相鉄ビジネスサービス株式会社様|トラップメール(GSX標的型メール訓練サービス)/Mina Secure
相鉄ビジネスサービス株式会社様は、従業員のセキュリティ意識向上のため各種施策と併せて標的型メール訓練を実施されており、今回、メール訓練の補完施策として初めてeラーニング教育も活用されています。
相鉄ビジネスサービス株式会社 様
相鉄ビジネスサービスは、相鉄グループのシェアードサービスセンターとして、相鉄グループ各社の間接業務を集約し、業務の効率化を推進するとともに、業務改革の牽引役として、グループ全体での業務改革風土を醸成する役割を担っています。
そのプロセスにおいて、社員一人一人が高い専門性を養い機動力を発揮し、各分野で質の高いサービスを提供し、信頼をいただいています。
事業内容としては、人事給与業務、経理業務、システム業務、総務広報業務など、業務処理の効率改善やコスト削減など抱えている問題に適したサービスをご提案し、お客様の経営戦略をご支援しています。
目次
■ITセキュリティeラーニングサービス Mina Secure
コンサルティング部
コンサルティングサービス 係長
由田 淳司 氏
シェアードサービスグループ
システム担当
北郷 孝明 氏
― まず、検討のきっかけや背景をお聞かせください
相鉄グループ従業員のセキュリティ意識向上のため、各種施策と併せて標的型メール訓練を実施してきており、従来施策ではCSR研修(セキュリティ研修含)がありますが、今回はメール訓練の補完施策として初めてeラーニング教育も実施しました。
システム的な施策(例.出入口対策やエンドポイントセキュリティなど)と人すなわち従業員への施策(例.メール訓練やeラーニングなど)が偏らないように両側面で実施しました。
― 社内の体制はどのように検討されたかお聞かせください
相鉄グループ全体(運輸業、流通業、不動産業、ホテル業など)での実施となりましたので、シェアードサービスグループが主管となり、各種調整を図りました。
今回の訓練及びeラーニングに関する運用の進め方などは、当該部署であるシェアードサービスグループのシステム担当側で推進しました。
― 社内にどのような課題がございましたか?
セキュリティを強化するため各種サービスや機器の導入を推し進めています。従業員一人一人がさらに高いリテラシーを習得する為にシステム担当としてどういった仕組みを構築するべきか課題として捉えていました。
― どのような解決策を検討されましたか?
セキュリティ強化の一環でリテラシーを向上させるため、メール訓練を過去1度実施しました。開封率は低下傾向にあるものの、一定以上の開封者は必ず存在するため、eラーニングによる補完施策の検討が必要であると感じていました。
― 弊社の他に他社サービスを検討されましたか?
メール訓練サービスについてGSXの他に他社のサービスも検討させていただきました。GSXのサービスに決定した理由として教育コンテンツのバリエーション、アンケート内容を自由にカスタマイズでき、柔軟にご対応いただけることが決定材料となりました。
また、配信文面サンプルの充実度やサービスカスタマイズ性、各種リクエストに対する柔軟性に富んでいるところ、実績の多さが決め手となりました。
eラーニングについてはコンテンツ内容が濃く、「アニメーションがたくさんあって分かりやすかった」と好評でした。
― 実際の効果・効用をお聞かせください
象徴的なのが、訓練・eラーニング教育ともにアンケート実施時に現場レベルからも「セキュリティ意識向上の必要性」についての言及・提案があったことです。
「セキュリティに関する知識を身につけたい、訓練は定期的にやるべきだ」という声が一定数ありましたが、従業員からすると「セキュリティは意識しているものの、実際にはどんなポイントに気をつけたらよいのか分からない…」というのが実情なので、その声に応えられる施策が必要であると認識していました。今回の訓練やeラーニングを通じて管理者側の意識も変わり、気づきがありました。
またeラーニングによる体験型研修の有用性が分かりましたので、引き続きセキュリティ意識向上を維持・継続するためのアクションも必要であると感じています。
例えば、「ソーシャルエンジニアリング」に関するコンテンツでは、セキュリティに関する意識を社内はもちろんのこと、社外においても更に意識すべきことを従業員に意識付けでき、新たな着眼点を持ってもらうことで想定以上の効果がありました。
一部の従業員には「不審メールを受信したときの対応方法がよくわからない。受信した際の対応方法はどこに掲示されているのか?」のような指摘がありますが、これは訓練主宰側がいくら情報発信や掲示を行っても実際には受信者側の気づきが無い限り、セキュリティ意識向上までには到達しません。「どのように従業員の意識に働き掛けるのか?」「訓練における難易度を上げるべきか?維持すべきか?」のような意識改革のご支援まで含め、サポートをご提供いただけると理想的な訓練となります。
根本思想として、今回の訓練やeラーニングはこれで終わりではなく、セキュリティ意識向上は今後も中長期的に継続していきます。
― 今回のメール訓練とeラーニング教育を受けて、お気づきの点はございますか?
eラーニングの受講案内を送付した際に、案内自体が標的型攻撃メールと従業員に勘違いされてしまう場面があった為、従業員へ送付するメール内容(件名、本文)を管理者側で編集できる機能があると良いですね。
今後ともどうぞ宜しくお願いいたします。
会社名
相鉄ビジネスサービス株式会社
本社所在地
横浜市西区北幸2-9-14
設立
2000年11月22日
資本金
3,000万円
従業員数
(2018年7月1日現在)
237名(男性119人 女性118人)
代表者
取締役社長
池田 厚二郎
標的型攻撃メールを模擬・模倣した、実際には無害の訓練メールをユーザー(社員/職員)に送信します。訓練メールに含まれる、URLリンクあるいは添付ファイルを開封した対象者には、教育コンテンツが表示されると共に、開封した日時等のアクセスログがGSX訓練サーバ側に取得されます。最後に訓練結果を集計し、ログデータ一式と共にご報告差し上げます。ただ訓練を行うだけでなく、攻撃者(犯罪者)の手口やシナリオを解説しながら、インシデント発生時の実対応力向上を図り、訓練メール受信者のアウェアネス向上だけでなく、訓練後の報告書では組織全体のリスクコントロール改善に繋がる内容が浮き彫りになるため、事後の勉強会や経営層向けの報告会まで含めたトータルな「体験型提案」が高い評価を得ています。
■ ITセキュリティeラーニングサービス Mina Secure
インターネット接続できる環境であれば、どこでもどなたでも受講可能なeラーニングよる教育サービスです。可能な限り平易な言葉を用いたうえで、一般ユーザの方ご自身の日常業務に自然とセキュリティ意識が溶け込み、根付く様な説明・表現を念頭に作成しています。ライセンスをご購入いただきクラウド型のサービスとしてご提供致します。標的型メール訓練サービスと組み合わせて実施することで、インシデント発生時の報告フロー等を従業員の皆さまがより身近に認知していただけるメリットがあります。
相鉄ビジネスサービス株式会社 様 導入事例紹介リーフレット (PDF 1.1MB) 
本記事のシェアはこちらから
