お客様の声

旭シンクロテックは、社員のセキュリティ意識を向上するため、情報セキュリティ教育クラウド「セキュリオ」のeラーニング機能や標的型攻撃メール訓練機能を積極的に活用されています。今回は、「セキュリオ」運用担当でいらっしゃる総務部システム効率推進グループ ・山下昌宏様に、具体的な運用や成果についてお話を伺いました。

旭シンクロテック株式会社について

1946年の創業以来、建築設備、紙パルプ設備、環境エネルギー設備、産業設備における各設備の設計・施工などを幅広く手掛けてきた実績を持つ。お客さまが抱えるさまざまな課題を解決するため、工事請負業務と設計サポート業務の両面から「ワンストップ」でサポートを提供できるのが強み。「工事請負会社から設備のソリューションカンパニー」を目指す。 2016年に中部電力グループ傘下の総合設備企業である株式会社トーエネックの子会社となり、製造プラント設備、据付、一般ユーティリティ設備工事等を通じ、地域社会への貢献と地域環境の保全にも取り組む。

• 本社：東京都港区
• 設立：1947年10月(創業は1946年11月)
• 従業員数：215名(2022年1月現在)
• Webサイト：https://www.synchrotech.co.jp/

フィッシングメールが増加する中、社員のセキュリティ意識の低さに課題を感じていた

「セキュリオ」の導入に踏み切られた背景として、貴社ではどのようなセキュリティ課題をお持ちでしたか？

私は2020年7月に当社に入社したのですが、入社してすぐの段階で、社員のセキュリティ意識が低いという問題に気が付きました。
例えば、業務上ではあるものの暗号化を全くおこなっていないUSBメモリを外部に持ち出してしまったり、会社のメールアドレスで私用のサービスに登録してしまう、といったことが見受けられ、ビジネスをおこなう上で最低限必要なセキュリティ知識や心がけというのが不足している状況でした。

フィッシングメールなどによるサイバー攻撃も増加している昨今、このままではいつ大規模な情報漏えいを起こしてもおかしくなく、このような事態が起こる前に、体系的なセキュリティ教育をおこなうことが重要だと感じたことが、「セキュリオ」導入のきっかけでした。

現在は、社内の業務効率化を横断的に推進しているシステム効率推進グループが、「セキュリオ」の運用をメインでおこない、セキュリティ教育を進めている段階です。

「セキュリオ」の導入以前、セキュリティ教育はおこなわれていたのでしょうか？

私が入社する前のことは詳しく把握していませんが、OSのアップデートなど、必要に迫られたタイミングで社内への教育・周知といったことはおこなっていたようです。しかし、定期的なセキュリティ教育は特におこなわれていなかったと思います。

Webサイトをひと目見た瞬間に「これだ！」と思い、すぐに「セキュリオ」のトライアルを実施

そのような課題のもと、体系的なセキュリティ教育を実施するために使えるサービスを探し始めた中で、「セキュリオ」に出会われたのですね。

そうですね。セキュリティ対策というとシステム導入を思い浮かべる人も多いですが、私としてはそれだけではなく、個人の意識を変えていくことも重要であると考えています。そのためにも、定期的なセキュリティ教育は大変重要であると感じていました。

教育の内容としては、まず、昨今フィッシングメールが横行していますので、攻撃を受けた場合を想定した訓練の必要があると感じていました。また、ただ訓練をおこなうだけではなく、会社からのメッセージを伝えたり、セキュリティの常識・情勢といった知識を身につけてもらうことも重要だと感じていましたので、「標的型攻撃メール訓練」と「社員研修」の両方が実現できるサービスの検討を開始しました。

検討開始から「セキュリオ」にたどり着かれた経緯を教えていただけますか？

まずはインターネットで検索をおこないました。しかし、どのサービスも料金が高く、また、料金が安いところは標的型攻撃メール訓練もしくは社員研修のいずれかしか対応していないケースも多く、当社の要望を満たすことはできませんでした。

そのようななかで「セキュリオ」を見つけたのですが、標的型攻撃メール訓練と社員研修の両方に対応しており、料金も他社に比べてかなり抑えられていたので、正直なところ、Webサイトを見た瞬間に「これだ！」と思い、早速トライアルを行わせていただき、『これならスマートに運用できる。問題なし！』という判断に至りました。

私は気になったサービスがあると、すぐに問い合わせをします。可能な場合は電話をかけますし、Webサイト上で電話番号がわからない場合はフォームから問い合わせ、迅速にご対応頂いた企業と商談を進めることにしています。
その点、「セキュリオ」は問い合わせからの反応が大変早かったのが好印象でした。お昼ごろに問い合わせをしたのですが、昼過ぎにはすぐに折り返しのご連絡をいただけました。その後、トライアルを実施し、本導入に進んだという流れになります。探し始めてから1ヶ月ほどで「セキュリオ」に出会えたので、とても助かりました。

マニュアルを見ずとも使える操作性の良さや、要望に積極的に応えてくれる姿勢が決め手に

最初から「セキュリオ」に好印象を抱いてくださっていたとのことですが、最終的な導入の決め手は何だったのでしょうか？

まずは料金面ですね。「セキュリオ」は、「標的型攻撃メール訓練」や「eラーニング」といった機能のほかにも「安否確認」「社内アンケート」など多様な機能が揃っていながら料金が抑えられています。2～3年前は標的型攻撃メール訓練だけのサービスでも導入に何百万とかかっていたイメージですので、本当に破格です。

操作性の良さも気に入ったポイントです。マニュアルを見なくても、簡単に操作がおこなえました。見るだけで操作がわかり手間がかからないというのは、どの企業にとっても嬉しい話ではないでしょうか。
当社では将来的に「セキュリオ」を様々な部門で自主的に使っていってほしいという思いがありましたので、誰でも簡単に利用できるというのは、かなりポイントが高かったです。実際、最近当社の人事総務部門が「セキュリオ」でのeラーニング運用を開始したのですが、私から15分ほど操作方法をレクチャーしただけで、すぐに利用を開始できました。

また、トライアルをする中で、私からいくつか改善要望を出したのですが、その1つが依頼してから2～3ヶ月後くらいに実装されたことも、私としては大変嬉しかったです。
「セキュリオ」の営業チームのみなさんがとても親切に対応してくださる点や、積極的にこちらの要望を聞き入れてくださる点も、「セキュリオ」の導入を決めた1つの理由となっています。

導入から半年でeラーニング研修と標的型攻撃メール訓練をそれぞれ3回実施。着実に社員に変化が！

2021年8月に本導入されましたが、その後のご利用状況はいかがですか？

今は当初の予定通り、eラーニング機能と標的型攻撃メール訓練機能を中心に利用しています。

eラーニング機能では、8月にまず1回目の社内研修を実施し、半年のあいだに合計3回の研修をおこないました。そのうち2回は私の所属するシステム効率推進グループが中心となって進め、IPAがYouTubeで配信しているセキュリティ研修動画を教材として利用しました。YouTube上の動画を使った研修がおこなえるのは嬉しいです。動画であれば耳で聞いて学習できますし、最近はYouTubeやTikTokなどが流行っていることもあり、動画に慣れている人も多いので。

また、残りの1回は人事総務部門が中心となって、YouTubeで配信している動画を使った研修をおこないました。

もともと「セキュリオ」はシステム効率推進グループのもとで運用されており、人事総務部門では使っていませんでした。ただ、私としては「セキュリオを使えば効率的に教育ができるのだから、いつか他の部門からも利用したいという声が上がってくるだろう」と思っていました。実際に、最近になって当社の役員が人事総務部門の研修でも「セキュリオ」を利用しては？と提案があったらしく、これをきっかけに、他部門でも利用するようになりました。

他部門でも短時間で運用までこぎつけられたと考えると、「セキュリオ」はどのようなユーザにも非常に使いやすいサービスであることも改めて証明されたかたちとなったので、良かったなと思います。今後は更に「セキュリオ」を横展開していき、業務に直結した研修にも使っていきたいです。

また、標的型攻撃メール訓練も今まで4回実施しており、段々と開封する人の割合が減ってきている状況です。ただ、2021年の年末に「年間のスケジュールを送ったので確認してください」という趣旨のメールを送ったところ、社員の3分の1が開封してしまいました。まだ巧妙な文面には判断を誤る可能性があることがわかりましたので、今後も高度な訓練を定期的に実施していき、注意喚起をおこなっていきたいと思っています。

標的型攻撃メール訓練をおこなうことに、社員から反発などはありませんでしたか？

もともと「こういう訓練をおこなっていきますよ」という話を事前にしていましたので、特に反発はありませんでした。社員からは、「やられた～」といった軽口を言われることはありますが、そのような冗談程度のものです。

標的型攻撃訓練のメールを開封してしまった方の反応を見ていると、人それぞれ反応は異なるものだな～と感じております。

訓練が終わったあとは、いつも結果を公表しています。公表といっても、具体的な名前を出すことはせず、開封してしまった人への気持ち的な配慮も考え、「●●部門は、●人中●人開封」というレベルです。また、当社では怪しいメールを受信した際には報告するルールになっているのですが、その報告が早かった人に関して、「●●課の方はすぐに報告してくれました。ありがとうございました」といったようにお礼とあわせた公表をおこなったりもしています。

eラーニング、標的型攻撃メール訓練以外の機能は現在利用されていないのでしょうか？

社内アンケートも少し使っています。ただ、別企業のフォーム機能をメインで使うところもあり、あまり活用はできていません。

また、安否確認機能に関しては、災害発生時にメールを自動送信する機能が実装されれば、今使っている他社サービスから乗り換えたいなと思っています。現在開発中とのことなので、機能ができたらぜひ見せてほしいです。

そのほかの機能については、まだ使えていません。情報資産管理の機能などがあることは把握していますが、まずは動的な機能を積極的に使っていき、落ち着いた時点で管理機能の利用を検討していけたらと思います。

半年間の「セキュリオ」運用の成果を、どのように感じられていますか？

フィッシングメールに対する危機意識はかなり高まってきていると感じます。

当社では福利厚生サービスを活用しているのですが、以前に一度そのサービスの名に似た存在しないサービス名を騙り、「10万円のギフト券が当たるキャンペーン」という内容の訓練メールを送信しました。その際に約1割程度の社員がメールを開封してしまい、社内で注意喚起をおこないました。

するとその後、実際に利用している福利厚生サービスから、「100万円分のポイント山分けキャンペーン」といったメールが送られてきたため、多くの社員がそれを訓練と勘違いしてしまったことがありました。
笑い話ではありますが、「こんなこともあるんだね！」と社員の訓練の成果を感じていますし、教育成功の証だと思っています。

お客様に迷惑をかけないために何をすべきか、どうすべきか社員みんなが考えられる会社へ

今後の貴社のセキュリティ対策の展望を教えてください。

悪意ある行為は日々進化していますので、その動向を把握し、適切に教育に取り込んでいくことが重要だと感じています。セキュリティ対策は「ツールを入れれば良い」という話ではないと思っていますので、基本に忠実にやっていき、お客様に迷惑をかけないために何をすべきか、どうすべきか社員みんなが積極的に考えられるようにしていきたいです。

「セキュリオ」の導入を検討されている方へのアドバイスなどありましたら、お願いします。

まずは自社が実現したいことの軸を決めること、そしてその軸をもとにしっかり比較・検証することではないでしょうか。
A社にとって良いサービスが、B社にとっても良いサービスかどうかはわかりません。しっかり自社の軸を持って比較することで、自ずと自社にとって最適なサービスを選定できるのではないかと思います。

最後に何か一言ございましたら、お願いいたします。

営業担当の山邊さんにも、とても親切に対応していただき感謝しています。今後ともよろしくお願いいたします。

旭シンクロテック株式会社の皆様、お忙しい中ありがとうございました。
今後ともよろしくお願いいたします。

取材日：2022年1月