兼松エレクトロニクス株式会社様|トラップメール(GSX標的型メール訓練サービス)/Mina Secure
兼松エレクトロニクス株式会社様は、グループとしてセキュリティ意識の向上を意図し、現状の従業員の意識レベルを可視化する手段として、GSXのメール訓練サービスと併せてeラーニング教育を採用されました。
兼松エレクトロニクス株式会社 様
兼松エレクトロニクスグループは、信頼と価値を創造する企業集団を目指し、メーカーにとらわれない幅広いIT製品の中から、常にお客様にとって最適なITソリューションをご提案してまいりました。
今後も、「お客様第一主義」・「新しい価値の創造」を念頭に、経営戦略として「グループ総合力の強化」および「事業領域の拡充」を掲げ、企業価値の向上に向かって当社グループ一丸となって邁進してまいります。また、当社の強みであるマルチベンダー機能をさらに活かし、個々のお客様の要望や変化の激しいIT業界の動向に対して、きめ細かい対応を実現してまいります。
事業内容は、IT(情報通信技術)を基盤に企業の情報システムに関する設計・構築、運用サービスおよびシステムコンサルティングとITシステム製品およびソフトウェアの販売、賃貸・リース、保守および開発・製造、労働者派遣事業などが中心となります。
目次
■ITセキュリティeラーニングサービス Mina Secure®
専務取締役(本社機構担当)
作山 信好 氏
― まず、検討のきっかけや背景をお聞かせください
きっかけとしては、兼松エレクトロニクスグループとして全社を挙げたセキュリティ意識の向上を意図し、実施しました。現状の従業員の意識レベルを可視化する手段として、メール訓練による開封動向や報告態勢と併せてeラーニング教育を実施することで、リテラシーの足並み揃えと補完作用(標的型メールそのものの知識・知見の質と量)を意図しました。
― 社内の体制はどのように検討されたかお聞かせください
兼松エレクトロニクスの情報システム部を中心に情報セキュリティ室、監査室及び日本オフィス・システムから企画部 情報システム、内部統制室も一体となり検討を進めました。
グループ内でメールシステムも異なればメーラーなどのクライアント環境も異なりましたので、事前の調整は慎重に行うことが求められました。
― 社内にどのような課題や問題がございましたか?
IT会社としてのリテラシーは他社と比べて平均以上であると認識していますが、普段すり抜けてくる標的型メールや端末感染なども決して珍しい事象ではなく、日々脅威に晒されている状況は、他の周りの企業と同様であると感じています。
そんな中、仮にもう少し踏み込んだ「インシデント」というものを目の当たりにすること、体感し教育も併せて実施すること、ルールやポリシーが存在していても社内が実際にどのような動きをするかどうかについては実施の余地がありました。
このような課題感を短期間に手間を省いて全社を巻き込んだ方法で実施できるのがメール訓練+eラーニング教育であると判断しました。我々が提唱する(お客様に対する)セキュリティパートナーを実現する上で必要不可欠な存在であるGSX社へ相談させていただき、今回の訓練実施に至っています。
― 実際の効果・効用をお聞かせください
メール訓練では、開封結果の組織別分布を把握することで、どのような応急手当と次なるセキュリティ意識の向上施策を行うかの指針を設けることができました。
あくまで数字に過ぎない開封率でしたが、その開封率が示す従業員特性(ネガティブな側面)を補完する意味合いでのeラーニング教育は実に効果的でした。兼松グループ内で、そのばらつきを足並み揃える効果や狙い、インシデントレスポンスのような考え方の定着とその運用に関する知識/知見を充足する上で有用なコンテンツをご用意いただきました。
eラーニング教育では、セキュリティの3大要件として「機密性/完全性/可用性」の文字が踊るような、ありがちな形式張ったコンテンツではなく、従業員一人ひとりが他人事ではない”自分ごとのセキュリティ”として理解できるようなストーリー性であったことも受講者に有用であったと考えています。
総じて、開封率に拘るのではなく、有事(今回は訓練でしたが...)を目の当たりにしたときの報告や抜線に代表される初動対応やポリシーに則ったフローがどの程度実施できるのか?を追求して考えることで新たな気付きを悟れるものと理解しました。
今回の開封結果や同業他社との違いを現実のものと受け止め、目的でもあった「兼松エレクトロニクスグループのセキュリティ意識の向上」に向けたアクションを取るところです。
また改めて、開封率ゼロを目指すことが目的ではなく低減させることも重要ですが、有事に直面した時の初動対応の大切さや足並み揃えた教育実施を身を以て体感できたことが最大の効果です。
― 弊社の他に他社サービスを検討されましたか?
GSXの他に2,3社検討しましたが、実績の多さや教育コンテンツの豊富さが決め手となりました。GSXのメール訓練がマーケットシェアNo.1であるがゆえのサービス提供品質(各種教育コンテンツの提供により我々企画部門の負荷軽減を実現できました)や、同業他社の開封率データ開示により、自社のリテラシーが可視化できた点が他社の提案内容と明確に異なるポイントでした。
実績No.1であることで安心して訓練を実施できましたし、セキュリティ意識の向上目的が素地となって、訓練による状況把握と可視化、加えてリテラシーの補完としてeラーニング教育を通して課題解決を意図しました。
― 今回のメール訓練とeラーニング教育を受けて、改善して欲しいリクエストはございますか?
継続的な訓練を実施し、従業員の態勢や事務局側(情シス企画部門)の対応をモニタリングするとともに、実際の有事を想定した訓練実施という意味合いでは、スポット実施ではなく、四半期毎の年間スケジュールでご提案(年間契約のような形態)いただけると他の行事や教育関連イベントと併せて実施ができ、更に効果的な訓練や教育にとなると思われます。
今後ともどうぞ宜しくお願いいたします。
会社名
兼松エレクトロニクス株式会社
本社所在地
東京都中央区京橋2-13-10 京橋MIDビル
設立
1968年(昭和43年)7月23日
資本金
90億3,125万円
従業員数
(平成30年3月31日現在)
(単体)415名
(連結)1,235名
代表者
代表取締役社長
菊川 泰宏
標的型攻撃メールを模擬・模倣した、実際には無害の訓練メールをユーザー(社員/職員)に送信します。訓練メールに含まれる、URLリンクあるいは添付ファイルを開封した対象者には、教育コンテンツが表示されると共に、開封した日時等のアクセスログがGSX訓練サーバ側に取得されます。最後に訓練結果を集計し、ログデータ一式と共にご報告差し上げます。ただ訓練を行うだけでなく、攻撃者(犯罪者)の手口やシナリオを解説しながら、インシデント発生時の実対応力向上を図り、訓練メール受信者のアウェアネス向上だけでなく、訓練後の報告書では組織全体のリスクコントロール改善に繋がる内容が浮き彫りになるため、事後の勉強会や経営層向けの報告会まで含めたトータルな「体験型提案」が高い評価を得ています。
■ ITセキュリティeラーニングサービス Mina Secure
インターネット接続できる環境であれば、どこでもどなたでも受講可能なeラーニングよる教育サービスです。可能な限り平易な言葉を用いたうえで、一般ユーザの方ご自身の日常業務に自然とセキュリティ意識が溶け込み、根付く様な説明・表現を念頭に作成しています。ライセンスをご購入いただきクラウド型のサービスとしてご提供致します。標的型メール訓練サービスと組み合わせて実施することで、インシデント発生時の報告フロー等を従業員の皆さまがより身近に認知していただけるメリットがあります。
兼松エレクトロニクス株式会社 様 導入事例紹介リーフレット (PDF 1.1MB) 
本記事のシェアはこちらから
