セキュリティ対策取り組み事例の紹介 ～令和5年度中小企業サイバーセキュリティ対策継続支援事業より～

はじめに

「セキュリティ対策を考えているものの、他社がどのように実施しているのかが気になる」

「自社に合った事例を参考にしたい」といったお悩みを抱えていませんか？

今回ご紹介するのは、東京都が提供するサイバーセキュリティ対策セミナーを受講して、セキュリティ対応を行なった企業の事例です。

東京都では、昨年、「令和５年度中小企業サイバーセキュリティ対策継続支援事業」として、多くの中小企業が抱えるセキュリティの課題解決をサポートしました。この事業のウェブサイトでは、実際に支援を受けた企業の具体的なセキュリティ対策事例が数多く掲載されています。今回はその事例の中からいくつかピックアップしてご紹介します。

事例を読めば、各企業が持つ課題に対して、セキュリティ対策をどのように実施したのかがよくわかります。

情報セキュリティ対策で必要な、「自社の問題点の明確化と現状把握を行なったうえで具体的な対策を実施する」「従業員への意識啓蒙」「継続的な取り組み」について参考になる事例ですので、是非ご覧ください。

事例１：印刷業

デザイン制作から印刷、製本・加工までのサービスを提供する印刷業社(従業員20名未満)

こちらの企業では、セキュリティ機器の導入や、自社に必要な対策の明確化が課題となっていました。

また、従業員のセキュリティ知識不足や、ログ取得・監視体制の整備が不十分なことが問題でした。その他、情報漏えい以外のインシデント対応手順も未策定でした。

そこで、以下の対策を実施しました。

（１）セキュリティ機器の見直しから着手し、ベンダーと協力して最適な24時間監視サービス付きのEDR^※1製品を導入。

（２）独立行政法人情報処理推進機構(IPA)の「5分でできる！情報セキュリティ自社診断」を全従業員に実施し、従業員のセキュリティ知識向上を図る。

（３）担当者が習得した知識を基に、今後は定期的な情報発信や研修を実施。情報漏えい以外のインシデント対応の手順も整理。

こちらの企業では、現在も継続的なセキュリティ強化を検討されています。

^※1：EDRとは、PCやスマホで不審な動作を検知し、未知のマルウェアにも対応し、脅威に対して即座に対処するシステムのことです。

「ＥＤＲ」【３分でわかる！用語解説#２】の記事で詳しく解説しています。

事例２：金属製品製造業

通信基地局の建設部材の設計から、製造・施工を行う企業（従業員は約100名規模）

自社のセキュリティ対策を客観的に評価できておらず、従業員のセキュリティ意識のレベルがどの程度なのか分からない、PCのパスワード設定がなされていないことなどが問題でした。

さらに、セキュリティルールの不明確さやUTM^※2のログ管理も不十分でした。

そのため、以下の対策を行いました。

（１）セキュリティ状況を確認し、課題の洗い出し。

（２）PCの認証パスワード設定と、ウェブサイトのセキュリティ設定を確認。

（３）セキュリティ対策ガイドラインを社内に展開し、インシデント管理体制を整備。

こういった取り組みを実施したことにより、従業員のセキュリティリテラシーが向上し、セキュリティ対策への意識が高まりました。

今後も定期的な教育やEDR導入を計画し、継続的なセキュリティ対策を行う予定です。

^※2：UTMとは、ファイアウォールや侵入検知、ウイルス対策などを1台にまとめ、ネットワーク全体のトラフィックを監視・管理するシステムのことです。

「ＵＴＭ」【３分でわかる！用語解説#３】の記事でも詳しく解説しています。

事例３：労務コンサルタント業

社会保険労務士法人と連携し、人事労務コンサルティングサービスを提供する企業（従業員は50名規模）

セキュリティ対策に関する従業員教育が不足しており、ネットワークセキュリティの管理体制の強化が必要でした。また、セキュリティ機器の運用がベンダー任せで、データのバックアップ運用も課題でした。

そこで、こちらの企業では以下の対策を行いました。

（１）ウェブサービスに関するパスワード管理体制を見直し、定期的な更新ルールを策定。

（２）UTMのネットワークログ管理体制の整備と、重要データのバックアップ運用の強化。

（３）リモートワークに対応するためのVPN利用に関するルールを策定し、運用を開始。

これらの取り組みにより、担当者のセキュリティ知識が向上し、取引先からの信頼向上につながりました。

今後も継続的に自社の業務に合わせたセキュリティ対策の強化を図り、取引先の監査や対応に備える体制を整えることを検討しています。

おわりに

今回ご紹介した事例からわかるように、企業ごとに抱えるセキュリティ課題は異なります。

自社の課題に近い他社の成功事例を参考にすることで、自社に合ったセキュリティ対策を効果的に進めることが可能になります。

冒頭でご紹介したウェブサイトには、ここで取り上げた事例以外にも、様々な業種や規模の企業が実施した事例が紹介されています。同じ悩みを抱えている企業の取り組みや解決方法は皆さんの役に立つのではないでしょうか。

こちらをご覧いただき、自社のセキュリティ対策の参考にしてください。

※この記事は、令和5年度中小企業サイバーセキュリティ対策継続支援事業^*の情報に基づいて作成しています。
*昨年度の事業名は「サイバーセキュリティ対策継続支援事業」でした。今年度は「サイバーセキュリティ社内体制整備事業」として実施しています。

また、今年度の事業詳細は下記のサイトで確認していただけます。
セミナーで使用した資料なども順次公開しているので、是非こちらもご覧ください。

令和6年度 中小企業サイバーセキュリティ社内体制整備事業