1. HOME
  2. デジ活メソッド® 支援集
  3. IT環境整備
  4. セキュリティ監査をきっかけに、対策状況を一元管理した支援実例
WORKS

デジ活メソッド® 支援集

IT環境整備

セキュリティ監査をきっかけに、対策状況を一元管理した支援実例

継続して支援している会社で、関係先によるセキュリティ体制の監査が行われたことをきっかけに、社内パソコンのセキュリティ対策を見直した事例です。

監査では、書面による確認だけでなく、実際に使っている端末の状態も確認されました。
そのため、会社として、どのパソコンにどのような対策を行っているのかを説明できる状態にしておく必要がありました。

それまでのセキュリティ対策は、利用者ごとの判断に任されている部分がありました。
端末によって入っているソフトが違い、更新期限や管理状況も、会社全体では把握しにくい状態でした。

利用者任せになっていたセキュリティ対策

見直し前は、パソコンごとにセキュリティ対策の内容が分かれていました。

OS標準の対策だけで使っている端末もあれば、無料のセキュリティソフトを使っている端末もありました。
有料のセキュリティソフトが入っている場合でも、製品やメーカーが端末ごとに異なっていました。

そのため、関係先から確認を求められた時に、会社としてすぐに説明しにくい状況でした。

どのパソコンに何が入っているのか。
更新期限はいつなのか。
求められている水準に合っているのか。
今後、誰がどのように管理していくのか。

こうした点を、会社として見える形にしていく必要がありました。

まず現状を確認する

最初に行ったのは、対象となるパソコンの確認です。

各パソコンに入っているセキュリティ対策の内容や状態を確認し、一覧で把握できるようにしました。

現状を確認しないまま新しいソフトを入れても、管理しやすい状態にはなりません。
まずは、どの端末にどのような対策が入っているのかを確認し、揃えるべき範囲を明確にするところから始めました。

条件に合う対策を選ぶ

今回は、関係先が求める条件を満たす候補の中から、支援先の会社に合うセキュリティソフトを選定しました。

選定では、性能だけでなく、費用、管理のしやすさ、今後の更新やパソコン入替時の扱いやすさも確認しました。
そのうえで、導入内容と進め方を支援先の社長へ説明し、了承を得てから作業に入りました。

セキュリティ対策は、有名なソフトを入れれば終わりというものではありません。
関係先から求められている水準を満たしながら、自社の規模や使い方に合うものを選ぶことが大切です。

業務への影響を抑えて切替を行う

導入作業は、業務への影響を抑えながら進めました。

対象となる端末や作業範囲を事前に確認し、既存の対策が入っている端末も含めて、順番に切替を行いました。

複数のパソコンを対象にする場合、進め方を決めずに作業を始めると、現場に負担がかかりやすくなります。
今回は、あらかじめ流れを決めておくことで、短期間で切替を進めることができました。

導入後の確認と記録

導入後は、セキュリティソフトが正常に動作しているかを確認しました。

あわせて、導入後の管理に必要な情報を記録し、台帳を更新しました。
これにより、どの端末が対応済みなのか、更新時期はいつなのかを確認しやすくなりました。

パソコンの入替が発生した時にも、必要な確認を行いやすくなります。

また、更新期限についても支援先と当社の双方で確認できる形にし、期限切れの期間が生じにくいようにしました。

関係先へ説明しやすい形にする

今回の支援では、導入作業だけでなく、関係先へ説明しやすい形にすることも重視しました。

実施した内容を確認しやすい形にまとめ、支援先の社長へ提出しました。

当社が関係先と直接やり取りをしたわけではありません。
ただ、支援先が自社の対応状況を説明しやすくすることも、今回の大事な支援内容でした。

セキュリティ対策は、社内で実施しただけでは不十分な場面があります。
必要な時に、何を確認し、どのような対策を行い、どのように管理しているのかを説明できることが重要です。

継続支援の中で確認できる状態へ

今回の対応は、単発の導入作業ではなく、継続支援の中で行ったものです。

導入後は、更新時期を支援先と当社の双方で共有しました。
次回の更新時期が近づいた際には、同じ対策を継続するのか、その時点で別の選択肢を検討するのかを相談できるようにしています。

また、セキュリティ対策について確認が必要になった時は、アーテック福岡へ相談できる流れもできました。

利用者ごとの判断に任せるのではなく、会社として確認し、必要に応じて相談できる形に近づけたことが、今回の支援の大きな意味です。

支援後の変化

対応後は、関係先から求められる確認内容に対して、社内のセキュリティ対策状況を説明しやすくなりました。

端末ごとの対策状況や更新時期を整理したことで、支援先の社長や担当者も、状況を把握しやすくなっています。

また、何かあればアーテック福岡に確認できるようになったことで、社内だけで判断に迷う負担も軽くなりました。

セキュリティ対策は、導入すれば必ず被害を防げるというものではありません。
それでも、万が一の被害を抑える可能性を高めることや、関係先に対して会社としての対策状況を説明できることには意味があります。

「うちには関係ない」「取られるものはない」と考えるのではなく、自社の事業内容や関係先から求められる水準に合った対策を選ぶことが大切です。

この実例で行った支援

  • 関係先から求められた確認内容の整理
  • 対象PCのセキュリティ対策状況の確認
  • セキュリティ対策状況の台帳化
  • 条件を満たすセキュリティソフトの選定
  • 費用・性能・運用面を踏まえた導入案の提示
  • セキュリティソフトの切替作業
  • 導入後の動作確認
  • 更新時期を確認しやすくするための記録
  • 関係先へ説明しやすい資料の作成
  • 導入後の相談窓口づくり

関連する支援領域

データ管理・IT運用

セキュリティ対策状況、更新時期、端末情報を確認し、会社として管理しやすい状態へ整えます。

IT環境整備

業務用パソコンに必要なセキュリティ対策を導入し、日常業務に支障が出にくい形で利用できるようにします。

業務改善・IT顧問

関係先から求められる確認内容を読み取り、自社に合った対策や進め方を整理します。

ご相談について

関係先からセキュリティ体制の確認を求められた時、何をどこまで整えればよいのか分かりにくいことがあります。

セキュリティソフトが入っているかどうかだけでなく、
会社として管理できているか。
更新時期を把握できているか。
必要な時に説明できる形になっているか。

こうした点を確認しておくことが大切です。

アーテック福岡では、現在の利用状況を確認するところから、セキュリティ対策の選定、導入、台帳管理、更新時期の確認まで、会社の実情に合わせて支援しています。

デジ活メソッド® 支援集

株式会社アーテック福岡|デジ活メソッド®で中小企業のデジタル環境を止めない