アンケート・ヒアリング調査の結果

当事業ではセキュリティ対策点検と、セキュリティ情報発信・提供の2つの支援を実施いたしました。令和6年度に当事業へ参加くださった企業様へのアンケート・ヒアリング結果を基に当事業をご紹介いたしますので、ぜひご覧くださいませ。

１．事業概要

当事業は都内中小企業がセキュリティ対策の継続的な実践や、定期的な見直しが出来るようサポートする事業です。専門家派遣による「セキュリティ対策点検」と、メルマガやセミナーによる「セキュリティ情報発信・提供」の2つの支援を実施いたしました。
支援内容詳細については、下記の事業紹介ページをご確認ください。
https://follow-up.metro.tokyo.lg.jp/about/

２．セキュリティ対策点検

■参加企業情報

セキュリティ対策点検の対象は主に、過去にサイバーセキュリティ対策関連事業に参加された企業となっていますが、今年度は初めてサイバーセキュリティ対策関連事業に参加される企業も多く、おおよそ半数の企業が初参加企業となりました。

■アンケート結果より

「満足」と回答された方の声
●次の課題が明確になってよかった。
●現状のセキュリティ対策が、自社に合った対策になっているのか相談ができた。
●以前参加した事業の復習ができた。

■ヒアリングより(1回コース)

A社（進化し続けるセキュリティ、次のステップへ）

セキュリティ対策状況：
過去にサイバーセキュリティ関連事業に参加。UTMを導入するなど基本的なセキュリティ対策を実施している企業。

参加の背景：
昨年、サイバーセキュリティ対策継続支援事業(現：社内体制整備事業)に参加しましたが、昨今サイバー攻撃がますます激しくなっているため、自社のセキュリティ状況が実情に即しているのか点検したく参加しました。

参加しての変化：
昨年度の研修内容の振返りが出来たことや、実情に即したセキュリティ対策にするためのアドバイス等をいただくことができました。今後取り組むべき課題が明確になり、まずは月1回の社内教育の実施を始めました。

今後実施していきたい対策：
ISMSの認証申請を進めたいと考えています。コンサルを導入し、繁忙期を終えたら本格的に進める予定です。

B社（高い意欲で、着実に守りを固める）

セキュリティ対策状況：
数年前に東京都のサイバーセキュリティ関連事業に参加し、情報セキュリティ規程などの基盤を整えている企業。

参加の背景：
代表取締役社長がサイバーセキュリティ対策に意欲を持っており、社として積極的にセキュリティ対策に取り組んでいます。しかし自社内だけで具体的な対策を進めるのは難しく、専門家からアドバイスをいただける良い機会だと考え、参加いたしました。

参加しての変化：
専門家から、実行可能な現実的な対策のアドバイスをいただけたため、まずは社内教育の実施を始めました。具体的には、eラーニングで社員がフィッシング詐欺などについて学べる環境を用意し、学習を始めています。

今後実施していきたい対策：
専門家からのアドバイスの１つに、インシデントが起きた後の対応の策定がありました。こちらはまだ取り掛かり始めたところですが、セキュリティ推進担当として目標を持って積極的に取り組んでいます。

■ヒアリングより(3回コース)

C社(自社に合わせた最適解で、確実な守りを実現)

セキュリティ対策状況：
過去に東京都のサイバーセキュリティ関連事業に参加。そこで定めたセキュリティ規程を基にセキュリティ対策に継続的に取り組んでいる企業。

参加の背景：
令和4年度サイバーセキュリティ向上支援事業に参加しました。過去に支援を受けてから約3年が経過するタイミングであったため、点検を目的に参加しました。

参加しての変化：
専門家が自社の環境に合わせて過不足なくリスクアセスメントを実施くださったおかげで、自社に適した範囲での今後のセキュリティ対策の見通しを立てることができました。

今後実施していきたい対策：
まずは年度内に自己点検を行い、専門家からのアドバイスを基にルールの見直しを進めます。技術的な対策(EDR等のシステム)の導入についても、将来的には検討していきたいと考えています。

D社（柔軟な対応で、セキュリティを段階的に強化）

セキュリティ対策状況：
過去に東京都のサイバーセキュリティ関連事業に参加。UTMを導入するなど基本的なセキュリティ対策を実施している企業。

参加の背景：
令和５年度サイバーセキュリティ向上支援事業に参加しリスクアセスメントの支援を受けたものの、どこから取り掛かれば良いかわからず困っていました。さらに大手顧客からのセキュリティ対策要求水準が高まってきており、体制構築が急務と考え参加しました。

参加しての変化：
専門家からは教科書的なセキュリティ対策だけでなく、これまでの経験則から従業員や、当社全体を考慮してアドバイスをいただけたように感じます。当社で出来る対応から始めつつ、徐々にセキュリティのレベルを上げていくイメージを持つことが出来ました。

今後実施していきたい対策：
SECURITY ACTION二つ星宣言を年度内に実施する予定です。EDRの導入やインシデント対応の訓練についても検討していますが、まずは出来るところから着実にステップアップしていきたいと思います。

３．セキュリティ情報発信・提供

■アンケート結果より

「非常に満足している」と回答された方の声
●サイバーセキュリティに関する知識が乏しい為、勉強になりました。
●ポイントが整理されていて、理解しやすかった。
●事例の紹介があり、実際の被害の状況が理解出来た。

■ヒアリングより

E社セミナー参加企業（攻撃後の対応が、勝負の分かれ目）

セキュリティ対策状況：
各端末にセキュリティソフトを導入しており、事業参加前からサイバー攻撃に備えている企業。

参加の背景：
サイバーセキュリティ対策は、なかなか中小企業目線の話を聞くことが難しく感じていますが、東京都が中小企業向けのセミナーを行っていると知り、興味を持って参加しました。

参加しての変化：
セミナーを視聴していく中で、外からの攻撃を防ぐことも大事ですが、攻撃を受けた際の損害を最小限に留める、関係企業に被害を拡大させない対策が重要であると考えるようになりました。

今後実施していきたい対策：
データが破損した場合に備えてバックアップを社内で実施していましたが、今後は下記の2点も実施することにしました。
●スナップショットをとることで、感染時の早期復旧と外部への影響を最小限にする
●クラウドへのバックアップを追加することで、いざという時のBCP対策
また、低価格のUTM（Unified Threat Management）も出てきたので、次の段階として導入の検討を始めています。

F社メルマガ登録企業（継続は力なり）

セキュリティ対策状況：
サイバーセキュリティ対策を以前から実施しており、ISMSの認証を受けている企業。

登録の背景：
セキュリティ対策点検に参加したので、情報収集のためにメルマガにも登録しました。

登録して得られた知見：
改めて「ランサムウェア」などの知識について触れられたこと、定期的に情報を入手できることで、サイバーセキュリティに関する知識がより深まっていると考えます。「3分でわかる！用語解説」など、短時間で読めるコンテンツが読みやすかったです。

４．サイバーセキュリティ対策関連事業の事例紹介