東京都産業労働局 令和5年度中⼩企業サイバー
セキュリティ対策継続支援事業

文字サイズ
中小企業向けサイバーセキュリティ対策の極意 令和6年度中小企業サイバーセキュリティ社内体制整備事業

電子機械器具卸売業 G社

事業で習得した知見を活用し、社内のセキュリティ対策やベンダーへの対応力を強化

取り組んだ支援テーマ

  • ネットワーク
    セキュリティ
  • エンドポイント
    セキュリティ
  • モバイルデバイス
  • データ保護
  • セキュリティ意識と
    教育
  • 外部パートナー
    との関係

企業プロフィール

業種 卸売業・小売業
従業員数 ~20名
セキュリティ体制 複数/兼務
事業内容 電子機器の製造受託を行うEMS事業、顧客の要望に基づいた設計・生産を行うODM事業を柱として、事業を展開しています。主な取扱製品は、金融機器、事務機器、交通インフラ機器、情報端末、医療関連機器、モビリティ機器などで、海外の自社工場で製造しています。東京本社のほか、海外に4拠点を持っています。
01

背景と状況

自社のセキュリティ状況を客観的に判断することが困難

矢印
02

課題

セキュリティ知識の向上と強化に向けた体制づくり

矢印
03

取組内容

エンドポイントセキュリティやデータ保護などの対策

矢印
04

結果と今後

必要な対策が明確化され担当者の取組意欲が向上

Before After 取組を通じたビフォーアフター

beforeグラフ 矢印 afterグラフ

01

背景と状況

知識不足や体制未整備により自社のセキュリティ対策に関する客観的な判断が困難

管理部門の2名による管理体制 兼任のためセキュリティ知識が不足 セキュリティ対策の体制整備

セキュリティ担当は管理部門の部長と課長の2名が兼務しています。セキュリティ知識の不足によりベンダーの提案をそのまま受け入れる場合が多く、またデータのバックアップを個人任せにするなど運用ルールも整っていませんでした。自社のセキュリティ状況を客観的に判断できる知識を身につけたいと考え本事業に参加しました。

02

セキュリティ課題

セキュリティ対策の体制づくりとシステムの導入

当初の課題
セキュリティ状況を客観的に判断できる知識の習得
導入するセキュリティシステムなどの客観的評価
個人任せのデータバックアップ運用の整備
矢印
専門家派遣支援で明らかになった課題
EPPの一元管理、持ち出しPCのデータ暗号化が未対応
社内PCなどのアップデート管理が行き届いていない
データのバックアップに関するルールや方針が未整備

03

取組内容

専門家派遣により設定された10課題に対する取組を推進

STEP1 STEP1

セキュリティ課題の洗い出しとリスト化、対策時期を定めた目標設定

本事業の専門家派遣で行ったヒアリングをもとにセキュリティに関わる10課題を洗い出し、対策のリスト化を実施しました。さらに対策の実施時期を定め、優先順位を決めた上で対策に着手することにしました。

STEP2 STEP2

ネットワーク構成図の更新やデータ保護によって対応できる取組を優先的に着手

すぐに対応できる取組として、まずはネットワーク構成図の更新に着手しました。社内データ保護への対応については、社内PCに実装されたツールで暗号化の手順書を作成し、データ保護方法を明文化しました。その他にもデータの廃棄方法や保管場所に関する社内ルールの作成を進めました。

矢印
STEP3 STEP3

EPPの更改やIT資産管理ツールの導入など、予算化が必要な対策の実施

社内PCの一元管理を実現するため、コーポレートタイプのアンチウィルスへの更改やIT資産管理ツール導入に関わる費用の見積り予算化を進めています。重要データのバックアップ方法については、社内ルールや方針の策定を進めました。

矢印
STEP4 STEP4

本年度中の対応とした社内勉強会の実施とともに、今後も継続する対策の確認

社内セキュリティ意識向上のため、独立行政法人情報処理推進機構(IPA)が公開している企業向け教材を参考資料として配布し、社内勉強会を実施しました。その他のモバイルデバイス対策、パートナー企業や利用中のクラウドサービスの責任範囲に関する課題は来期以降の取組としました。

本事業の専門家派遣でヒアリングを実施し、エンドポイントセキュリティ・データ保護・セキュリティ意識を中心にセキュリティに関わる10課題を洗い出し、進め方を検討しました。まず、時間と費用をかけずに対応できる取組から優先的に着手し、次のステップとして、担当者が重要な取組と位置づけた「EPP(Endpoint Protection Platform)のコーポレートタイプへの更改」「IT資産管理ツールの導入」「データバックアップの社内ルール化」を進めることにしました。この中には費用のかかるものもあるため、内容と費用の精査を行い予算化を検討しています。同社の取引先には大手企業が多く、BCP(事業継続計画)の取組についてヒアリングを受けることがあるため、その対策強化にもつながると考えています。また、セミナー・ワークショップへの参加を通じてセキュリティに関する知識を習得し、パートナーであるベンダーへの対応力向上にも努めました。さらに、データバックアップのルール化を進めるにあたり、セキュリティ規程の整備を行うとともに、社内勉強会を実施しています。これらの取組により、社内のセキュリティ状況の把握ができたとともに、ITシステムやツールの導入、社内のセキュリティ意識向上など対策強化を図りました。

04

結果と今後

セキュリティ課題の明確化が具体的なアクションに

本事業によりセキュリティに関する課題が明確化され、具体的なアクションができました。自社の状況に合わせたソフトウェアやツールの導入の検討、データバックアップやセキュリティ対策に関する社内勉強会も実施するなど、目標の9割以上が達成できたと担当者は考えています。セキュリティ対策の強化は取引先の信頼度のアップにもつながる見込みで、今後も継続して取り組む予定です。

経営層

経営層の声

セキュリティ対策は当社の重要課題の一つと捉えており、東京都の支援でこのような事業に参加させていただき感謝しています。担当者から足りていなかったセキュリティ対策に関する提案を受け、事業の成果を実感しています。今後もセキュリティ対策を強化していきます。

参加者

参加者の声

これまでセキュリティ対策は、曖昧に進めていた部分がありましたが、やるべきことが明確になり、能動的にアクションを起こせるようになりました。セキュリティに対する意識が高まり、それを社内全体に広げていくことができたことも成果の一つであると感じています。

事例集TOP