グループ約5,000名が学ぶ!豊富な機能と国産製品ならではのコンテンツでセキュリティリテラシー向上を推進
- 兼松株式会社
- 塚越 拓摩 氏 日下部 優 氏
兼松株式会社様が指揮を執り、兼松グループに所属する約5,000名に向けたサイバーセキュリティ教育を推進しています。海外製ツールから国産ツールである『セキュリオ』に切り替え、メール経由のランサムウェア被害、フィッシングによるアカウント乗っ取りだけでなく、商社の商習慣ならではのBECリスクなど、サイバー攻撃に対するさらなるリテラシー向上を目指します。セキュリティリテラシーを高めていくことは、BCP観点でも欠かすことができません。
※本事例はセキュリオ代理店であるGSX社経由での導入事例となります。
対談者プロフィール(※所属・役職は取材時現在のものです)
兼松株式会社
IT企画部 IT運用課
塚越 拓摩 氏
LRM株式会社
執行役員 セキュリティ事業本部
営業部 部長
日下部 優 氏
商社ならではのサイバー攻撃リスクに備える
塚越氏)兼松グループは、1889年創業の総合商社であり、国内外に幅広い事業領域と拠点を持つグローバル企業です。車両・航空、電子・デバイス、食料、鉄鋼・素材・プラント、ICTソリューションなど、多岐にわたる事業セグメントを展開し、日本国内5拠点、海外33拠点を構えるグローバルネットワークを形成し、連結従業員8,644名が業務に従事しています。135社のグループ企業を抱え、多くのお客様とビジネスを日々行っていることから、兼松IT企画部がリードして、グループ含む全従業員に対するサイバーセキュリティ教育に力を入れています。例えば、兼松では、様々な穀物を外国から輸入をしています。輸入元の一部の国では、政情や経済の変化が激しく、取引先が指定する金融機関や口座が頻繁に変更されるケースがあります。そこに巧妙なBECが紛れ込んでくると、日常のコミュニケーションであるのか、BECであるのかを見極めることのハードルが高くなります。さらにはサイバー攻撃者のAI利用に伴い、文面で見極めることが困難になりつつあります。このような商社ならではのサイバー攻撃リスクにも対処していくため、サイバーセキュリティ教育の重要性が年々高まっています。
海外サービスの不便さ、国産サービスの利便性
塚越 拓摩 氏 (兼松株式会社)
塚越氏)長年サイバーセキュリティ教育に取り組んでおり、2021年3月には海外製のサービスを導入して運用をしてきました。当該ツールを活用し、本社従業員、新入社員、海外拠点、国内関係会社など様々なセグメントに対し、年間を通してメール訓練を実施し、開封率などのデータを取得してモニタリングを行ってきました。海外従業員には英語で送信するなど、対象者ごとに訓練内容を変更したり、役職別・部門別の訓練結果を全社共有することで、気づきの機会を提供、意識の定着を図っています。また、IPAが毎年発表している重大脅威も参考にするなど、最新のトレンドに沿った訓練になるよう配慮をしています。
当該海外製のサービスを約5年に渡り利用してきましたが、幾つか課題を感じていました。例えば、教育コンテンツが少なく、かつ英語がメインの提供であるなど、メール訓練以外の教育が難しい点が挙げられます。また、管理コンソールが英語であるため、利用者は英語がある程度理解できる必要があります。そのような課題を認識していたところ、当社も参画する日本サイバーセキュリティファンドがサイバーセキュリティ教育サービス『セキュリオ』を提供するLRM社に出資したことをきっかけに、同サービスの説明を受け、PoCをすることにしました。PoCの結果、『セキュリオ』を導入することで、以下の課題を解決できると判断しました。まずは兼松・兼松エレクトロニクス・兼松コミュニケーションズの3社、約5,000名が3月以降順次利用開始予定です。
操作に慣れるまでに時間がかかる
操作もシンプルでわかりやすい
メール訓練以外での従業員教育が難しい
作成〜報告まで運用側の工数がかかる
柔軟性がない
割り当てられた配下の結果のみ確認可能
社内報告、運用代行のサポートあり
充実した事後教育、自動化・AI化、見える化
塚越氏)『セキュリオ』は従業員のセキュリティリテラシーを高めるためのメール訓練とeラーニング提供が中心になったサービスです。豊富なeラーニングコンテンツが毎月更新され、IPA10大脅威にならった内容のコンテンツも提供されています。日本国内のサイバー攻撃トレンドなども加味されてコンテンツが提供されるため学習効果が高まります。例えば、先日社長の名前をかたってLINEグループを作成させるメール詐欺が日本全国各地で発見されましたが、すぐにその内容を模したコンテンツが提供されました。国産サービスならではの柔軟な対応と評価しています。『セキュリオ』にはメール訓練の機能も提供されています。兼松では、開封率は一般的な指標とされる10%を目指して訓練している一方で、これまでユーザー単位での成績推移は測れておらず、かつ、開封率以外の目標がない点は課題と認識しています。『セキュリオ』は日本人が作ったならではのわかりやすい管理画面で個人単位での成績を可視化できるため、個人成績の改善やeラーニング受講率等もKPIに織り込んでいきたいと考えています。また、メール訓練を実施すると、訓練を実施する部門(情報システム部門など)には、様々な運営上の負担が発生します。例えば、メール開封者に対するeラーニングコンテンツの提供や管理部門への報告などが挙げられます。その点『セキュリオ』では、メール訓練の開封者に対してeラーニングコンテンツが自動で配信されます。このように受講者側の知識獲得のみならず、運営者側にも配慮されたツールであると評価しています。
豊富なeラーニングコンテンツ
テスト形式で学びを深める
メール訓練に引っかかった従業員へのeラーニング自動配信の例
AIによる報告メールの脅威自動判定 ※Advanceプランの機能
ユーザーダッシュボードの例
訓練ではないメールの報告数、受信から報告時間までの例
国産サービスならではの品質
日下部 優 氏 (LRM株式会社)
LRM社)セキュリティ教育クラウド『セキュリオ』は、AI時代のリスクに対応したセキュリティ教育が実施できるクラウドサービスです。標的型攻撃メール訓練、eラーニング、フィッシング報告機能に加え、専門家の運用支援もご利用いただけるため、ご担当者様の負担を軽減し、組織全体のセキュリティ意識を向上することができます。おかげさまで導入実績は2,400社を超え(2026年2月現在)業種/規模問わず、様々な企業様にご導入いただいています。
『セキュリオ』はセキュリティコンサルティングの現場で培ったノウハウを基に、実践的で質の高い教育教材を提供したり、国内トレンド等をテンプレートや教材に反映したり、教育計画の策定支援やオリジナル教材の作成、教育実施後の分析/改善など、様々な観点からセキュリティ教育をサポートできる点が多くのお客様からご評価をいただいており、国産サービスならではの強みになっていると自負しています。
兼松様では、約5年間海外製のサービスを利用していらっしゃり、いくつかの課題をお持ちでした。それぞれの課題について、『セキュリオ』では次のような課題解決に貢献しています。
・教材(コンテンツ)の質と量海外製品でもeラーニングなどコンテンツを提供しているものの、登場人物が日本人ではなかったり、翻訳した日本語が変であったり、日本の商習慣を反映できていなかったりと、学習の障壁になると課題感に挙げるお客様が多くいらっしゃいます。『セキュリオ』ではセキュリティコンサルティングの現場で培ったノウハウを基に、日本の商習慣も考慮した実践的で質の高いコンテンツを提供しています。また、コンテンツの量にもこだわりを持っており、毎月1つ以上のコンテンツを追加しており、豊富なコンテンツで学びを深めていただく環境が整っております。
・従業員へのフォローアップ訓練を実施して終わってしまう、eラーニングを実施して終わってしまう、という点に課題を感じていらっしゃるお客様も多くいらっしゃいます。国内外問わずいくつかのツールでは、教育後のフォローアップ(例えば、開封した従業員に学習コンテンツを課す)は手動で行う必要があり、これがフォローアップが進まない1つの原因になっています。『セキュリオ』では訓練・フォローアップを自動化することができ、学びの深化に加え、運用工数の削減を実現することができます。
・管理コンソールの使いやすさ海外製品のUIは、操作性・表現・レイアウト・デザインなど日本人には馴染みにくく、使いにくさを感じるという点を課題に挙げるお客様がいらっしゃいます。『セキュリオ』ではお客様ヒアリングをもとに、日々UI/UXの改善に取り組んでおり、担当者/受講者の方が直観的に利用しやすいシンプルな使い勝手を目指しています。
・権限設定の柔軟性権限設定もお客様から声をいただくことが多く、それらの内容を踏まえてアップデートを行っています。
・カスタマイズやサポートの充実海外製品はカスタマイズに応じてもらうことは極めて困難であることが多いようです。また、サポートを受ける際は代理店が窓口になり、時には本国に問い合わせが発生するなど、時間を要することも課題として挙げるお客様がいらっしゃいます。『セキュリオ』は社内で開発を行っているため、製品サポートはもちろんのこと、教育計画の策定、オリジナル教材の作成などセキュリティコンサル事業のノウハウを活かした運用支援を行っています。
上記に加え、兼松様ではご契約されていませんが、教育効果の最大化/担当者の工数削減を実現するため、機能間連携/サービス内でのAI機能の開発に取り組んでいます。例えば、不審メールが受信者から報告として情報システム部門にエスカレーションしてきた際に、報告されたすべての事案を人が内容を確認し判断するのではなく、AIが脅威判定を行い、脅威の可能性が高い事案のみを人的に対応していくことで、担当者の工数削減につながります。お客様のニーズを日々お伺いし、サービス改善していくことができる点が国産サービスの大きな特徴といえます。
LRMでは日々お客様からいただくご意見や現場の課題をもとに、多くの企業様に共通するニーズを意識しながら改善を重ねており、その積み重ねの結果として、今回、兼松様のご要望にも自然にフィットする形になったと考えています。
ポイントの整理
- ビジネスの特徴に合わせた教育を実施する
商社に起こりがちなリスクを認識し、教育に取り組んでいらっしゃいます - 訓練結果に沿った学習機会の提供
一律の教育だけではなく、訓練結果に基づいた学習機会の提供に取り組むことが計画されています - 国産ツールの強み|柔軟性
お客様のニーズを日々お伺いし、ツールのアップデートやサポートが提供されています - 国産ツールの強み|日本商習慣・文化の踏襲
日本の商習慣や文化などを踏襲されたコンテンツが豊富に提供されています
兼松株式会社について
- 本社:東京都千代田区丸の内2-7-2 JPタワー
- 設立:明治22年(1889年)8月15日
- 従業員数:単体:821名 連結:8,644名(2025年3月31日現在)
- Webサイト:https://www.kanematsu.co.jp/
