東京都産業労働局 令和5年度中⼩企業サイバー
セキュリティ対策継続支援事業

文字サイズ

精密機器輸送業 M社

実効性のあるセキュリティ対策を実現するため、
運用管理の強化を図る取組を推進

取り組んだ支援テーマ

  • ネットワーク
    セキュリティ
  • エンドポイント
    セキュリティ
  • モバイルデバイス
  • データ保護
  • セキュリティ意識と
    教育
  • 外部パートナー
    との関係

企業プロフィール

業種 情報通信業
従業員数 ~100名
セキュリティ体制 複数/兼務
事業内容 高度な精密機械の輸送、運搬サービスを展開している企業です。取引先から請け負った輸送業務に加え、特殊な環境下での精密機械の設置業務を行っています。また、対象製品の輸送に関わるシステムの開発も手掛けるなど、先端技術に関わる領域で事業を展開しています。
01

背景と状況

セキュリティ対策を積極的に推進

矢印
02

課題

セキュリティ対策の運用ルールや管理が不十分

矢印
03

取組内容

対策やルールの運用開始と情報資産管理台帳の作成

矢印
04

結果と今後

セキュリティ実装計画をもとに対策を推進

Before After 取組を通じたビフォーアフター

beforeグラフ 矢印 afterグラフ

01

背景と状況

各種セキュリティ製品の導入やセキュリティ規程の整備を積極的に推進

経営層はセキュリティ対策に協力的 各種セキュリティ製品は導入済み 担当者は経験が浅く、知識が不足

経営層はセキュリティ対策やコストについての理解があり、各種セキュリティ製品などの整備を進めています。セキュリティ担当者は、情報システム部門の責任者を含め複数名いますが、令和5年4月に着任した担当者1名が実作業を行う管理体制です。担当者は日頃からセキュリティ対策の情報収集を行っています。

02

セキュリティ課題

導入済みのセキュリティ製品など各種対策の運用

当初の課題
担当者のセキュリティ知識やスキルの向上
不足している対策の把握および評価
矢印
専門家派遣支援で明らかになった課題
ネットワークログに関する情報の把握
ネットワーク機器に関するアップデートの定期運用
情報資産管理台帳の作成

03

取組内容

セキュリティ製品や規程類の運用と情報資産の可視化

STEP1 STEP1

UTMから取得するネットワークログに関する情報収集や管理を優先的に着手

本事業の専門家より「UTMから取得するネットワークログの情報把握」と「ネットワーク機器の運用管理」について指摘を受けました。そのため、UTMから取得できるログの種類や管理方法に関する知識を習得するとともに、ベンダーと相談しながらログを活用した運用管理の明確化を進めました。

STEP2 STEP2

セキュリティ規程の定期的な見直しをルール化

セキュリティ規程について、新たな規程を盛り込む際のルールや定期的な見直しタイミングが定められていなかったため、四半期に1回の頻度で見直す方針を決定し、運用面での対策を強化しました。

矢印
STEP3 STEP3

社内の情報資産の把握・管理を目的に、情報資産管理台帳の整備に着手

本事業のセミナー・ワークショップを通じて得た知識を活かして、情報資産の洗い出しやリスク分析を開始し、情報資産管理台帳の整備に着手しました。ワークショップで他社のセキュリティリスクに対する具体的な対策や考え方などを聞くこともできたため、非常に参考になりました。

矢印
STEP4 STEP4

中長期で取り組むセキュリティ課題を可視化する「セキュリティ実装計画」を作成

本事業により優先的に取り組むことになったセキュリティ課題の対応を進めるとともに、新たに顕在化した課題や中長期で取り組む必要がある課題については、本事業のセミナーの中で紹介されたフレームワークを参考に、「セキュリティ実装計画」として可視化し、今後の取組方針を明確化しました。

本事業の専門家によるヒアリングの結果、UTM(Unified Threat Management)などのセキュリティ対策は一通りできているという評価を受けました。一方、ログを活用した運用管理については、「UTMから取得するネットワークログに関する情報を把握できていない」、「ネットワーク機器のアップデート管理が行われていない」などの課題が明確になったため、本事業の専門家からアドバイスを受け、優先的に着手することにしました。また、セキュリティ規程については、新たな規程を盛り込む際のルールや定期的な見直しタイミングが定められていなかったため、四半期に一度見直しを行うことをルール化し、運用面での対策を強化しました。情報資産管理台帳の作成については、本事業のセミナーやワークショップでの取組を活かして着手し始めましたが、他部門の協力を得ながら情報資産の洗い出しを進めていく必要があるため、まずは自部門の整理から進め、来年度以降も継続して作成していくことにしました。
さらに、「情報資産の整理」、「インシデント対応フローの作成」といった今回の取組で新たに顕在化した課題や、「ISMS認証取得」といった中長期で取り組むことが必要な課題に継続して対応するために、「セキュリティ実装計画」も作成しました。

04

結果と今後

今後はISMS認証取得も視野に計画を推進

本事業でのさまざまな取組により、「セキュリティ実装計画」を作成できたことは大きな成果となりました。
大手の取引先や官公庁からは高い基準でのセキュリティ対策を求められることも多く、セキュリティ製品やセキュリティ規程の実効性を高めるためにも、運用管理の徹底などの取組を強化していきます。将来的なISMS認証取得を視野に入れ、セキュリティ対策強化を継続していきます。

経営層

経営層の声

セキュリティ対策については、インシデントが起こらない状況こそが正常な状態であるため、ともすればセキュリティに対する意識が低くなりがちです。本事業終了後も取引先にとっての信頼材料となるように、セキュリティ対策の強化に取り組んでいきたいと考えています。

参加者

参加者の声

基本的なセキュリティ対策を整備した後の取組が不明確でしたが、具体的な対策が見えてきました。自分自身もセキュリティ対策について考える機会が増えてきており、今後は本事業を通じて得られた知見を組織全体に共有するため、継続して取り組んでいきます。