東京都産業労働局 令和5年度中⼩企業サイバー
セキュリティ対策継続支援事業

文字サイズ
中小企業向けサイバーセキュリティ対策の極意 令和6年度中小企業サイバーセキュリティ社内体制整備事業

事業での取組

1 セミナー 全10回

セキュリティ対策の知識だけでなく、役割の違いやDXの推進といった、今後の中小企業のセキュリティを担う中心人物の育成を目指し、「セキュリティ担当の役割理解」、「セキュリティ関係の知識強化」、「今後のアクション」とステップを分けて全10回のセミナーを行いました。

2 ワークショップ 全10回

ワークショップはセミナーと同日開催で全10回、5~6名のグループ形式で行いました。多様なセキュリティ課題を疑似体験することで、未知の課題にも対応できるようになることを目指し、セミナーで得た知識をもとに、グループメンバーで課題や取組事例、問題点を共有し、他社の事例に対して全員で対策を検討・議論しました。

第1回

セミナー

サイバーセキュリティを取り巻く環境、および中小企業に求められるセキュリティ対策

ワークショップ

自社で活用しているIT及び実施できているセキュリティ対策やセキュリティ課題と対策について整理する

第2回

セミナー

これからの企業経営で必要な守りのIT投資と攻めのIT投資
経営投資としてのサイバーセキュリティ対策

ワークショップ

仮想会社の取組に対するリスクを明確化し、具体的な対応策として攻めと守りのIT戦略を議論し、具体的な提案を整理する

第3回

セミナー

サイバーセキュリティに関する国の方針、施策およびサイバー脅威の動向

ワークショップ

10大脅威の脆弱性がどのようなものかを理解し、対応策を講じる

第4回

セミナー

サイバーセキュリティ対策を進めるうえで活用できるフレームワーク

ワークショップ

ISMSの管理手順の作り方の1つを理解する

第5回

セミナー

セキュリティ対策基準の策定
脅威、脆弱性、リスクの定義および関係性

ワークショップ

情報資産台帳の作り方を理解する

第6回

セミナー

リスクの特定、評価について理解し、対策案を立てる

ワークショップ

リスクの特定、評価について理解し、対策案を立てられるようになる

第7回

セミナー

インシデント対応計画の策定をしよう
クイックアプローチ/ベースラインアプローチ

ワークショップ

インシデント対応計画の策定ができるようになる

第8回

セミナー

インシデントレスポンスの対応について理解する
実施手順・実施者マニュアル

ワークショップ

インシデントレスポンスの対応について理解する

第9回

セミナー

インシデントレスポンスの事後活動について理解する

ワークショップ

インシデントハンドリングの対応を理解する

第10回

セミナー

全体総括
振り返りと今後のアクションについて

ワークショップ

今後の改善点やワークショップ内でのメリット・デメリットを共有し、今後の情報セキュリティ対策に活かす

3 専門家派遣 1社につき全4回

参加企業の皆様がワークショップで洗い出した課題や、企業が直面しているセキュリティ上の問題点解決へ向け、多様な得意分野を持つ専門家(ネットワーク設計・構築などの技術分野での経験、リスク分析、セキュリティ事故対応や再発防止策の検証、監査、セキュリティ教育、各種セミナー・支援の講師経験など)が、セミナー・ワークショップで得た気づきや知識を活かし、参加企業の皆様が自ら対策を立案できるようサポートしました。

第1回

専門家が6セクション、23項目からなる調査表を使用して、自社のセキュリティ状況を網羅的にヒアリングを実施。

第2回

第1回のヒアリング結果を元に企業の現状のセキュリティ課題をセクション毎に0~5ポイントで評価して企業にフィードバック。企業の改善計画立案をサポート。

第3回

第2回で立案した計画の進捗状況をチェック。個別課題を進めるにあたっての参考資料の把握と対応方針の検討、改善計画着手後に表出した課題や疑問点にも丁寧に対応します。

第4回

専門家派遣実施後の取組成果を確認。また次年度に向けた課題の洗い出しと目標設定、計画書作成の提案、継続的なセキュリティ改善を行う上で必要な活動の紹介・課題化など、各企業の自立に向けたお手伝いを実施します。

参加企業のセキュリティ体制と
支援テーマ

アンケート

本事業の参加者に対して、支援終了後にアンケート調査を実施いたしました。

事業全体の満足度

本事業の支援内容はいかがでしたか?

本事業全体の満足度については、83%の参加者が「満足」を、17%が「どちらかと言えば満足」と回答した。また、支援内容に関しては、セミナーと専門家派遣が有効であると感じた参加者が最も多かった。

事業参加前と比べて貴社の情報セキュリティレベルは向上しましたか?

事業に参加した企業の93.3%が、事業参加前と比べて情報セキュリティレベルが向上したと回答した。向上した理由として、自社に必要な対策の向上を挙げた企業が最も多く、続いて従業員への教育やセキュリティ体制の強化が挙げられた。またその他として、システム担当者の情報セキュリティの知識レベルの大幅な向上や、課題の明確化などがあった。

本事業を通じて取り組んだことは何ですか

本事業を通じて、全参加企業がネットワークセキュリティに関する取組を行っている。この項目ではUTM等のネットワーク機器のアップデートやログの保管期間の見直しなど、管理強化がテーマとなっており、中小企業にとって最も取組が必要な項目だと考えられる。
次に多かった取組は「セキュリティ意識と教育に関する取組」(93.3%)であった。このテーマでは、定期的なセキュリティ教育の計画策定や最新の攻撃手法を盛り込んだ訓練などの具体的な教育内容の検討、情報セキュリティ規程の整備や具体的なルールなどを定めたガイドラインの策定、インシデント発生時の対応フローの作成や対応体制づくりなどに取り組んだ企業が多かった。
「エンドポイントセキュリティに関する取組」(90.0%)では、OSやウイルス対策ソフトウェアのアップデートの管理や資産管理の強化などの取組を行った。参加企業の多くが本事業を通じて情報セキュリティの向上に取り組むことができ、またその成果が出ていると言える。

事例集TOP