東京都産業労働局 令和5年度中⼩企業サイバー
セキュリティ対策継続支援事業

文字サイズ

労務コンサルタント業 H社

機密情報を守るため、セキュリティ対策の
運用管理を自社で行う体制へ

取り組んだ支援テーマ

  • ネットワーク
    セキュリティ
  • エンドポイント
    セキュリティ
  • モバイルデバイス
  • データ保護
  • セキュリティ意識と
    教育
  • 外部パートナー
    との関係

企業プロフィール

業種 サービス業
従業員数 ~50名
セキュリティ体制 複数/兼務/経営者
事業内容 関連会社である社会保険労務士法人と連携し、人事労務コンサルティングサービスを提供する企業です。取引先の労務相談や給与計算、社会保険や雇用保険などの手続きに関するアウトソーシング業務を行うほか、各種手続きに必要なオンライン申請向けソフトウェアの開発・販売なども行っています。
01

背景と状況

関連会社と共同でセキュリティ対策を推進

矢印
02

課題

ネットワークセキュリティの管理体制の強化

矢印
03

取組内容

ウェブサービスやUTMに関する自社管理体制の構築

矢印
04

結果と今後

知識の向上により、取引先からの信頼につながる見込み

Before After 取組を通じたビフォーアフター

beforeグラフ 矢印 afterグラフ

01

背景と状況

関連会社の社会保険労務士法人と共同でセキュリティ対策を推進

関連法人と連携し2名による管理体制 関連法人はISMS認証取得済み セキュリティ教育を定期的に実施

セキュリティ対策に関しては、ISMS認証取得済みの関連法人と連携し、担当者2名により対応しています。ISMSに準じたセキュリティ規程の作成と更新に加え、セキュリティ教育も定期的に実施しています。身近な企業がランサムウェアの被害を受けたため、セキュリティ対策の強化を図りたいと考え本事業に参加しました。

02

セキュリティ課題

ネットワークセキュリティの管理体制の強化

当初の課題
セキュリティ対策に関する従業員教育の不足
セキュリティ管理体制の強化に向けた人材育成
セキュリティ機器の管理・運用がベンダー任せ
矢印
専門家派遣支援で明らかになった課題
ウェブサービスのセキュリティ対策の強化
セキュリティ機器のログ情報取得と管理体制の構築
重要データのバックアップ運用の強化

03

取組内容

ウェブサービスやUTMなどの自社管理体制の構築

STEP1 STEP1

自社で提供しているウェブサービスに関するパスワード管理体制の確認

自社で提供しているオンライン申請サービスにおいては、機密性の高い情報を取り扱うため、パスワード管理に関するルールを策定する必要がありました。退職者などによる不正アクセス防止のため、社内で使用するパスワードの定期的な変更などのルールを明文化するとともに、定期的な更新を実施することにしました。

STEP2 STEP2

UTMのネットワークログの取得と管理体制の構築

東京都「令和3年度中小企業サイバーセキュリティ向上支援事業」に参加した際に設置したUTMに関して、アップデート状況を確認しました。また、本事業の専門家からのアドバイスにより、ネットワークログの取得および管理体制の構築を実施することにしました。

矢印
STEP3 STEP3

バックアップ頻度の見直しやクラウド活用によるバックアップ運用の強化を検討

取引先に関する重要なデータは、複数拠点に設置しているファイルサーバで世代管理されているものの、マルウェアに感染した場合には、複数拠点のファイルサーバが同時感染するリスクがあります。そのため、バックアップの頻度の見直しやクラウドサービスの活用などによるバックアップ運用の強化の検討を進めています。

矢印
STEP4 STEP4

リモートワークにおけるVPN利用に関するルールを策定し、運用を開始

従業員がリモートワークで業務に対応するため、社内LANへのVPN接続におけるリスクを可視化し、セキュリティ対策を検討しました。その結果、VPNアカウントの共有禁止など具体的な項目を盛り込んだルールを策定し、運用を開始しました。

取引先に関する機密性の高い情報を取り扱っているため、本事業の専門家派遣でセキュリティ対策が必要な課題をリスト化しました。その結果、自社で提供しているオンライン申請のウェブサービスやオンラインシステムに関するセキュリティ仕様の確認と、社内で使用しているパスワードの管理に関するルールの策定および運用改善に着手しました。また、以前導入したUTM(Unified Threat Management)のファームウェアのアップデート状況については、ベンダー側の定期更新により最新化されていることを確認しました。インシデント発生時にはベンダーから通知がくることを確認しましたが、自社でもネットワークログを取得し管理していく方針です。さらに、取引先に関する重要なデータについては、本社およびその他の拠点に設置しているファイルサーバで世代管理されているものの、マルウェアによる複数拠点の同時感染などを考慮したバックアップ運用の見直しが課題となっていました。そこで、クラウドサービスを活用したバックアップ運用などの検討を進めています。このほか、リモートワーク環境下で社内LANに接続するためのVPN(Virtual Private Network)のアカウント管理についてもルール化し、運用を開始しました。

04

結果と今後

知識の向上により取引先からの信頼につながる見込み

本事業のセミナーやワークショップに参加し、セキュリティに関する知識や他社の取組状況に関する情報を得たことにより、担当者のセキュリティ知識が向上しました。本事業の専門家によるアドバイスに基づいて取組を進めた結果、各対策の目的を理解することができました。今後も自社の業務に合わせたセキュリティ対策の検討や、取引先からの監査への対応に活用していきます。

経営層

経営層としての声

本事業のセミナーに代理出席した際には、内容が非常にわかりやすく、グループワークが中心のワークショップでは他社との会話が参考になりました。今後は推進するセキュリティ対策のレベルを検討する必要があるため、本事業で得た知識を活かしていきたいと考えています。

参加者としての声

セキュリティ対策を推進することにより、サイバー攻撃などのセキュリティリスクを下げることができることを改めて実感しています。身近な企業がランサムウェアの被害を受けたこともあり、限られた条件においても有効な対策を進めていきたいと考えています。