海外製セキュリティ教育サービスからの切り替えで管理工数を半分以下に圧縮!いつでも相談しやすい「怒らない CSIRT室」の実現に向けたオンライン証券会社の取り組み
- 株式会社SBI証券
- IT統括部 CSIRT室・佐藤様
IT統括部 CSIRT室・小西様
株式会社SBI証券は、インターネット等を通じた個人投資家向けの証券取引サービスを主軸に、多岐にわたる金融サービスを提供しています。
金融業界では、不正送金や口座情報の詐取、株価操作といったサイバー攻撃のリスクが増大の一途をたどっています。こうした外部環境に備えて、SBI証券では2024年11月に、これまで利用してきたセキュリティ教育サービスから「セキュリオ」へと移行しました。
今回は同社のCSIRT室の担当者に、セキュリオ導入経緯や導入後の効果、今後のセキュリティ対策の展望などについて話をお聞きしました。
- 会社名
- 株式会社SBI証券
- 業界
- 金融・保険
- 活用しているサービス
-
- eラーニング
- セキュリティアウェアネス
- 標的型攻撃メール訓練
- 社内アンケート
- 導入背景
-
- 利用していた海外製セキュリティ教育サービスの機能やUI/UX改善の対応に課題を感じていた
- セキュリティリテラシー向上のため、従業員が、日頃からセキュリティに関する情報に触れる環境を構築したかった
- 運用方法
-
- 標的型攻撃メール訓練(年4回)、eラーニング、セキュリティアウェアネス機能を活用
- 受講の案内は最低限に留め、従業員の自発的に受講しやすい雰囲気づくりに努めた
- 活用Tips
-
- 管理工数を概ね以前の半分程度に圧縮できている
- セキュリティアウェアネスの受講率が「全従業員の2/3以上」と高い水準を維持している
海外製セキュリティ教育サービスからセキュリオに切り替える
SBI証券様の事業について教えてください。
当社は、日本におけるオンライン総合証券の先駆者として、顧客(投資家)のニーズに応じた金融サービスを提供しています。
現在はSBIグループ全体で、金融サービス事業や投資事業、資産運用事業、暗号資産事業、次世代事業の5事業を展開しています。
「金融を核に金融を超える」をスローガンとして、先進技術を活用した商品・サービスの改善や新たなビジネスの創出に注力しています。
どのような体制でセキュリティ施策を行っているのですか?
私たちが所属するCSIRT室が中心となりセキュリティ対策を講じています。
CISOやリスク管理部など他部門と連携しながら、次のような5つの活動に沿って、セキュリティ対策を進めています。
- 外部攻撃対応(システムセキュリティ確保/サイバー攻撃対応)
- 顧客サービスへの侵害対応(サービスセキュリティ確保/不正アクセス対応)
- 本番環境アクセス管理(本番・開発環境管理/統制の堅確な整備と運用)
- 社内OAセキュリティ(セキュリティとユーザビリティの両立)
- システムの脆弱性管理(セキュリティホールの把握、管理、対応推進)
セキュリオ導入を決めた経緯をお聞かせください。
もともと当社では、従業員向けのセキュリティ教育を目的としたサービスを導入していました。グローバルで定評のある海外ベンダーの商品でしたが、機能やUI/UXの改善速度があまり速くなく、課題を感じていました。
LRMからは、1年ほど前にセキュリオへの切り替えに関する提案を受けていました。当時は、当社が求める要件に合わず見送りに。
しばらくして改めて提案を受けたところ、大幅に機能がアップデートされていて驚きましたね。LRMならば、日々高度化するサイバー攻撃にも迅速かつ柔軟に対応いただけると確信し、セキュリオへの切り替えを決定しました。
不審メール通報の対応工数が1/2に短縮
現在、セキュリオをどのように活用していますか?
標的型攻撃メール訓練(年4回)、eラーニング、セキュリティアウェアネス機能を活用しています。
また、単に教育や訓練を実施するだけではなく、従業員が不審なメールに気付いた際に、ワンクリックで管理者側に報告できるようなアドオン機能も利用しています。
標的型攻撃メール訓練とeラーニングは以前から行っていましたが、セキュリティアウェアネスは、セキュリオ導入をきっかけに開始しています。毎週3問ずつ配信しているので、従業員には「小テスト」のような気軽さで受講いただいているように思います。
受講を促すような声掛けなどをされているのでしょうか?
特に受講を強制するようなアクションは行っていません。
各部署の上長には、「全社の平均受講率」、「部署内の受講率」、「従業員ごとの受講状況」を伝えていますが、たとえ全社の平均受講率よりも低くても、受講を促すようなメッセージは発信しないようにしています。
従業員の自主性に任せているのですね。
「やらないこと=悪い」にすると、どうしても「セキュリティ対策をやらされている」ような空気が生まれてしまいます。
幸いなことに、証券会社に所属している私たちは、サイバー攻撃によって顧客に損害を与えてしまうことのリスクを肌身に感じています。セキュリティアウェアネスの活用が進んでいる理由のひとつだといえるでしょう。
セキュリオの仕様も、従業員の自発的な受講を促す上で良い点だと考えています。ログインすれば各自のスコアや受講履歴が分かるので、自発的な受講につながっているようです。
導入後の結果はいかがでしょうか?
まず、セキュリティアウェアネスについては、配信すると、概ね全従業員の3分の2程度が受講してくれています。
先ほど申し上げた通り、受講の催促をせずにこの水準であれば、まずまずの成果だと捉えています。
また、不審なメールを発見した従業員からの通報にかかる対応工数も、先ほど申し上げたアドオン機能により、約2分の1程度に圧縮できました。
以前のセキュリティ教育サービスにも近い機能はありましたが、不審なメールを管理者に報告して終わりでした。セキュリオには、「そのメールは本当に危険なのか?」をサジェストしてくれる機能が備わっています。1通あたり10分ほど要していた対応時間が、セキュリオ導入後は5分へと短縮することができました。
目指すは「怒らないCSIRT室」
セキュリオの機能やカスタマーサポートについて、改善点や要望はありますか?
アカウント作成時に従業員に案内メールが送られるのですが、ぜひ多言語対応してほしいです。当社は、海外にもグループ会社を展開しているので、アカウント発行に時間を要さないフローになるのが理想です。
あとはコンテンツですね。現在もeラーニングのコンテンツは充実していますが、さらにサイバー攻撃のトレンドに合わせたコンテンツが増えると嬉しいです。
貴社のセキュリティ対策で、今後取り組んでいきたいことを教えてください。
いうまでもなく、システム面のセキュリティ対策はCSIRT室でしっかり講じていきます。ただソーシャル・エンジニアリングのような、人間の心理的な弱みにつけ込んだ人的脅威を防ぐためには、従業員一人ひとりのセキュリティリテラシーを高めなければなりません。
“騙す”側も本気で騙そうとサイバー攻撃を仕掛けてくるもの。人的脅威への対策も、常に私たちが中心となってアップデートを目指す必要があるでしょう。今後もセキュリオを活用して、従業員のセキュリティリテラシー向上を図っていきたいと思います。
セキュリティリスクを恐れて、事業が止まってしまうと本末転倒ですよね。だからこそCSIRT室の役割として、従業員のケアも大切な仕事だと思います。受講率や開封率が芳しくなかったとしても、従業員の行動によってセキュリティインシデントが発生したとしても、いつでも相談にきてもらいたいと思います。
いつでも相談しやすい環境づくりのために目指すは「怒らないCSIRT室」。従業員に寄り添いながら、未知の脅威にも迅速に対応できる組織になれたらと思います。
SBI証券様、お忙しい中ありがとうございました。
取材日:2025年5月
株式会社SBI証券について
- 所在地:東京都港区
- 設立:1999年
- 従業員数:910名(2024年3月)
- Webサイト:https://www.sbisec.co.jp/company/
1999年、業界に先駆けてインターネット取引サービスを開始し、日本におけるオンライン総合証券の先駆者として事業成長を続けている。SBIグループの証券各社の証券総合口座数は1,400万を超えるなど、顧客中心主義にこだわった幅広いサービスが顧客に支持されている。
