東京都産業労働局 令和5年度中⼩企業サイバー
セキュリティ対策継続支援事業

文字サイズ
中小企業向けサイバーセキュリティ対策の極意 令和6年度中小企業サイバーセキュリティ社内体制整備事業

ITソリューション業 J社

社内の情報資産の整理と継続的な管理方法を確立、
セキュリティ教育の強化を推進

取り組んだ支援テーマ

  • ネットワーク
    セキュリティ
  • エンドポイント
    セキュリティ
  • モバイルデバイス
  • データ保護
  • セキュリティ意識と
    教育
  • 外部パートナー
    との関係

企業プロフィール

業種 情報通信業
従業員数 ~50名
セキュリティ体制 複数/兼務
事業内容 流通小売業に特化したクラウド型の基幹システムを開発、提供するITソリューション企業です。
01

背景と状況

ISO認証を取得済みだが、セキュリティ対策に不安

矢印
02

課題

情報資産の把握と管理、セキュリティ教育の強化

矢印
03

取組内容

情報資産管理やクラウドサービスのセキュリティ対策を検討

矢印
04

結果と今後

情報資産の管理方法やセキュリティ教育を強化

Before After 取組を通じたビフォーアフター

beforeグラフ 矢印 afterグラフ

01

背景と状況

セキュリティ対策には注力しているが、時代に合った対策となっているか不明

セキュリティ委員会による管理体制 ISO/IEC27001認証を取得済み 自社の環境に合った対策か不安あり

情報セキュリティ委員会9名による管理体制です。ISO/IEC27001認証を取得しているほか、各部門長が参加する情報セキュリティ委員会を月1回開催するなど、セキュリティ対策には注力しています。しかし、認証取得から時間が経過しており、現在の環境に合った対策となっているのか不安を感じています。

02

セキュリティ課題

情報資産の把握と管理方法の見直し・社内教育の強化

当初の課題
セキュリティ業務の属人化が進んでいる
情報資産の管理方法の確立が必要
社内のセキュリティ教育体制の強化
矢印
専門家派遣支援で明らかになった課題
OSやセキュリティパッチのアップデート運用見直し
クラウドサービスのセキュリティ対策の確認
リモートワーク環境の評価と見直し

03

取組内容

情報資産管理やクラウドサービスのセキュリティ対策を強化

STEP1 STEP1

セキュリティ対策が必要な課題を洗い出し、優先順位を決定

本事業の専門家派遣により、セキュリティ対策が必要な課題の洗い出しを行いました。その結果、セキュリティに関わる20課題が明確化されました。対策に必要な時間やコストを考慮した上で優先順位をつけ、「情報資産の把握と管理方法の確立」を最優先課題として着手することにしました。

STEP2 STEP2

情報資産の具体的な管理方法を確立して社内ルール化

資産管理ツールの活用により、OSやセキュリティバッチのアップデートを一元管理することに加え、ライセンス管理表も作成し、資産管理の運用について社内ルール化しました。また、スマートフォンの管理のため、MDM(Mobile Device Management)を導入しました。

矢印
STEP3 STEP3

クラウドサービスのセキュリティ対策状況を確認

同社製品であるクラウド型基幹システムのセキュリティ対策について理解を深めるため、本事業の専門家からセキュリティチェックの観点について説明を受けました。また、未導入だったWAFの製品選定に関するアドバイスを受け、導入を検討することにしました。

矢印
STEP4 STEP4

eラーニングの活用などによる社内セキュリティ教育の充実

前年度から取り組んでいる年1回のセキュリティ教育については、さらなる内容の充実を図るため、本事業の専門家からeラーニングの活用や標的型訓練メールの実施などの提案を受け、eラーニングの導入から推進することにしました。

本事業の専門家派遣によりセキュリティに関する20の課題を洗い出し、セキュリティ担当者が重視していた「情報資産の把握と管理方法の確立」を最優先課題として着手することにしました。資産管理ツールを活用した社内PCのOSやセキュリティパッチのアップデートの一元管理に加えて、ライセンスの管理表の作成により、正確かつ効率的な情報資産の棚卸し方法の構築を目指すことにしました。あわせて、同社が顧客に提供しているクラウド型基幹システムに利用している、クラウドサービスのセキュリティ対策状況の確認を行いました。本事業の専門家からセキュリティチェックの観点について説明を受けたほか、Webアプリケーションの脆弱性を突いた攻撃に対するセキュリティ対策の一つであるWAF(Web Application Firewall)製品の導入についてアドバイスを受けました。社内のセキュリティ教育については、独立行政法人情報処理推進機構(IPA)が毎年公開している「情報セキュリティ10大脅威」をもとに実施していますが、さらなる充実を図るため、本事業の専門家からeラーニングの活用や標的型訓練メールの実施などの具体的なアドバイスを受け、eラーニングの導入の検討を前向きに進めることにしました。

04

結果と今後

情報資産の管理方法や社内セキュリティ教育を強化

本事業の専門家からアドバイスを受け、情報資産のアップデート管理方法に対するルール化を進め、セキュリティ規程の見直しも実施しました。新たにMDMの導入も決定し、管理体制強化に向けて前進することができました。さらに、社内セキュリティ教育については、本事業の専門家からのアドバイスをもとに、研修内容を経営層、システム管理者、一般従業員に分けて実施していく方針です。

経営層

経営層の声

外部監査でセキュリティ対策内容の指摘を受けた後も、改善できずにいました。担当者より本事業で学んだ知識を切り口とした継続的な教育体制が構築できたことは、大きな成果となりました。セキュリティに対する脅威の形態に合わせた取組が大切であると再認識しました。

参加者

参加者の声

セキュリティ対策に割けるリソースが限られており、業務が属人化していましたが、本事業の専門家から客観的な評価とセキュリティ対策に関するアドバイスを受けられたことは大きな成果だと感じています。自社の弱みを俯瞰でき、非常に有意義な事業であると感じました。

事例集TOP