標的型攻撃メール訓練サービス導入事例
日機装株式会社 様

独創的な発想と高度な技術を生かした唯一無二の
ソリューションを提供している日機装株式会社
標的型攻撃メール訓練サービス導入で、
社員に対するセキュリティ啓蒙活動の浸透状況をチェック
社員のセキュリティ意識を可視化

(写真左から、日機装株式会社 湯脇様、小山様)

我々としてはセキュリティ教育が社員隅々まで行き届いているかどうか不安がありました。そこで求めたのが標的型攻撃メール訓練サービスです。我々が行ってきたセキュリティの啓蒙活動が社員に浸透しているかどうか判断する施策として、標的型攻撃メール訓練サービスが最適な効果測定になるのではないかと考えました。

日機装株式会社 様
本店所在地
東京都渋谷区恵比寿4丁目20番3号 恵比寿ガーデンプレイスタワー22階
創業
1953年12月
資本金
65億4,433万9,191円
従業員数
2,046名 (グループ会社連結:8,346名)
URL
https://www.nikkiso.co.jp/
課題
これまでハードウェア・ソフトウェアの両面で十分な対策をしてきたが、どんな対策をしていても、脅威となるものはこれをすり抜けてユーザーのもとに届いてしまうことがある
解決
セキュリティの啓蒙活動が社員に浸透しているかどうか判断する施策として、標的型攻撃メール訓練サービスを導入。最適な効果測定を行う
効果
標的型攻撃メールのクリック数の平均は3~4%とのこと、今回の当社の結果約1%は満足できる結果。何より、このように標的型攻撃メールに対する社員の意識を可視化できた

独創的な発想と高度な技術を生かした唯一無二のソリューションを提供

御社の会社概要についてお聞かせください。

小山様当社は1953年創立以降、専門性が高い産業用特殊ポンプのリーディングカンパニーとして高圧・無漏洩・極低温など、過酷な条件下で使用するための課題解決に貢献してきました。原油・天然ガスの開発・採掘からLNG輸送、石油精製、化学品、医薬品・食品などの生産に至るまで、世界中のさまざまな業界に課題解決のためのソリューションを提供しています。

現在のコア事業についてもお聞かせください。

小山様現在はポンプの技術を生かし、特殊ポンプのほか、産業用機器、航空宇宙、メディカル、深紫外線LEDという分野で躍進しています。産業用機器では電力という重要な社会インフラを支える発電プラントから、スマートフォン、タブレット、パソコンなどに使われる電子デバイス部品、食品・製紙・医薬まで当社の技術がさまざまな産業分野で活躍しています。
航空宇宙では、当社が開発した世界初の炭素繊維強化プラスチック(CFRP)の技術・品質・納期遵守の実績が評価され、市場シェア90%以上を誇るカスケードをはじめ、さまざまな航空機部品の製造を手がけています。メディカルの分野では、ポンプの技術を使って国内初の人工透析装置を開発。その後、独自の技術とノウハウで血液浄化分野や周術期・救急分野、さらには外科領域へと新たな事業を拡大しています。さらに、短い波長の紫外線を使って水や空気を浄化する期待の新技術「深紫外線LED」は、空気中や水中の菌・ウィルスの殺菌などが可能。業界のパイオニアとして注目が高まっています。

御社の事業の特色と今後の事業展開をお聞かせください。

小山様当社は安く、大量にものをつくって売る会社ではありません。独創的な発想と高度な技術から生まれた製品は「万が一」が許されない過酷で社会的価値の高い環境下で威力を発揮し、お客様から高い評価をいただいています。
事業展開としては海外に比重を置きつつ、「日機装だからこそ、やってくれる」「日機装にしか、できない」というお客様からの期待に、そして社会からの要請に応え続けるべく、これからも技術の力を磨き、ものづくりの力を高めていきます。

セキュリティ啓蒙活動の浸透状況を効果測定する標的型攻撃メール訓練サービス

標的型攻撃メール訓練サービスが必要となった背景をお聞かせください。

湯脇様まず、我々の部門は国内グループ会社を含む日機装ネットワークのセキュリティ関連業務を管轄しており、これまでハードウェア・ソフトウェアの両面で十分な対策をしてきたという自負があります。ハードウェアの面では次世代ファイアウォールはもちろん、エンドポイントにもNGAV(Next Generation Anti Virus/次世代アンチウイルス)やEDR(Endpoint Detection and Response)を導入し、URLフィルタリングも設定しています。
しかし、どんな対策をしていても、脅威となるものはこれをすり抜けてユーザーのもとに届いてしまうことがあります。そこで、インシデントに対処する社内CSIRT(Computer Security Incident Response Team)体制を構築してセキュリティ事故発生時に備え、さらに事故発生リスク低減のため、半年に1度の頻度でセキュリティ対策や最新トレンドをレクチャーするeラーニングを全社員に行うなど、ソフトウェア面での対策にも力を入れてきました。

セキュリティ対策を行ってきたのにもかかわらず、なぜ標的型攻撃メール訓練サービスが必要になったのですか。

小山様確かにこうしたセキュリティ対策により、幸いにも大きな被害は発生していません。標的型攻撃メールが届いたとしても「怪しいメールがきました」と我々に連絡があるので、基本的には社員のセキュリティへの意識は高いと考えています。
とはいえ、我々としてはセキュリティ教育が社員隅々まで行き届いているかどうか不安がありました。我々に連絡してきた方は、“たまたまセキュリティへの意識が高かった人”だったかもしれないわけですから安心はできません。
そこで求めたのが標的型攻撃メール訓練サービスです。我々が行ってきたセキュリティの啓蒙活動が社員に浸透しているかどうか判断する施策として、標的型攻撃メール訓練サービスが最適な効果測定になるのではないかと考えました。

自社運用が可能かつ費用対効果の高いサービス

標的型攻撃メール訓練サービスに求めた要件をお聞かせください。

湯脇様最初はさまざまな標的型攻撃メール訓練サービスのサイトを参照して比較・検討しました。その過程で、我々が求める要件が以下のように固まってきました。

<自社での運用>
サービスの運用を丸投げできるサービスもありましたが、ベンダー任せにしてしまうとベンダー側の都合が優先される場合があるのではという危惧がありました。我々としてはメール訓練自体を自分たちでコントロールしたいと思っていました。

<コストパフォーマンス>
標的型攻撃メール訓練サービスは、1回で終わる施策ではないと考えていました。つまり、継続して利用していく場合、コストは重要な要件となります。また、前述したように訓練を自分たちでコントロールすることに抵抗がなかったので、それによってコストが抑えられるのなら願ってもないことと考えました。

<充実したサポート>
初めて運用するわけですから、その都度、密に相談させてもらいたいと思っていました。そこで、こちらからの相談に対し親身になってサポートしていただけるベンダーを要件にしました。

柔軟なカスタマイズと安心サポートのクロス・ヘッドに依頼

クロス・ヘッドの標的型攻撃メール訓練サービスを選定したポイントをお聞かせください。

湯脇様2019年5月にクロス・ヘッドを含め、3社のベンダーに足を運んでいただき、詳しいサービスの話を伺いました。その結果、以下の理由でクロス・ヘッドのサービスを選定させていただきました。

<自社運用に加え柔軟なカスタマイズも可能>
クロス・ヘッドのサービスは、自社運用はもちろん、あらかじめ20個ほどのテンプレートが用意されており、そのテンプレートを使って自由にメールをカスタマイズすることができます。この自由度の高さに魅力を感じました。

<低コストで運用できるサービス>
配信するメール数によって価格が変わるサービスが多いなか、クロス・ヘッドのサービスは実施回数や送信メール数に関係ない定額制。1回の配信で約2500通と考えていたので、かなりお得感があるサービスでした。

<安心サポートと簡単導入>
話を伺うと、技術の方とも直接顔を合わせながら調整いただけるとのこと。しかも、クラウドにアクセスし、選択・実行をするだけの簡単導入。我々が要望する短納期での実施にも無理なく対応できる仕組みが提供されていたため、選定に至りました。

具体的な実施内容を教えてください。

湯脇様流れとしてまず、9月のeラーニングのなかで10月に標的型攻撃メール訓練サービスを実施する旨を社員に通達。社員の警戒感が強くならないように、具体的な日時までは示唆していません。
そして10月、テンプレートをカスタマイズして「クリックしないとアカウントは停止します」といった内容で、ポータルサイトのパスワードを搾取しようとする標的型攻撃メールを作成し、約2500通を一斉送信しました。初回ということもあって、個別に標的型攻撃メールの内容は変えませんでした。実施後、クリックしてしまった人には、もう一度eラーニングの受講を依頼しました。

今回の具体的な実施内容は以下の通りです。

実施時期2019年10月
メール配信数約2500通
メール内容すべて同一
問い合わせ数約200件(約10%)
クリック数約20人(約1%)

標的型攻撃メールに対する社員の意識を可視化

標的型攻撃メール訓練サービスの結果をどのように捉えていますか。

小山様具体的な数字は想定していませんでしたが、クロス・ヘッドいわくクリック数の平均は3~4%とのことですので、当社の約1%は満足できる結果です。何より、このように標的型攻撃メールに対する社員の意識を可視化できたことが最大の成果だと捉えています。

標的型攻撃メール訓練サービス実施による効果を感じていますか。

小山様クリック数もそうですが、問い合わせのメールや電話の多さに驚きを感じました。eラーニングのなかで「不審なメールを受け取ったら我々の部門に相談してください」という案内をしていましたから、社員の多くが「eラーニングでの学習を疎かにしていない」と確認することができました。
実は標的型攻撃メール訓練サービス後、この訓練に関するアンケートも行いました。我々としては「こんな面倒くさいことするな」「仕事の邪魔をするな」といったようなネガティブな意見が多いと思っていたのですが、「実際に体験することができて良かった」「教育の一環として良い取り組みだと思う」など、好意的な声が大半を占めていました。
今回の標的型攻撃メール訓練サービスで社員の方々は、より一層セキュリティの意識を持ったと思います。そういう意味では、実施の効果は非常に大きかったと感じています。

標的型攻撃メール訓練サービスの評価をお聞かせください。

湯脇様操作が分かりやすく、大半のことは直感的な操作で行うことができました。分からないところはマニュアルで補足し理解を深めて操作しました。当社のメールシステムの問題で多少の確認はありましたが、クロス・ヘッドのサポートによってすぐに解決。契約後、約10日で訓練を実施することができました。
今回は、クロス・ヘッドのサポートも選定の決め手でしたので、想定以上のサポート力は当社としても高く評価しています。

次回以降もクロス・ヘッドの標的型攻撃メール訓練サービスを利用

今後もクロス・ヘッドの標的型攻撃メール訓練サービスの利用を考えていますか。

湯脇様もちろん、そのつもりでいます。今回の実施で、定期的に行っていけばセキュリティが維持・向上できると実感しました。まずは次回、もう少し難易度を上げて対象者に合わせた標的型攻撃メールの作成を考えています。

標的型攻撃メール訓練サービスの先行ユーザーとして、標的型攻撃メール訓練サービスの導入を考えている企業に向けたサービス選びのポイントなどがあればお願いします。

湯脇様標的型攻撃メール訓練サービスを利用して分かったのは、PDCAサイクルを回しつつ効果的な訓練を繰り返すことの重要性です。メールの内容・数、実施時期などを変えて標的型攻撃メール訓練を実施し、その分析結果をeラーニングに反映させるPDCAサイクルを継続的に行うことができれば、1%のクリック数はさらに低くなると思います。
そのためには、標的型攻撃メール訓練サービスを自分たちで運用できることが何より大事になってきます。その点、クロス・ヘッドの標的型攻撃メール訓練サービスは、メールのカスタマイズが自由自在。送信メール数の制限もありませんから、コストを気にせずサービスを利用することができます。さらに、実施の結果をレポートとして出力することが可能。このレポートを参考にすれば、分析というフェーズにもつなげられるでしょう。
標的型攻撃メール訓練サービスを検討されているのであれば、まずはクロス・ヘッドのサービスをリストアップすることをおすすめします。

クロス・ヘッドに対する今後の期待をお願いします。

小山様クロス・ヘッドのレスポンス、コストなどを体感できたのは良かったと思っています。今後は、標的型攻撃メールのタイムリーな情報があれば、ぜひ共有してほしいですね。
また、我々の課題はそのほかの領域でも多岐に渡るので、セキュリティだけでなく、いろいろとご相談させていただければ幸いです。今後も手厚いサポートを期待しています。引き続き、よろしくお願いします。

RECOMMEND

関連サービス

標的型攻撃メール訓練サービス

IT担当者の方以外でも簡単に社員のセキュリティ意識を可視化。「標的型攻撃メール」の訓練が実施できるクラウド型サービスです。