導入事例:小売業 25名+非正規雇用105名の運用保守サービス導入事例

セキュリティ運用お任せで年間1,000時間のコスト削減に成功!

お客様情報

業種小売業
人数25名+非正規雇用105名
拠点数3
社内PCデスクトップ18台、サーバ1台

UTM等のセキュリティ機器は揃っているが、専門知識の不足、予算の確保、通常業務と並行しての運用が難しいということで、社内にいる担当者様だけでの運用ができない状態でした。既存のセキュリティ機器を弊社で代行して運用すると共に、情報セキュリティポリシーの策定支援、セキュリティパッチの自動化、社内向けセキュリティ研修を弊社で実施し、レポートとして提出することで、事実上、弊社がお客様の情報セキュリティについての担当者として、運用を実施することで、様々な問題を解決し、PDCAサイクルを確立し、情報セキュリティ体制を常に更新していくこととなりました。

導入サービス

情報セキュリティヘルプデスクサービス カスタムプラン

情報セキュリティポリシー策定

年に1回アップデート

プラットフォーム脆弱性診断

1回/年 × 3拠点

社内向けセキュリティ研修

2回/年 (拠点ごとに数名の担当者に集まってもらい、半年に1回本社にて開催)

クライアントPC脆弱性管理サービス年間ライセンス+運用を弊社にて代行
ITヘルプデスク平日10:00-18:00 
月次レポート提出既存UTM、既存ウイルス対策ソフトを含め、脆弱性管理のレポート
運用代行既存UTM、既存ウイルス対策ソフト

お客様が抱えていた課題

 

【過去に情報漏えい発生】

以前から、社内PCがウイルス感染したり、顧客情報が漏えい、また重要情報が入ったUSBや紙資料、携帯端末を紛失したりと、数回情報漏えいが発生していました。今までは高額な損害賠償の請求をされることはありませんでしたが、今後を考えると、社内の機密情報、顧客情報、従業員のマイナンバー、取引先との機密情報等が増えて、それを取り扱うルールや対策もないということでした。今後は社内でセキュリティ対策を実施していく方針になり、様々なセキュリティ対策機器やソフトウェアを導入しました。

 

【セキュリティ機器を導入したベンダーがバラバラ】

調達計画やセキュリティ対策のゴールを決めていなかった為、様々な業者から機器が導入されている状況だったので、メールのトラブルやネットワークトラブルがあった際の問い合わせ窓口が複数ある状態で、問題解決まで非常に時間が掛かっていました。また導入した機器についても運用までは業者に委託できずに、社内の担当者が運用する形式をとっていました。

 

【担当者の運用が困難】

実際の運用に必要なセキュリティ、ネットワーク、OS等の専門的な知識を保有した人材がいないだけでなく、各拠点からネットワークやPCのトラブルがあった際の窓口にもなっていたので、社内の担当者が運用していくのは困難な状態でした。

 

担当者が抱えていた課題

 

【最初にやるべきこと】

・社内の現状把握        

・情報セキュリティポリシー策定       

・ポリシーに沿ったセキュリティ対策の実施

・検知できる仕組みの構築

 

【毎日やること】

・セキュリティ事故等の最新情報を社内へ周知

・社内PC、サーバでのアップデート、パッチ適用

・HPのウェブサーバ、ウェブアプリケーションのパッチ適用

・ログの収集

 

【定期的にやること】

・社内向けのセキュリティ研修による危機意識の醸成

・情報セキュリティポリシーの監査、ログの監査

・脆弱性の検査の実施

・監査結果をポリシー、対策へ反映

 

解決方法

上記の実施するべき内容を考えると、担当者の業務量を考えると実現が難しい、またセキュリティの専門知識を持った有資格者を雇用するには、現状の確保している予算では実現ができない、ということで情報セキュリティヘルプデスクサービスをお客様用にカスタマイズして導入をして頂くこととなりました。本サービスを通して担当者が抱えている課題を弊社で代行をすることで継続したサポートを実施することとなりました。

・情報セキュリティポリシー策定       

・ポリシーの運用サポート

・検知できる仕組みの構築

・社内PC、サーバのアップデート、パッチ適用の自動化

・ログの収集

・社内向けのセキュリティ研修の実施

・情報セキュリティポリシーの監査、ログの監査

・脆弱性の検査の実施

・監査結果をポリシー、対策へ反映する報告会の実施

 

導入のメリット

 

【情報セキュリティポリシーの完成】
弊社が主体となってポリシー策定を進めていった為、意思決定だけして頂くことで社内ポリシーのver.1は完成しました。今後は年度末の結果を振り返り、毎年アップデートをしていきます。

 

【セキュリティ機器の買い足しはせずに既存の環境で運用】
既に購入したり、リース契約を行っているUTMやルータ、サーバ、ソフトウェアばかりなので、予算のことを考慮し、当面は現状の環境で運用だけ弊社で実施していくこととなりました。現在は各機器の機能を活かし、アラートメールが弊社エンジニアと担当者宛てに届く様にして運用をしております。またUTMでの禁止URLの登録や、サーバのアカウント作成や権限管理も運用を代行しております。

 

【担当者の業務量が激減】
今まで業務量として負担になっていたのが週に1回の最新の脆弱性情報と社内のバージョン情報の突き合わせと、パッチ適用計画、計画の周知でした。自動化した為、最新の脆弱性情報は自動で収集し、一元管理できる為、スケジュールに沿って自動で実行することとなり業務量が激減しました。またその後、再起動が必要だったり、競合製品の影響でパッチが適用されていないPCについては、管理画面から把握できることとなったのも非常に時間削減になったとのことでした。

 

【社内研修の実施】
年に2回各拠点から代表者数名が集まり、本社にて弊社エンジニアが講師としてセキュリティ研修を実施しています。そこではどこの企業がどんなインシデントがあり、いくらくらいの損害賠償金がかかっている等の事例や、ウイルスのデモを行い、身近に感じてもらっています。またそうならない様に策定した情報セキュリティポリシーの運用徹底する為のポイントなどもお話ししています。終わった後に集計しているアンケートでも好評を頂いていおります。

 

【脆弱性診断の実施】
年に1回各拠点に弊社エンジニアが出向き、社内LANに専用マシンを接続し、ポートスキャン、クレデンシャルスキャンといった手法を用いて、プラットフォームの脆弱性診断を実施しています。普段からパッチ適用、アップデートの自動化は行っていますが、定期的な監査は必要です。最後にレポートとして提出して現状の把握と継続した改善を行います。

 

【ヘルプデスク業務の委託】
「プリンタが繋がらない」、「ネットが繋がらない」、「無線LANが不安定」といった連絡が担当者に集中していましたが、弊社エンジニアが電話、メール、遠隔操作(リモートデスクトップ)にて対応致します。もちろん弊社から購入していない機器も全て対応しております。

導入にかかった費用

 

初年度

  • 【初期費用】 ¥100,000 (初月はサーバ構築費用として2カ月分)
  • 情報セキュリティポリシー策定支援   ¥400,000 → ¥0 (月額に内包)
  • プラットフォーム脆弱性診断(本社)   ¥100,000 → ¥0 (月額に内包)
  • プラットフォーム脆弱性診断(支店1)     ¥100,000 → ¥0 (月額に内包)
  • プラットフォーム脆弱性診断(支店1)     ¥100,000 → ¥0 (月額に内包)
  • 社内向けセキュリティ研修 (上半期)   ¥100,000 → ¥0 (月額に内包)
  • 社内向けセキュリティ研修(下半期 )      ¥100,000 → ¥0 (月額に内包)
  • クライアントPC脆弱性管理サービス     ¥405,650 → ¥0 (月額に内包)
  • ヘルプデスク                     ¥0 (月額に内包)
  • UTM、ウイルス対策ソフト設定、運用代行        ¥0 (月額に内包)
初年度費用合計:¥100,000 × 13カ月

次年度

  • 情報セキュリティポリシー更新支援   ¥150,000 → ¥0 (月額に内包)
  • プラットフォーム脆弱性診断(本社)   ¥100,000 → ¥0 (月額に内包)
  • プラットフォーム脆弱性診断(支店1)     ¥100,000 → ¥0 (月額に内包)
  • プラットフォーム脆弱性診断(支店1)     ¥100,000 → ¥0 (月額に内包)
  • 社内向けセキュリティ研修 (上半期)   ¥100,000 → ¥0 (月額に内包)
  • 社内向けセキュリティ研修(下半期 )      ¥100,000 → ¥0 (月額に内包)
  • クライアントPC脆弱性管理サービス     ¥231,800 → ¥0 (月額に内包)
  • ヘルプデスク                     ¥0 (月額に内包)
  • UTM、ウイルス対策ソフト設定、運用代行        ¥0 (月額に内包)
初年度費用合計:¥100,000 × 12カ月

導入後の運用

通常業務だけでなく、上半期、下半期と年に2回、各拠点の代表者を集め、社内向けセキュリティ研修を実施しています。同業種の情報漏えい事例を題材に、いくらくらいの損害賠償が発生したのか、その原因はなんだったのか、自分たちが気を付けるべき点等を上半期は話して、下半期は加えて、更新された情報セキュリティポリシーの発表や、それぞれの拠点での問題点などをディスカッションする時間を作り、意識向上を図っています。

今後の予定

次年度は、ポリシーの更新にUSBメモリについての文書を盛り込みました。完全にUSBメモリの使用を禁止する事は業務上、難しい為、予め社内で許可されたUSBメモリのみ使用を許可する運用を実施致します。実現するために、新たなソフトウェアの導入は必要なく、既存のKVPMの機能で実現可能なので、追加予算はなく実行することができました。また物理的な対策としてノートPCをワイヤーで固定することになったのと、社員の私物スマホ・タブレット、私物PCも社内ネットワーク内に接続できない状況でしたが、接続のログを取得することが可能となった為、予め許可された端末については、新たに作成したゲスト用ネットワークへの接続ができることとなり、利便性の向上も実行致します。

事例一覧へ戻る
UTM導入サービス
お問い合わせ 045-311-6820 セキュリティに関するお問い合わせ 無料相談受付中
PageTop