山洋電気株式会社｜SPC 標的型メール訓練 / SPC Literacy+｜導入事例

全世界のセキュリティ強化に、実践的かつ多言語に対応した標的型メール訓練と情報セキュリティ教育の導入を決めました。

山洋電気株式会社

SPC 標的型メール訓練 / SPC Literacy+

（写真）左から、山洋電気情報システム管理部部長佐藤正明氏、山洋電気ITソリューションソリューション部カスタマサービス課課長樋口和真氏、山洋電気ITソリューションソリューション部カスタマサービス課第三係係長岸田智子氏

冷却ファン、無停電電源装置（UPS）、サーボモーター等を世界市場に供給する山洋電気株式会社（以下、山洋電気）では、世の中で深刻化するサイバー攻撃に対する情報セキュリティ強化の一環で、多言語に対応したSPC 標的型メール訓練とSPC Literacy+を導入。海外グループ会社も対象とした標的型メール訓練、eラーニングによる情報セキュリティ教育を実施し、グローバルでの継続的なセキュリティリテラシー向上に取り組んでいます。ご担当者の方々に、導入の経緯と成果等について詳しく伺いました。（取材日：2025年9月）

全世界約2,300名を対象に、標的型メール訓練を実施

―山洋電気におけるSPC 標的型メール訓練、SPC Literacy+の利用状況について教えてください。

2025年9月、海外拠点を含む約2,300名を対象に、SPC 標的型メール訓練を活用した本格的な標的型メール訓練を初めて実施しました。

訓練メールの内容の要件として、社員が訓練であることに気づきにくく、かつ特定の部署だけでなく全社員向けに適用できるメール文面が求められました。当社では月に1回、従業員にパスワード変更依頼のメールを送信しているため、それとよく似た訓練メールを送信し、標的型メールに気づけるかを確認したのです。この文面は、SPC 標的型メール訓練の特長である、実践的内容かつ多言語対応により用意することができました。

今後はSPC 標的型メール訓練と併せて提供されているSPC Literacy+により、全世界の社員に動画コンテンツとテストによる情報セキュリティ教育を受講してもらう計画です。

継続的な教育の成果、潜在的な課題を可視化

―SPC 標的型メール訓練の導入効果について教えてください。

初回訓練での開封率は、世間で公表されている数字を大きく下回っていました。この結果から、これまで続けてきた情報セキュリティ教育に効果はあったと評価しています。

一方で、不審なメールに気づいたものの、報告先のメールアドレスがわからないという問い合わせもありました。これにより、情報セキュリティガイドライン以外の目に触れやすいところに、報告先を表示する必要があると気づかされました。また、報告の必要性をもっと浸透させる必要があるという課題が浮き彫りになったことも、今回の訓練の成果だと考えています。SPC 標的型メール訓練では、報告機能も提供されると聞いていますので、期待したいですね。

SPC 標的型メール訓練では、実施結果が視覚的にわかりやすいグラフで表示されます。全社や部署ごとの開封率がすぐに把握できるため、重点的に教育すべき対象が明確になります。また、経営層への報告資料としてそのまま使える点も優れています。

内製の仕組みを超える、プロフェッショナルな訓練を求めた

―SPC 標的型メール訓練を導入した経緯を教えてください。

情報システム部門では、世の中で標的型攻撃による深刻な被害が広がっていることを踏まえ、「情報漏洩ゼロ、損害もゼロ」という目標を立て、この5年間情報セキュリティ対策を強化してきました。

その取り組みの中で、SPC 標的型メール訓練を導入する前に、標的型メール訓練の仕組みを内製し、約300名を対象に訓練を行いました。しかし、Microsoft OutlookのVBAで少量ずつ送信する仕組みだったため、大規模展開には耐えられず、日本語のみの対応だったため、海外拠点では実施できませんでした。少なくとも情報セキュリティガイドラインを作成している英語と中国語（繁体字・簡体字）での訓練実施が求められたのです。加えて、数年前と比べてAIにより標的型メールの文面が洗練されて、従来のように一目で不審だと判断しづらくなり、より実践的な内容の訓練が必要になってきました。

こうした理由から、プロが作った製品でしっかりとした訓練を実施し、結果につなげたいと考えたのです。

―SPC 標的型メール訓練とSPC Literacy+の採用を決めた理由を教えてください。

SPC 標的型メール訓練で最も評価したのは、訓練メールが多言語に対応しており、かつテンプレートが豊富に用意されている点です。

また、訓練メール内のリンクや添付ファイルをクリックしたその場で、リテラシー向上の教育を実施できる点も高く評価しました。単に種明かしの画面が表示されるだけでなく、そのメールのどこに気をつけるべきだったのかが具体的に示されます。他社のサービスでは、このコンテンツ対応がオプションとなっており、しかも文面を自分たちで作成したり、翻訳したりする必要がありました。

さらに、訓練をやりっぱなしにするのではなく、SPC Literacy+で情報セキュリティ教育の動画コンテンツやテストを利用できることも魅力的でした。これまでは、文章や挿絵によるテスト形式教育を実施してきましたが、長年同じ教育コンテンツを使用してマンネリ化していたのです。

SPC Literacy+では、最新かつ多数のコンテンツが用意され、多言語にも対応しています。今回は標的型メール訓練後に標的型メールへの対策動画とテスト、その後情報セキュリティの基本の動画とテストを、日本語・英語・中国語（繁体字・簡体字）で実施するので、より効果的な教育が実現できます。

このように、求める要件に合致し、標的型メール訓練及び情報セキュリティ教育両面で効果的、かつ運用・管理のしやすさの観点で、総合的に評価した結果、ソースポッドのSPC 標的型メール訓練とSPC Literacy+の導入を決めました。

問い合わせからトライアル、訓練・教育までをスムーズに実現

―サービスの導入検討時や導入時に苦労したこと等はありませんでしたか。

2025年4月に問い合わせ、5月にトライアル実施、7月に契約、9月にまず訓練実施、その後教育実施という流れでスムーズに進みました。

トライアルでは、SPC 標的型メール訓練は、情報システム部門内に訓練メールを配信して、動作を確認し、指摘事項や希望を聞きましたが、特に問題はありませんでした。

しいて挙げるなら、SPC Literacy+をシングルサインオン環境で利用しようと設定した時です。Microsoft 365のEntra IDとのシングルサインオン設定となるのですが、Microsoft 365の管理者権限を持っていなかったため部内の管理者権限を持つ担当者に説明するためにソースポッドに問い合わせたところ、具体的にどの画面でどのような入力をすればよいかを教えていただき、難なく設定を完了できました。

ソースポッドの評価と期待

―ソースポッドへの評価や要望があれば教えてください。

先程のシングルサインオン設定の他、確認事項があり数回問い合わせましたが、いずれの返答も迅速で、作業が止まることがありませんでした。

今後は、年1回程度の頻度で標的型メール訓練を継続していく予定です。他社の事例を参考にしながら、適切な頻度を見極めていきたいと考えています。もちろん、訓練メール内容は毎回変えて実施していくので、最新の標的型メールの手口を踏まえた、効果的な訓練メール内容と教育コンテンツの提供に期待しています。

また、今回の訓練・教育とは別に、インターネット上に公開されている情報を活用し、脅威となるデータや情報の可視化・分析を行うSP OSINT Reportもお願いしているため、そちらも報告をお待ちしています。

昨今、サプライチェーンを狙ったサイバー攻撃が社会問題となっています。当社グループも多数のサプライヤーとの協力によって成り立っているため、サプライヤー向けの情報セキュリティチェックや支援が欠かせません。訓練や教育が不十分なサプライヤーがいれば、SPC 標的型メール訓練やSPC Literacy+を紹介することも考えています。

ソースポッドには、より効果的な訓練や教育を実現できるよう、引き続き良い提案を続けてほしいと思っています。