを低減するため、ファイルやデータはクラウドストレージに保存するなど、運用ルールを定めました。さらに、セキュリティパッチの更新やアンチウイルスソフトウェアのアップデートなども行いました。また、各種業務データの内容と保存先を分類・整理するとともに、独立行政法人情報処理推進機構(IPA)の提供するリスク分析シートを活用した情報資産の棚卸しを行い、重要度とリスクの洗い出しを実施しました。従業員教育については、IPAの提供する情報セキュリティハンドブックを自社の業務に合わせて見直し、社内に展開することで、セキュリティ意識向上を図りました。

04

結果と今後

フレームワークを活用して継続的な取組を推進

PCのパスワード設定に関する運用管理面を整備したほか、情報資産の棚卸しや従業員のセキュリティ意識向上など、さらなるセキュリティ対策の強化に取り組むことができました。今後は、重要データの保護のためのクラウドストレージへのデータ移行や、フレームワークを活用したセキュリティ対策の具体的な対応方法の検討などを行い、継続的な取組を推進していく予定です。

経営層

経営層の声

本事業を通して、セキュリティ対策の重要性をより深く理解することができました。今後は、全社的なセキュリティリテラシーの向上を図りつつ、現場での運用を考慮したセキュリティ管理体制を構築していきたいと考えています。

参加者

参加者の声

本事業のセミナーで実務的な知識を吸収し、ワークショップで実践的な取組を経験することにより、セキュリティ対策の全体像が把握できました。また、他社との交流を通じてセキュリティ対策の比較や情報交換ができ、非常に有意義な時間を過ごすことができました。