東京都産業労働局 令和5年度中⼩企業サイバー
セキュリティ対策継続支援事業

文字サイズ

人材サービス業 N社

ベンダー依存型のセキュリティ対策から脱却
全従業員で取り組むセキュリティ管理体制を構築

取り組んだ支援テーマ

  • ネットワーク
    セキュリティ
  • エンドポイント
    セキュリティ
  • モバイルデバイス
  • データ保護
  • セキュリティ意識と
    教育
  • 外部パートナー
    との関係

企業プロフィール

業種 人材サービス業
従業員数 ~100名
セキュリティ体制 1名体制/兼務
事業内容 高度専門人材を活用し、企業のブランド向上や製品の販促といったBPO業務を担当する企業です。ショールームやオフィスといった常設施設、博覧会・イベントコンベンション・各種プロモーションなどが活動領域です。運営管理、人材育成・研修、コンサルティング業務を行っています。ニーズに沿ったキャスティングに強みがあります。
01

背景と状況

担当者にセキュリティに関する専門的な知識がない

矢印
02

課題

ベンダー任せの保守運用に不安あり

矢印
03

取組内容

課題を解決しつつセキュリティ対策の知識を習得

矢印
04

結果と今後

ベンダーの提案を理解し意見を述べることが可能に

Before After 取組を通じたビフォーアフター

beforeグラフ 矢印 afterグラフ

01

背景と状況

セキュリティの専門知識がなく不安なままベンダー任せのセキュリティ対策を実行

セキュリティの専門的な知識がない 保守運用はベンダーに一任  セキュリティ規程の運用が不十分

ベンダーに保守運用を一任していますが、セキュリティ担当者にその内容を精査・検証する知見がなく、正しい対策ができているのか不安を感じています。セキュリティ規程は作成されていますが、十分に運用されていません。従業員教育としては、年間計画の従業員研修にセキュリティ対策の内容を盛り込んでいます。

02

セキュリティ課題

担当者の知識不足から生じるベンダーへの依存を懸念

当初の課題
ベンダーへの依存度が高すぎることに不安を感じる
セキュリティ規程が十分に運用されていない
従業員へのセキュリティ教育と知識の共有が不十分
矢印
専門家派遣支援で明らかになった課題
クラウドサービス利用時の多要素認証が未導入
情報資産管理台帳の整理ができておらず見直しが必要
ネットワークログを取得していないためリスクがある

03

取組内容

リスクの大きい課題から改善に着手しつつ知識を吸収

STEP1 STEP1

課題の可視化

本事業の専門家派遣において、セキュリティ対策の現状を確認し、「保守運用に関してベンダーへの依存度が高い」、「セキュリティ規程および情報資産管理台帳の運用が行われていない」、といった課題を洗い出しました。

STEP2 STEP2

課題解決に向けた優先順位の決定

洗い出した課題をリスト化して、解決に向けた優先順位を決定しました。当初、セキュリティ担当者は体系的な知識を得るというステップを経てから実務的な対策に移行することを考えていましたが、本事業の専門家のアドバイスにより、早期の解決が必要なセキュリティ対策を優先することとしました。

矢印
STEP3 STEP3

リスクの大きい実務的な課題から一つずつ改善

まず、ベンダーに一任していた脆弱性情報の能動的な収集を行いました。社内に向けて定期的に脆弱性情報を提供するようになると、従業員の危機意識が高まり担当者への問い合わせが増えました。また、ネットワークログの収集・監視を開始し、多要素認証の導入についても前向きに検討し始めました。

矢印
STEP4 STEP4

セキュリティ規程と情報資産管理台帳の評価と修正に着手

長期間メンテナンスしていなかったセキュリティ規程に関しては、独立行政法人情報処理推進機構(IPA)のひな型と照らし合わせて評価・修正を開始しました。また、情報資産管理台帳に関しては、本事業のワークショップで学んだ内容を参考に、不足している部分を追加する形で少しずつ修正作業を進めています。

本事業の専門家派遣において、課題の洗い出しを実施しました。「セキュリティ担当者に専門的な知識がなく不安を感じている」、「ベンダーに一任している保守運用で正しい対策ができているか否かの判断がつかない」、「SECURITY ACTION(二つ星)の宣言時にプライバシーマーク(Pマーク)の規程と照らし合わせて作成したセキュリティ規程がメンテナンスできていない」、といった課題を可視化し、一つ一つのテーマごとに解決に向けた方策を練っていきました。担当者は当初セキュリティに関する体系的な知識を吸収しなければ課題を解決できないと考えていましたが、「リスクの大きい課題から実務的に解決すべき」と本事業の専門家に指摘され、すぐに着手できる課題から改善を目指すことにしました。ベンダーから提供されている脆弱性情報を自社で能動的に収集するようになったほか、サーバ入替時にアクセスログの取得を開始するとともに、クラウドサービス利用時の多要素認証の導入も検討しました。セキュリティ規程に関しては、現状の規程を点検した上で、将来的に全従業員を巻き込んで運用していくことを決定しました。情報資産管理台帳についても、各部の担当者による記入項目の漏れなどを確認した上で、全社的に運用していく方向性を定めました。

04

結果と今後

全従業員でセキュリティ対策に取り組む企業へ

本事業の専門家派遣やセミナー・ワークショップを通じて専門的な知識を身につけたことで、ベンダーからの提案を正しく理解し、意見を述べたり疑問を呈したりすることができるようになりました。セキュリティ規程および情報資産管理台帳の評価・修正については、来年度よりさらに本格的に着手する予定です。将来的には、全従業員を巻き込む形で運用していくことを目指しています。

経営層

経営層の声

当社の事業において必要な情報セキュリティ管理体制・対策づくりを組織的に推進していく機会となりました。取組から運用に移行し、結果が出るのはこれからですが、変化し続ける環境に対応しながら、今後も継続的に取り組んで参ります。

参加者

参加者の声

本事業のセミナーやワークショップは、回を重ねるごとに専門用語などがわかるようになり、とても勉強になりました。他社の参加者と交流し、当社と同様に他業務との兼務で悩みながら努力している方たちがいることを知り、モチベーションの維持と向上につながりました。