東京都産業労働局 令和5年度中⼩企業サイバー
セキュリティ対策継続支援事業

文字サイズ
中小企業向けサイバーセキュリティ対策の極意 令和6年度中小企業サイバーセキュリティ社内体制整備事業

機械設計技術サービス K社

セキュリティ規程やインシデント対応フローの
明文化でセキュリティ業務の属人化を解消

取り組んだ支援テーマ

  • ネットワーク
    セキュリティ
  • エンドポイント
    セキュリティ
  • モバイルデバイス
  • データ保護
  • セキュリティ意識と
    教育
  • 外部パートナー
    との関係

企業プロフィール

業種 学術研究・専門・技術サービス業
従業員数 ~50名
セキュリティ体制 複数/兼務
事業内容 設計段階の製品・構造物に対して生じる物理現象をコンピュータ上で解析するCAEを通じた設計支援やその受託解析を展開する企業です。官公庁や研究開発部門から高度な解析業務も請け負っています。また、エンジニアリングやジョブ管理など業務システムのインフラ構築・保守・運用なども行っています。
01

背景と状況

セキュリティ対策の属人化解消と知識向上

矢印
02

課題

セキュリティ規程とインシデント対応ルールの作成

矢印
03

取組内容

セキュリティ規程を作成し社内共有およびフロー化

矢印
04

結果と今後

ISMS認証取得に向けてセキュリティ対策を継続

Before After 取組を通じたビフォーアフター

beforeグラフ 矢印 afterグラフ

01

背景と状況

ISMS認証取得に向けてセキュリティ環境の改善と知識の取得が必要

セキュリティ対策への意識は高い ISMS認証取得を目標にしている セキュリティ知識習得とスキル向上が必要

ネットワーク機器やセキュリティ関連ソフトウェアのアップデートなど、セキュリティ対策には留意している一方で、セキュリティ業務の属人化が課題でした。将来的にISMS認証取得を目指しているため、さらなるセキュリティ強化に向けたスキル向上や知識の習得を図りたいと考え、本事業に参加しました。

02

セキュリティ課題

セキュリティ規程の明文化と対策の見直しが不可欠

当初の課題
実施しているセキュリティ対策の評価・見直しが不足
社内セキュリティ規程が明文化されていない
UTMの機能が十分に活用できていない
矢印
専門家派遣支援で明らかになった課題
インシデントやヒヤリハットの収集・周知フロー確立
セキュリティ製品の取り扱いや運用についての文書化
従業員に対するセキュリティ理解度の定期的な確認

03

取組内容

セキュリティ意識の向上と社内教育の強化を推進

STEP1 STEP1

セキュリティ課題のリスト化を行い、より注力すべき課題を選択

本事業の専門家によるヒアリングを行い、12点のセキュリティ課題のリスト化を行いました。その中でも「セキュリティ対策の評価・見直し」や「セキュリティ規程の作成」につながっていく課題を優先的に取り組むことにしました。

STEP2 STEP2

セキュリティ規程のサンプルを参考にして自社の現場レベルまで落とし込み

セキュリティ規程を作成するにあたり、本事業の専門家から提供を受けたIPAが公開しているセキュリティ規程のサンプルを参考にしました。規程に盛り込むべきところを明確化し、セキュリティ製品の管理画面へのログイン方法や取り扱い方法について、文書化を行いました。

矢印
STEP3 STEP3

ISMS認証取得を意識しながら、必要な対応方針の検討を実施

将来的なISMS認証取得を意識しながら、セキュリティ規程や対策の修正作業を進めています。ISMS認証取得に向けては、他にも必要な検討項目があることもわかり、情報資産管理台帳の作成やリスクの洗い出しと分類を行いながら、現場レベルで必要なリスク対策の検討を行っています。

矢印
STEP4 STEP4

チェックシートを用いて、ルールや対応フローの理解度を確認

社内のセキュリティリテラシーを高めるために定期的に行っている勉強会のあとに、チェックシートを用いて従業員の理解度と定着度の確認をすることにしました。また、セキュリティに関する年間スケジュールを作成し、ISMS認証の取得スケジュールやリソースの検討も行っていく予定です。

本事業の専門家ヒアリングを通じて12点の課題が挙がりました。その中から目標としている「ISMS認証取得」につながる課題に絞り込み、対策を策定しました。具体的には、独立行政法人情報処理推進機構(IPA)が公開しているセキュリティ規程のサンプルを参考に必要な情報を集約し、現場レベルでのルールや管理体制を整理しました。セキュリティ製品の取り扱いや運用方法を文書化することにより、業務の属人化を回避することが目的です。また、何らかのトラブルが発生した際に作業内容の振り返りも行えるようになりました。同時に、セキュリティ規程の修正や従業員への教育などを定期的な活動とするために、年間を通したセキュリティ対策のスケジュールを作成中です。その他、定期的に行っている勉強会後に、チェックシートを用いて理解度と定着度を確認することにより、社内に残存しているセキュリティリスクをチェックできるようにしています。課題であったインシデント対応に関しては、オープンソースの管理ツールを用いて管理しています。インシデントやヒヤリハットの収集や周知に関しては、各従業員が書き込むようにすることにより、過去の対応を検索し、履歴を確認できるようになりました。

04

結果と今後

セキュリティ状況を把握し明文化とフロー化を実施

本事業の取組により、改めて社内のセキュリティ状況を把握し、セキュリティ規程の明文化およびフロー化を実施することができました。目標としていた「ISMS認証取得」に必要なセキュリティ対策の基礎的な部分は取り組むことができたと考えています。また、本事業を機に、新たに2名の従業員がセキュリティ担当に着任することが決まり、継続してセキュリティ対策の強化に取り組みます。

経営層

経営層の声

本事業でセキュリティ業務の明文化およびフロー化を実施したことで、社内の他の業務でも同様の標準化を進めることができました。その点を高く評価しています。また、以前導入した機器に関しても、本事業の専門家から活用方法を的確に明示いただいたことも感謝しています。

参加者

参加者の声

セミナー・ワークショップで最新の技術や知識を習得し、他社と意見交換できたことは刺激になりました。また、既存のセキュリティ製品を応用することにより、予算を抑えつつ不足部分をカバーできる方法など実践的な内容を学習できたことも本事業の成果だと感じています。

事例集TOP