導入事例

三井製糖株式会社

geidai.png

三井製糖株式会社 総務人事部 情報システム課 谷田部 治 氏

「スプーン印」で知られる三井製糖株式会社(以下、三井製糖)では、標的型メール対策の一環として、「SPC 標的型メール訓練」を採用しました。ご担当者に、メール訓練サービスを導入した経緯とねらいについて詳しく伺いました。(取材日:2021年8月)

全社員への訓練実施で、攻撃を受けた際に想定される被害状況が可視化。役員の意識向上にも影響。

-三井製糖におけるSPC 標的型メール訓練の利用状況について教えてください。

三井製糖では、社長や役員、一般社員はもちろん、パート社員、派遣社員など、PCを利用している全社員を対象に、SPC 標的型メール訓練によるメール訓練を実施しています。加えて、2021年4月からは、持ち株会社であるDM三井製糖ホールディングス株式会社に所属する社員も訓練対象として追加しました。契約アカウント数は500となります。

現在、訓練は3か月ごとに実施しており、今後も同じペースで実施していく予定です。

-SPC 標的型メール訓練の導入効果について教えてください。

実際に訓練を行うことで、標的型メールをクリックしてしまう社員が一定数いること、さらには、その実数や傾向などが可視化されたのは、重要な導入効果です。

その数字を実感して、経営層からは、セキュリティ対策の重要性を再認識したという声もあり、セキュリティに対する意識がより高まりました。

また、メール訓練の運用担当としては、準備からメールの送信、結果集計まで運用負荷がかからないので、継続的に実施しやすく、最新かつ最適な内容で訓練できるというのもメリットだと感じています。

訓練メールの内容によってクリック率も変わるので、単純にクリック率の変化による評価はしていません。

社員のセキュリティに対する意識やリテラシーが向上していくこと、そして、標的型メールを誤ってクリックしないようになることが狙いですが、訓練を数回実施するだけで解決できる問題ではないので、今後、継続して訓練を行うことが重要だと考えています。

セキュリティトレーニングをきっかけに、より実戦的なメール訓練を導入

-メール訓練は、以前から実施していたのでしょうか。

いいえ、メール訓練を実施したのは、今回のSPC 標的型メール訓練が初めてです。

-メール訓練を実施することになった経緯を教えてください。

近年、標的型メールの攻撃内容が巧妙化し、国内においても被害件数が急増していると言われています。また、標的型メールをきっかけとしたランサムウェアによる被害も報道されています。

実際、当社にも怪しい内容のメールが数多く届くようになりましたし、当社には製造部門もあるので、工場などが攻撃された場合、大きな損害を被る可能性も否定はできません。

標的型メール攻撃は、既存のセキュリティ対策での対応が難しく、当社においても昨年、全社員向けに標的型メールに関する座学のトレーニングを別途実施しました。

しかし、座学だけでは標的型メールの被害を防ぐことは難しく、実践的なトレーニングを行いセキュリティを強化するべきだという声があり、メール訓練を実施することにしました。

実施回数、コスト、運用負荷、訓練メールの提案内容を要件にサービスを選定

-メール訓練サービスを選定した際の選定条件について教えてください。

まず実施回数に関してです。年1回程度の実施をメニュー化しているサービスは他社にも多かったのですが、年1回もしくは半年に1回の訓練では、メールの内容も限られ、訓練の効果は限定的だと考えて、より多くの回数を経験した方が良いのではと考えました。

また、訓練メールの内容に関しては、専門家のノウハウを活用したいという考えが強くあり、これらの要素がパッケージ化されているサービスを導入したいと考えました。

訓練の実施回数が増えれば、その分運用負荷やコストも増えますので、その点も留意しました。

-SPC 標的型メール訓練を採用した理由を教えてください。

ネットなどで調べる中で、SPC 標的型メール訓練を知りました。ほかのサービスとも比較し、次の5つの点で採用を決めました。

【1】訓練メールの内容が優れている
訓練メールのサンプルが、オーソドックスなものから最新の時事情報まで、巧妙に内容が練り上げられていたので、さまざまなメールの内容で訓練ができ、高い効果が期待できると判断。

【2】複数回の訓練でありながら、料金のバランスが良い
SPC 標的型メール訓練は、年に4回以上、定期的に訓練を実施することを推奨したサービスが設計されており、実施回数も希望に応じて選べるため、コストパフォーマンスが高いと判断。

【3】 運用負荷がかからない
準備からメールの内容、配信、結果集計まで、ソースポッドに一括対応してもらえるので、運用負荷がかからない。

【4】 送信システムが使いやすい
訓練用の標的型メールを送信するシステム(MudFix)が秀逸で、オペレーションが容易。

【5】 ソースポッド社の実績が豊富である
メールセキュリティのプロフェッショナルであるソースポッドは、標的型メール対策をはじめとするメールセキュリティサービスをはじめ、各種サイバーセキュリティサービスを扱っており、大企業や官公庁、金融機関などにおける導入実績が豊富なので、安心して利用できる会社だと判断。


-訓練メールに対する社員の方の反応はいかがですか。

メールの内容やタイミングによって異なりますが、本物の標的型メールと同様、訓練メールも内容が巧妙でひっかかってしまうため、思わず開いてしまう人が確認できています。

初回の訓練メールは年末調整というリアリティのある内容で、社内で本当の年末調整の通知があったタイミングと同じだったこともあり、クリックした社員が一定数いました。

最近実施した3回目の訓練はコロナ関連の内容でしたが、1回目より少なかったものの、やはり一定数クリックした社員がいました。

-メールの内容は自社用に変更しているのでしょうか。

内容を変更すると効果が薄れてしまう可能性があるため、ソースポッドから提示された内容をそのまま使用しています。

-訓練実施後には、どのような対応を取っていますか。

総評として、結果レポートを社内の掲示板で公開しています。

訓練メールをクリックしてしまった対象者には、クリック後に注意喚起の説明が表示されるので、その内容を確認してもらっています。さらに、2回連続でクリックしてしまった対象者には、個別に注意喚起を行っています。

SPC 標的型メール訓練および、ソースポッドに対する要望・期待

-SPC 標的型メール訓練および、ソースポッドに対する要望や期待などがあればお聞かせください。

メール訓練を実施する際の負荷が軽く、訓練メールの内容もレベルが高いので、とても満足しています。

ソースポッドには、コロナ禍であったためリモートで対応いただきましたが、丁寧で的確なサポートを受けることができ、スムーズに訓練を導入することができました。

これからも、変わらぬ対応と質の高いサービスの提供を期待しています。

geidai.png

(写真左より)三井製糖株式会社 総務人事部 情報システム課 谷田部 治 氏、株式会社ソースポッド 事業開発部 市村 あゆみ、代表取締役 山本 剛

法人概要
法人名 三井製糖
所在地 東京都中央区日本橋箱崎町36番2号
ご利用数 500アカウント

※取材:2021年8月
※記載の担当部署は、取材時の組織名です。

関連製品

SPC 標的型メール訓練

SPC 標的型メール訓練【本当に効果のある】標的型メール訓練

詳細を見る