情報セキュリティ対策支援

取引先から突然セキュリティ対策を求められたが、何をどこまでやればいいかわからない――そんな中小企業様が多くいらっしゃいます。bitgateは、ISOや第三者認証を取るほどのリソースがない企業でも、無理なく運用できる情報セキュリティ規程の整備と現場への定着を、ITコーディネーター資格を持つ専門家が伴走支援します。

sec handshake

取引先から求められるセキュリティ対策を
無理なく運用できる形で

近年、情報セキュリティは「自社を守るための対策」から、
取引先や委託先を含めたサプライチェーン全体で求められる要件へと変化しています。

▼詳しくはこちら
サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針(案)

経済産業省 では、業種を問わず中小企業も含めた企業全体を対象に、
取引関係を前提としたセキュリティ対策の底上げを進めています。

しかし実際には、

  • 取引先から突然セキュリティ対応を求められた

  • 何をどこまでやれば良いのか分からない

  • ISOや認証を取るほどの体制・リソースはない

  • 規程は必要だと分かっているが、作り方も運用方法も不安

といった声が、多くの中小企業で聞かれます。

bitgate では、こうした状況を踏まえ、
まずは情報セキュリティ規程を整備し、運用できる状態をつくる」ことを第一歩として支援します。

近年、情報セキュリティは「自社を守るための対策」から、
取引先や委託先を含めたサプライチェーン全体で求められる要件へと変化しています。

経済産業省 では、業種を問わず中小企業も含めた企業全体を対象に、
取引関係を前提としたセキュリティ対策の底上げを進めています。

サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針(案)

しかし

  • 取引先から突然セキュリティ対応を求められた
  • 何をどこまでやれば良いのか分からない
  • ISOや認証を取るほどの体制・リソースはない
  • 規程は必要だと分かっているが、作り方も運用方法も不安

といった声が、多くの中小企業で聞かれます。

bitgate では、こうした状況を踏まえ、
「まずは情報セキュリティ規程を整備し、運用できる状態をつくる」ことを第一歩として支援します。

sec security2

なぜ情報セキュリティ規程が求められているのか

経産省が示しているサプライチェーン対策の本質は、高度な技術対策を導入することではありません。

重要なのは、

  • 自社が扱う情報・業務のリスクを整理できていること
  • 取引先から求められた際に、考え方・ルールを説明できること
  • 実態に合った形で、最低限の運用が回っていること

 

その土台となるのが、情報セキュリティ規程(ルール)と運用の仕組みです。

製造業に限らず、
ITサービス、建設業、士業、医療・福祉、卸・小売、物流、各種サービス業など、外部委託や顧客情報を扱うすべての中小企業にとって、無関係ではありません。

この考え方は、経済産業省 が検討を進めている
サプライチェーン強化に向けたセキュリティ対策の方針に基づいています。

この方針は、自動車産業において 日本自動車工業会 (JAMA)が中心となって運用してきたサイバーセキュリティ対策の枠組みを先行事例として参考にしながら、特定の業種に限定せず、業種横断で活用できる形に整理されたものと位置づけられます。

自動車産業では、取引関係を前提に「求める対策水準を明確にし、段階的に整備する」「過度な要求にならないよう共通の考え方で整理する」といった運用が、すでに実務として機能してきました。

bitgate は、こうした実運用で成立してきた考え方を踏まえ、製造業に限らず、あらゆる中小企業が
取引先から求められた際に説明できる情報セキュリティ規程と運用の立上げを支援します。

sec success

bitgate の情報セキュリティ運用支援の考え方

bitgate は「立派な規程を作ること」や「認証を取得すること」をゴールにしていません。

私たちが重視するのは、次の3点です。

  1. 今の事業規模・業務内容に合っていること
  2. 取引先から求められたときに説明できること
  3. 現場で継続して運用できること

そのため、テンプレートをそのまま当てはめるのではなく、事業内容・取引形態・外部委託の状況を踏まえて、過不足なく整備します。

sec process

規程整備の流れ

bitgate では、情報セキュリティ規程および運用の整備にあたり、情報処理推進機構(IPA)が公開している、中小企業向けの情報セキュリティ規程・ガイドラインのテンプレートをベースとしています。

IPAの中小企業のセキュリティはこちら

さらに、経済産業省 が検討を進めている、サプライチェーン強化に向けたセキュリティ対策の「要求事項・評価基準案」(チェックリスト形式の資料)を組み合わせ、どのレベルまで対応するか(★3 または ★4 相当)を整理したうえで支援を行います。

★3/★4 といった水準は、「すべての対策を一律に求めるもの」ではなく、取引関係や事業内容、外部委託の有無に応じて、現実的に求められる対応範囲を整理するための目安です。

bitgate では

  • 取引先から求められる可能性のある水準
  • 自社の事業規模・体制で無理なく対応できる範囲

を踏まえ、★3相当または★4相当のどこを目指すかを一緒に整理します。

そのうえで

  • IPAのテンプレートをベースとした情報セキュリティ規程の整備
  • 要求事項とのギャップ整理
  • 必要最低限の運用設計(教育、記録、説明の仕組み)

を行い、取引先から求められた際に説明できる状態をつくります。

提供サービス内容

1.情報セキュリティ規程の作成・整備支援

  • 経産省の考え方(サプライチェーンリスク・取引先要求)を踏まえた構成
  • 自社の業務実態に合わせた規程内容の整理
  • 「作っただけ」で終わらない、運用を前提としたルール設計

2.現状整理と最低限必要な対策の洗い出し

  • どの情報・業務がリスクになり得るかを整理
  • 取引先から求められやすいポイントの確認
  • 今すぐ対応すべきこと/将来的に検討すべきことの切り分け

3.運用開始の立上げ支援

  • 社内での周知方法、教育の進め方
  • 形だけにならない運用フローの設計
  • 記録・証跡の残し方(説明責任を果たすための最低限の仕組み)

4. 取引先対応を見据えた整理

  • 取引先からセキュリティ対応を求められた際の説明整理
  • 要求内容の読み解き支援(過度な要求になっていないかの整理)
  • 「どこまで対応できているか」を示すための考え方整理

このような企業に向いています

  • 情報セキュリティに本格的に取り組む必要性を感じている

  • 取引先・委託元からセキュリティ対応を求められる可能性がある

  • まずは規程整備から、無理なく始めたい

  • ITやセキュリティの専門人材が社内にいない

  • 現場が回らないルールは作りたくない

Rapture 20240830155716

情報セキュリティ立上支援サービス提案資料

提案書をダウンロード

まずはお気軽にご相談ください

初回1時間の相談は無料です。お話をお聞きした上で最適な支援をご提案します。

お問い合わせ
お問い合わせ