東京都産業労働局 令和5年度中⼩企業サイバー
セキュリティ対策継続支援事業

文字サイズ
中小企業向けサイバーセキュリティ対策の極意 令和6年度中小企業サイバーセキュリティ社内体制整備事業

公認会計士事務所 F社

セキュリティ規程類の作成とルール化を行い、
セキュリティ対策の見直しと刷新に着手

取り組んだ支援テーマ

  • ネットワーク
    セキュリティ
  • エンドポイント
    セキュリティ
  • モバイルデバイス
  • データ保護
  • セキュリティ意識と
    教育
  • 外部パートナー
    との関係

企業プロフィール

業種 学術研究・専門・技術サービス業
従業員数 ~20名
セキュリティ体制 複数/兼務
事業内容 公認会計事務所として、会計・税務申告などの税務・経理サービスを提供しています。加えて、継続的な財務管理を行うことにより、中長期的な視点での借入戦略を構築し、企業の成長をサポートしています。また、経営者や従業員を対象とした財務教育のセミナーを主催するなど、教育サービスも展開しています。
01

背景と状況

セキュリティ管理体制の刷新と知識習得が課題

矢印
02

課題

セキュリティ対策の全体的な見直しとルール化

矢印
03

取組内容

セキュリティ規程と情報資産管理台帳の作成

矢印
04

結果と今後

ルールを明確化し従業員のセキュリティ教育に注力

Before After 取組を通じたビフォーアフター

beforeグラフ 矢印 afterグラフ

01

背景と状況

コロナ禍を機にセキュリティ管理体制の刷新が必要となったが知識が不足

他業務と兼務の担当者2名での管理 在宅勤務でセキュリティ強化が必要 セキュリティ対策の知識が不足

セキュリティ担当は代表と管理部門の2名が兼務しています。セキュリティ対策は講じていますが、想定されるインシデントに応じた対策はできていません。コロナ禍を機に取引先との面談がオンラインになったことに加え、在宅勤務の導入により、セキュリティの強化が急務となったため本事業に参加しました。

02

セキュリティ課題

現状のセキュリティ対策の見直しと管理体制づくり

当初の課題
セキュリティ規程の評価と修正
セキュリティ機器の保守および運用体制の見直し
セキュリティに関する教育体制の構築
矢印
専門家派遣支援で明らかになった課題
ベンダーとの契約内容が曖昧で責任範囲が不明確
ソフトウェアやサービスのセキュリティ体制の調査
インシデント発生時の連絡体制が不明確

03

取組内容

セキュリティ対策や管理体制を改善しセキュリティ意識を向上

STEP1 STEP1

リスト化した課題から緊急性の高い課題を優先的に着手

本事業の専門家派遣によるヒアリングを受け、自社のセキュリティに関する11件の課題を洗い出しリスト化しました。リスト化した課題に対し、本事業の専門家からのアドバイスを受けながらセキュリティ対策の要否を判断し、緊急性が高い課題を優先的に取り組むことにしました。

STEP2 STEP2

セミナー講師のアドバイスを受け、UTMとサーバのアップデートを実施

UTM(Unified Threat Management)のファームウェアのアップデートについては、機器の導入後から実施していなかったため、すぐに着手しました。本事業のセミナー講師にアップデートのタイミングについて質問したところ、的確なアドバイスを受けることができ、アップデート作業に安心して臨むことができました。

矢印
STEP3 STEP3

ガイドラインを参考にセキュリティ規程と情報資産管理台帳を作成

独立行政法人情報処理推進機構(IPA)の提供する「中小企業の情報セキュリティ対策ガイドライン」をベースにして、自社の業務に合わせて内容を見直すことにより、セキュリティ規程と情報資産管理台帳を作成することにしました。また、セキュリティ業務の文書化により、属人化の解消を進めています。

矢印
STEP4 STEP4

従業員のセキュリティ意識を向上するとともに、情報共有の機会が増加

「中小企業向けサイバーセキュリティ対策の極意」の冊子を貸出図書として共有するほか社内ポータルにも掲載し、従業員のセキュリティ意識向上を図っています。その結果、以前からインシデント発生時に活用していたセキュリティ管理専用チャットでは、ヒヤリハットの周知など情報の共有が増えました。

本事業の専門家派遣を通じて、課題の洗い出しを行い、緊急性が高い課題を優先的に着手しました。セキュリティ機器のアップデートについては、導入後から実施しておらず、本事業の専門家より「早急に実施すべき」と指摘を受けたため、すぐにベンダーに相談しました。ベンダーによるサポートを受ける際には、本事業のセミナー講師から複数の対象機器のアップデートのタイミングなど具体的なアドバイスを受けることができ、非常に参考になりました。同時に、ソフトウェア会社やベンダーに対するセキュリティ管理体制の調査を実施していなかったため、ヒアリングを行うことで、契約内容や対応範囲を再確認することができました。また、社内のセキュリティ規程や各種文書類の見直しを実施した結果、不十分であることが判明したため、セキュリティ規程と情報資産管理台帳を改めて作成しており、令和6年3月に完了する予定です。セキュリティ教育については、本事業で提供を受けた「中小企業向けサイバーセキュリティ対策の極意」の冊子を社内で共有することにより、従業員のセキュリティ意識を高めています。また、セキュリティ意識が高まったことにより、ヒヤリハットやインシデント報告を行うためのセキュリティ管理専用チャットを介して、従業員間での情報交換の機会も増加しています。

04

結果と今後

セキュリティ対策の重要性を再認識。教育は継続検討

社内のセキュリティ対策について見直しをする良い機会となりました。本事業を通じて改めてセキュリティ対策の重要性を再認識するとともに、教育体制の強化に加えて従業員のセキュリティ意識も向上させなければならないという新たな決意が生まれました。今後は、取引先や従業員の増加を見込んでいるため、セキュリティ対策の強化に向けた予算化も前向きに検討していきます。

経営層

経営層の声

当社のような中小企業は、本格的なセキュリティ対策の検討や学習の機会がありません。本事業のセミナーやワークショップで勉強させていただき、実際に取り組める機会をいただき大変参考になりました。本事業については、継続的に取り組んでいただきたいと感じています。

参加者

参加者の声

数多くあるセキュリティ対策の課題から、至急取り組むべき課題なのか否かという優先順位づけができたことにより、やるべきことが明確になりました。さまざまな課題が残されていますが、セミナーやワークショップで学んだ知識を活かして引き続き取り組んでいきます。

事例集TOP