Cases 導入事例

三井製糖株式会社　総務人事部　情報システム課 谷田部 治 氏

「スプーン印」で知られる三井製糖株式会社（以下、三井製糖）では、標的型メール対策の一環として、「SPC 標的型メール訓練」を採用しました。ご担当者に、メール訓練サービスを導入した経緯とねらいについて詳しく伺いました。（取材日：2021年8月）

---

全社員への訓練実施で、攻撃を受けた際に想定される被害状況が可視化。役員の意識向上にも影響。

---

セキュリティトレーニングをきっかけに、より実戦的なメール訓練を導入

---

実施回数、コスト、運用負荷、訓練メールの提案内容を要件にサービスを選定

－メール訓練サービスを選定した際の選定条件について教えてください。

まず実施回数に関してです。年1回程度の実施をメニュー化しているサービスは他社にも多かったのですが、年1回もしくは半年に1回の訓練では、メールの内容も限られ、訓練の効果は限定的だと考えて、より多くの回数を経験した方が良いのではと考えました。

また、訓練メールの内容に関しては、専門家のノウハウを活用したいという考えが強くあり、これらの要素がパッケージ化されているサービスを導入したいと考えました。

訓練の実施回数が増えれば、その分運用負荷やコストも増えますので、その点も留意しました。

－SPC 標的型メール訓練を採用した理由を教えてください。

ネットなどで調べる中で、SPC 標的型メール訓練を知りました。ほかのサービスとも比較し、次の5つの点で採用を決めました。

【1】訓練メールの内容が優れている
訓練メールのサンプルが、オーソドックスなものから最新の時事情報まで、巧妙に内容が練り上げられていたので、さまざまなメールの内容で訓練ができ、高い効果が期待できると判断。

【2】複数回の訓練でありながら、料金のバランスが良い
SPC 標的型メール訓練は、年に4回以上、定期的に訓練を実施することを推奨したサービスが設計されており、実施回数も希望に応じて選べるため、コストパフォーマンスが高いと判断。

【3】 運用負荷がかからない
準備からメールの内容、配信、結果集計まで、ソースポッドに一括対応してもらえるので、運用負荷がかからない。

【4】 送信システムが使いやすい
訓練用の標的型メールを送信するシステム（MudFix）が秀逸で、オペレーションが容易。

【5】 ソースポッド社の実績が豊富である
メールセキュリティのプロフェッショナルであるソースポッドは、標的型メール対策をはじめとするメールセキュリティサービスをはじめ、各種サイバーセキュリティサービスを扱っており、大企業や官公庁、金融機関などにおける導入実績が豊富なので、安心して利用できる会社だと判断。

－訓練メールに対する社員の方の反応はいかがですか。

メールの内容やタイミングによって異なりますが、本物の標的型メールと同様、訓練メールも内容が巧妙でひっかかってしまうため、思わず開いてしまう人が確認できています。

初回の訓練メールは年末調整というリアリティのある内容で、社内で本当の年末調整の通知があったタイミングと同じだったこともあり、クリックした社員が一定数いました。

最近実施した3回目の訓練はコロナ関連の内容でしたが、1回目より少なかったものの、やはり一定数クリックした社員がいました。

－メールの内容は自社用に変更しているのでしょうか。

内容を変更すると効果が薄れてしまう可能性があるため、ソースポッドから提示された内容をそのまま使用しています。

－訓練実施後には、どのような対応を取っていますか。

総評として、結果レポートを社内の掲示板で公開しています。

訓練メールをクリックしてしまった対象者には、クリック後に注意喚起の説明が表示されるので、その内容を確認してもらっています。さらに、2回連続でクリックしてしまった対象者には、個別に注意喚起を行っています。

---

SPC 標的型メール訓練および、ソースポッドに対する要望・期待

－SPC 標的型メール訓練および、ソースポッドに対する要望や期待などがあればお聞かせください。

メール訓練を実施する際の負荷が軽く、訓練メールの内容もレベルが高いので、とても満足しています。

ソースポッドには、コロナ禍であったためリモートで対応いただきましたが、丁寧で的確なサポートを受けることができ、スムーズに訓練を導入することができました。

これからも、変わらぬ対応と質の高いサービスの提供を期待しています。