事例１

今回は、SECURITY ACTIONの一つ星を宣言後、二つ星へステップアップした製造業の取組事例をご紹介します。

SECURITY ACTIONを知りすぐに申込み

—SECURITY ACTIONを宣言しようと思った理由は何でしょう？

わが社の経営支援をお願いしている中小企業診断士の方から勧められたのがきっかけです。わが社ではWORD、EXCELなどの機密資料以外にも技術情報を含む加工データと呼ばれるものがあり、その保護につながると考えたからです。
また、わが社の情報が盗まれる心配もありますが、それ以上にウイルス感染したデータをお客様に送ってしまうなど、関係者に迷惑をかけることは大問題だと考えていました。
これまでセキュリティ対策としてはウイルス対策ソフトを導入している程度でしたが、SECURITY ACTION宣言には費用がかからないし、一つ星であれば自分たちでも十分取組める内容と思ったため、すぐに申込みました。

SECURITY ACTION宣言をきっかけに情報セキュリティ対策の必要性を認識

—事業を実施する中で、情報セキュリティへの対応が必要だと感じた場面はありましたか？

これまではお客様からセキュリティ対策を要求されることもなく、必要性は感じていませんでしたが、SECURITY ACTIONを紹介されて、上述の理由から必要性を認識しました。
「送付したデータは漏えいすると困るので、確認したらすぐに削除するように」と言われたことや、最近ではお客様がパスワードをかけてメール送付してくることもあり、以前は疑問に感じていましたがSECURITY ACTIONへの取組みをすることで、これらの必要性が少し理解できるようになりました。

５か条をもとにセキュリティ対策を見直し

—「情報セキュリティ5か条」に関する具体的な取組みを教えて下さい

OSやソフトウェアは常に最新の状態にしよう！

わが社ではWindows端末を利用していますが、以前から自動更新の設定にしています。

ウイルス対策ソフトを導入しよう！

ウイルス対策ソフトについても導入済みで、ウイルス定義ファイルは自動更新の設定にしています。

パスワードを強化しよう！

5か条ではパスワードは「長く」「複雑に」ということだったので、あらためて確認しましたが、英数字記号をランダムに組み合わせたものを使用していました。

共有設定を見直そう！

パソコンを使う社員は数名であり、クラウドサービスなどでのデータの共有はしていません。複合機までは意識していなかったため、今後設定を確認してみたいと思います。

脅威や攻撃の手口を知ろう！

どこから情報入手すれば良いのか分からず、対応できていませんでした。
今回、情報処理推進機構(IPA)や内閣サイバーセキュリティセンター(NISC)などのウェブサイトを教えていただき、このような情報を知っていれば未然に防げるケースがあると感じました。今後は定期的に確認して、セキュリティ対策に役立てたいと思います。

—その他の取組みがあれば教えて下さい

極秘案件や、口外しないでほしいと言われた情報に関するデータは、パスワードをかけてやり取りするようになりました。社外との重要データのやり取りは多くないため、まずは社内のやり取りから始めています。

効果を実感、一つ星から二つ星へ

—１段階目（一つ星）の効果は？

情報セキュリティ対策の必要性を理解することができました。また、社内でも情報セキュリティへの意識は少しずつですが、高まっていると感じています。

—２段階目（二つ星）へステップアップしようと決断した理由は？

一つ星の宣言以降、セキュリティの話題が多く出るようになり、弊社も二つ星を宣言することで、今後ワンランク上の御客様に「弊社はセキュリティ対策に取組んでおり安全です」とアピールできると思い宣言しました。

「５分でできる！情報セキュリティ自社診断」を実施して新たな対策へ取組み

—新たに取組んだ対策は？

重要な情報については、USBメモリにバックアップを取り、鍵付きの書庫に保管するようにしました。また、重要な書類についても同様に鍵付きの書庫に保管しています。さらに外部へ持ち出す際は、USBメモリに暗号化して格納し、肌身離さず持ち歩くようにしています。

—今後の取組み、課題は？

自社診断を実施して点数が低かった項目については今後対応していきたいと考えています。特に「組織としての対策」については実施できていない項目が多いため、具体的な対策を検討したいと思います。

おわりに

今回の事例は、情報セキュリティ５か条を実行することから自社の情報セキュリティ対策強化を進め、それにより情報セキュリティへの意識が向上し、二つ星へのステップアップにつながった点が印象的でした。