導入事例:大学(120名)の情報セキュリティポリシー策定 

情報セキュリティポリシー導入事例

 

お客様情報

業種:大学(学校法人)
職員人数:30名
拠点数:1
学校内PC:デスクトップ120台

 

導入サービス内容

 

・情報セキュリティポリシー策定

・インシデント対応ガイドライン策定

 

 

導入機器

 

既存機器を使用

 

 

お客様の要望

 

【社内のセキュリティ意識向上】

・セキュリティ意識が低い為、いつ情報漏えいが起きてもおかしくない状態。
 
・社内PCも各個人がパスワードを決める等、レベルにバラつきがある。
 
・情報セキュリティポリシー策定を通して、重要情報の取扱についてルールを明確にしたい。
 
・情報セキュリティポリシーの策定をしていない為、インシデントが発生した場合に、社内で情報セキュリティに対して取り組みをしていることを示せる資料がないということになり、外部へ説明責任が果たせない可能性がある。
 

【情報漏洩防止】

 

・従業員、アルバイトの方の特定個人情報(マイナンバー)、連絡先、氏名、メールアドレス等の情報が社内の共有サーバに入っているので情報漏えいした場合に、漏えいした方に迷惑を掛けてしまうだけでなく、処分を受ける可能性がある。

 
・アクセス権限の設定をすることで、業務に必要なPCからでしか重要情報にアクセスできない様にしたい。誰でも、どの情報にアクセスできる状態だと、インシデント発生時に社内、社外問わず、説明責任だけでなく、管理責任を果たすことができない。
 
 

【ウイルス感染防止】

 

・開封してはいけないメールの基準が明確に決まっていない為、誤って本文中のURLをクリック、誤って添付ファイルを実行してしまうことにより、いつ感染するか分からない。

 

・UTMを導入しているが有効活用できていない。

 

・保存しているログの有効活用をしたい。

 

・踏み台になって加害者側になりたくない。

 

導入の効果

【社内のセキュリティ意識向上】*情報セキィリティポリシー策定

 

 

 

組織的対策として『情報セキュリティ委員会』が立ち上がり、情報セキュリティ責任者、インシデント対応責任者、マイナンバー取扱責任者を決定したことで、責任が明確化になり、担当者の意識が向上しました。

 

人的対策として『秘密保持契約書』を策定し、従業員と改めて契約書を取り交わしました。そうすることによって今まで曖昧だった重要情報の取扱いについて明確になったと共にペナルティも明確になり、従業員の意識向上に繋がりました。

 

情報資産管理を改めて行い、社内で守るべき情報、取扱注意の情報が明確になりました。また重要情報が入った媒体の処分方法、収納方法も明確になりました。

 

技術的対策として『必要なセキュリティ機器の機能』、『パスワードについて○○文字以上』、『機器の認証方法』等が明確に記載されたことにより機器の調達、設定について一定のレベルを担保できる様になりました。

 

業務中のウェブ閲覧について、ウェブフィルタリング機能を使用したことSNSの利用、メール開封について等を細かく決定したことにより担当者の意識が向上しました。

 

インシデントの原因究明の為に必要なログの種類を明確にし、保存を定期的に監査する体制となりました。その結果、抑止力として効果を発揮し、業務中に必要のないウェブサイト閲覧数が大きく減りました。

 

【ウィルス対策】*情報セキィリティポリシー策定

 

 

⇒情報セキュリティポリシーの内容に合わせて既存セキュリティ機器の設定を変更することでマルウェア、ランサムウェアにかからない様に、疑いのあるメール、webサイト閲覧を制限することが実現できました。

 
 

【ウィルス対策】*情報セキィリティポリシー策定

 

⇒情報セキュリティポリシーの内容に基づいて定期的なウイルススキャンを行う設定にしました。重要情報を多層防御で守ります。

 

【脆弱性対策】*情報セキィリティポリシー策定

 

 

⇒各個人の管理ではなく、全PCがドメインに参加することでセキュリティを一定レベルに保つことが出来る様になりました。情報セキュリティポリシーに基づいて自動でアップデートできる設定に変更したことで脆弱性を利用したエクスプロイト等の攻撃を防ぐことができるようになりました。

 

 

【情報漏洩対策】*情報セキィリティポリシー策定

 

⇒誰のPCから、いつ、どの情報にアクセスした、どの情報をコピーした等の取得したログも定期的に公開する様にしたので内部不正の抑止力になっています。

 

社内ポリシーを全PCに適用できます。その為、限られたPCでしかUSBメモリ使用ができなくなりました。

 

⇒万が一、退職者等から情報漏洩したとしても、ログの取得をしている為、原因を追うことが出来る様になりました。それでも追いきれない場合は、ログ取得をしている為、デジタルフォレンジックにて対応した場合もコスト削減に繋がります。

 

【インシデント対策】*インシデント対応ガイドライン策定

⇒万が一インシデントが発生しても、ガイドラインを策定しているので、『どんな挙動』なのかによって、『インシデントの種類』を判別する基準があります。それによって初動対応が変わってきますが『最初にやるべきこと』が決定してる為、間違った対応は起こりません。また『誰が』、『いつ』『どこに』連絡をするのか、『HPでの公表』をいつ、誰が行うのかについても全て決まっている為、スピーディーに取り組むことが可能です。

 
 

サービス導入にかかった費用

【初期費用】

 

情報セキュリティポリシー策定¥300,000

インシデント対応ガイドライン策定¥200,000

 
====================================================

 

初期費用計:¥500,000

【次年度以降1年間にかかる保守費用】
特になし

 

職員向け研修開催を希望する場合については¥30,000/1回(2h)

====================================================
次年度年間費用計:¥0/1年間

 

 

導入後の運用

 

・定期的に研修を開催し、学校内でログの共有を行う

 

・情報セキュリティポリシーが運用されているか評価を行う

 

・評価に基づき実務に即していない、実現不可能な部分は改善を行う

専任担当者が不在の為、導入後は横浜情報機器㈱の担当者が設定変更や監視について担当。

 

 

【中小企業情報セキュリティ.COMの見解】

 

元々、情報セキュリティに対して意識の高い方もいらっしゃいますが、意識の低い役職者の方もいらっしゃいました。そういった役職者の方に対して一部の職員の方から不満や不審感が出ていると聞いていた為、ヒアリングをして情報セキュリティポリシー策定までのロードマップ作成の際に、最初は職員の方、全員に集まって頂き意識共有することを計画しました。目的としては経営陣から『ウチの学校は情報セキュリティに対して本気で取り組んでいく』ということを宣言してもらい、学校全体で同じ方向を向いてもらう為でした。そこからは情報セキュリティ委員会の立ち上げ、委員会内の役職者の決定がなされ本件に対しての中心メンバーが決定しました。その後、委員会メンバー向けに情報セキュリティ研修を行いました。そこでは『なぜポリシーが必要なのか』『ポリシーがあるとどうなるのか』『インシデント対応ガイドラインのメリット』等を中心にお話させてもらいました。その結果、役職者となった職員の方は『自分の領域で何か質問された場合に答えられる様にしなくては』という意識を持ってもらうことができました。なによりも『この学校のセキュリティを担っているのは自分だ』という当事者意識をもってもらえたことが非常に嬉しかったです。そこからは『守るべき情報』や『想定されるリスク』の洗い出し等がスピーディーに進み、策定までたどり着きました。あとは決定した内容に沿ってセキュリティ機器の設定を見直していくだけだったので速く進んでいきました。導入後も定期的に職員向け研修の際に合わせて、運用できているかどうかの監査、評価を行い、改善に繋げていきました。
今後はセキュリティ担当者育成の為のハンズオントレーニングを計画しています。そこで簡単なトラブルシューティングはもちろん、インシデント発生時の初動対応までできる様に内容を盛り込んでいます。システムの必要要件、セキュリティ機器の調達、業者選定についてもポリシーの中に明記されている為、今後は更に職員のできることが増えていき、その結果、学校という組織が強くなっていくと思われます。『ポリシー策定をしていない』、『どのように対応したらいいか分からない』、『インシデント判別基準がない』等の場合は、弊社へご相談を頂ければ、ヒアリングをした上で、ご希望の対応をさせて頂きますので下記の電話番号までお気軽にご連絡をください。
 
 
 

保守サービス比較

UTM保守比較へ



UTMサービス特徴へ



UTMサービス特徴へ

HTML HTML HTML

UTM導入サービス
お問い合わせ 045-311-6820 セキュリティに関するお問い合わせ 無料相談受付中
PageTop