eラーニングに加えて標的型攻撃メール訓練を実施したことで、社内のセキュリティに関する意識がより確実に高まりました!
- トーヨーカネツ株式会社
- IT戦略グループ 担当者様
トーヨーカネツ株式会社 IT戦略グループ様は、システム監視など、トーヨーカネツグループ全体のセキュリティに関する取り組みを行っており、その一環で情報セキュリティ教育クラウド『セキュリオ』を積極的に活用されています。
今回は、セキュリティに関する取り組みや具体的なセキュリオの運用方法や成果について、ご担当者にお話を伺いました。
トーヨーカネツ株式会社について
ネット通販や生協などの物流センター内のシステム、空港の手荷物搬送システムを構築する物流ソリューション事業と原油やLNG向けの大型タンクの建設・メンテナンスに加え、CO₂の排出削減に寄与する水素貯蔵タンクの研究、アンモニア貯蔵タンクの普及に貢献するエネルギータンク事業を展開しています。また、持続可能な社会を作るため、環境、産業機械、建築分野でもサービスやソリューションを提供しています。トーヨーカネツは『革新的な技術と実行力で、社会課題を解決する「ソリューションイノベーター」』を経営ビジョンに、私たちの生活に欠かせない社会インフラを支えています。
- 本社:東京都江東区
- 創立:1941年5月
- 従業員数:連結 1,143名(2023年3月現在)
- Webサイト:https://www.toyokanetsu.co.jp
教育コンテンツが充実していることや、運用の効率化を実現できると感じ導入を決めました
トーヨーカネツ様のIT戦略グループのセキュリティチームが担う業務内容について教えてください。
社内全般のインフラやシステム監視など、トーヨーカネツグループ全体のセキュリティに関する業務を担当しています。
具体的な業務内容としては、ISMS(情報セキュリティマネジメントシステム)の推進、情報セキュリティに関する研修などの教育プログラムの提供、セキュリティへの注意喚起、およびサプライチェーンセキュリティの強化に力を入れています。
また、日本シーサート協議会への加盟を通じて、情報セキュリティに関する情報共有にも積極的に取り組んでいます。
セキュリオ導入以前の教育や、導入のきっかけについて教えてください
以前は自社独自の教育コンテンツを作成し、自社で管理できるWebサーバーを用意しCMSを利用し作成して提供していました。
この方法は質の高い研修を提供できる一方で、教育コンテンツの作成と動作確認に1か月半、さらに1,300人ほどの受講者への教育を行うのに1か月近くを要し、全体で2か月以上の時間を必要としていました。
このような状況下で、無料で標的型攻撃メール訓練を行う機会があり、その有効性を実感しました。これをきっかけに、標的型攻撃メール訓練を継続的に行うことを社内で検討するようになりました。
当初利用していた無料の標的型攻撃メール訓練サービスの継続を検討していましたが、配信数や回数の制限など運用上の要件を満たしていないことから、他のサービスを検討し始めました。そして、標的型攻撃メール訓練だけでなく、eラーニングなどの教育コンテンツも豊富に揃っていたことから、セキュリオを導入することに決定しました。
eラーニングの受講率「100%」を達成、管理者の細やかなフォローが教育の質を高めています
セキュリオを活用してみていかがでしたか?
従業員がメールを開封した際に不審なメールだと判断した時、むやみにリンクや添付ファイルを開かないようにする対策を学ぶ良い機会となったと感じました。標的型攻撃メール訓練を実施したことで、この感覚を得ることができました。
また、eラーニング教材の準備や結果の自動更新など、セキュリオの機能を活用することにより、管理者側の運用コストが大幅に削減されました。
今回の標的型攻撃メール訓練は、以下の内容で、全社員を対象に実施しました。(訓練メール配信対象者数は約1,300名)
- 誤って開封しやすいような6つのメール本文パターンを用意しました。
- 部署に関係なく、配信対象者をランダムに6つのグループに分けました。
- 各グループに対して、それぞれ異なるパターンのメールを1週間ずつずらして配信しました。
社内で、メールの本文や訓練メールに引っかかってしまった時の対応方法について問い合わせをいただくことはありましたが、セキュリオを活用することで効率的よく、かつ柔軟に訓練を実施することができました。
また、標的型攻撃メール訓練のフォローアップをeラーニングで実施しました。訓練対象となったすべてのユーザー(従業員)に対してeラーニングによる教育を実施し、全従業員のeラーニング受講を完了させることができました。
eラーニング受講率「100%」を実現に至った秘訣はありますか?
トーヨーカネツのグループ会社同士で、eラーニングの受講率をお互い確認できるようにしていることで、受講の促進を図っています。
また、管理者側では定期的に受講率を集計し、未受講者には個別に連絡を取るなど、受講の促進をしています。
受講期日には上長からも未受講者に対して声が掛けられ、全員の受講が促されました。
一方で、「ログイン方法がわからない」、「PCの準備ができていない」などの問題も現場から報告されました。
しかし、これらの問題も一つずつ解消し、全員がeラーニングを受講することができました。
本物の標的型攻撃メールが届いたときのシチュエーションを想定して、適切に対処できることが大切だと考えます
これからセキュリティ教育を行う上での課題があれば教えてください。
今回の標的型攻撃メール訓練の目的は、「不審なメールが届いたら適切なレポートラインに報告できるようにする」ことでした。
メールが届いた際に報告窓口に問い合わせが来るよう、リアリティのあるメール文面を用意し、訓練を実施しました。
実際に行った「不審メールが届いた際の報告用の窓口について知っていますか?」というアンケートでは、全体の3割ほどが窓口を知っていると回答しました。
不審メールを発見した際や誤って開いてしまった場合の適切な対応方法や報告窓口を理解していることは重要だと考えます。
今後も、全従業員が適切な対処ができるように、訓練や教育を継続して行う予定です。
今後セキュリオに期待することについて教えてください。
eラーニングなどの教育コンテンツの難易度が明示的にわかると、教材選定の際に非常に便利だと感じています。
新卒入社の従業員と情報セキュリティを学習してきた中途入社の従業員とでは、同じ教育内容でも理解に個人差が生じている可能性があります。それぞれの従業員の理解度に応じた内容を配信できるようになれば、教育の質を高め、セキュリオの活用度をさらに向上させることができると考えています。
トーヨーカネツ株式会社様、お忙しい中ありがとうございました。
取材日:2023年11月
