情報漏洩、ウィルス、不正アクセス対策などセキュリティの事はお任せください
情報漏洩、ウィルス、不正アクセス対策などセキュリティの事はお任せください
業種:大学(学校法人)
職員人数:30名
拠点数:1
学校内PC:デスクトップ120台
・従業員、アルバイトの方の特定個人情報(マイナンバー)、連絡先、氏名、メールアドレス等の情報が社内の共有サーバに入っているので情報漏えいした場合に、漏えいした方に迷惑を掛けてしまうだけでなく、処分を受ける可能性がある。
・開封してはいけないメールの基準が明確に決まっていない為、誤って本文中のURLをクリック、誤って添付ファイルを実行してしまうことにより、いつ感染するか分からない。
・UTMを導入しているが有効活用できていない。
・保存しているログの有効活用をしたい。
・踏み台になって加害者側になりたくない。
⇒組織的対策として『情報セキュリティ委員会』が立ち上がり、情報セキュリティ責任者、インシデント対応責任者、マイナンバー取扱責任者を決定したことで、責任が明確化になり、担当者の意識が向上しました。
⇒人的対策として『秘密保持契約書』を策定し、従業員と改めて契約書を取り交わしました。そうすることによって今まで曖昧だった重要情報の取扱いについて明確になったと共にペナルティも明確になり、従業員の意識向上に繋がりました。
⇒情報資産管理を改めて行い、社内で守るべき情報、取扱注意の情報が明確になりました。また重要情報が入った媒体の処分方法、収納方法も明確になりました。
⇒技術的対策として『必要なセキュリティ機器の機能』、『パスワードについて○○文字以上』、『機器の認証方法』等が明確に記載されたことにより機器の調達、設定について一定のレベルを担保できる様になりました。
⇒業務中のウェブ閲覧について、ウェブフィルタリング機能を使用したことSNSの利用、メール開封について等を細かく決定したことにより担当者の意識が向上しました。
⇒インシデントの原因究明の為に必要なログの種類を明確にし、保存を定期的に監査する体制となりました。その結果、抑止力として効果を発揮し、業務中に必要のないウェブサイト閲覧数が大きく減りました。
⇒情報セキュリティポリシーの内容に合わせて既存セキュリティ機器の設定を変更することでマルウェア、ランサムウェアにかからない様に、疑いのあるメール、webサイト閲覧を制限することが実現できました。
⇒情報セキュリティポリシーの内容に基づいて定期的なウイルススキャンを行う設定にしました。重要情報を多層防御で守ります。
⇒各個人の管理ではなく、全PCがドメインに参加することでセキュリティを一定レベルに保つことが出来る様になりました。情報セキュリティポリシーに基づいて自動でアップデートできる設定に変更したことで脆弱性を利用したエクスプロイト等の攻撃を防ぐことができるようになりました。
⇒誰のPCから、いつ、どの情報にアクセスした、どの情報をコピーした等の取得したログも定期的に公開する様にしたので内部不正の抑止力になっています。
⇒社内ポリシーを全PCに適用できます。その為、限られたPCでしかUSBメモリ使用ができなくなりました。
⇒万が一、退職者等から情報漏洩したとしても、ログの取得をしている為、原因を追うことが出来る様になりました。それでも追いきれない場合は、ログ取得をしている為、デジタルフォレンジックにて対応した場合もコスト削減に繋がります。
⇒万が一インシデントが発生しても、ガイドラインを策定しているので、『どんな挙動』なのかによって、『インシデントの種類』を判別する基準があります。それによって初動対応が変わってきますが『最初にやるべきこと』が決定してる為、間違った対応は起こりません。また『誰が』、『いつ』『どこに』連絡をするのか、『HPでの公表』をいつ、誰が行うのかについても全て決まっている為、スピーディーに取り組むことが可能です。
情報セキュリティポリシー策定¥300,000
インシデント対応ガイドライン策定¥200,000
初期費用計:¥500,000
【次年度以降1年間にかかる保守費用】
特になし
職員向け研修開催を希望する場合については¥30,000/1回(2h)
====================================================
次年度年間費用計:¥0/1年間
・定期的に研修を開催し、学校内でログの共有を行う
・情報セキュリティポリシーが運用されているか評価を行う
・評価に基づき実務に即していない、実現不可能な部分は改善を行う
専任担当者が不在の為、導入後は横浜情報機器㈱の担当者が設定変更や監視について担当。
