Cases 導入事例

―標的型メール訓練の実施状況について教えてください。

東北大学では、これまで専用のソフトウェアやサービスを利用せず、教職員など約2万人を対象とした訓練メールの送信や運営をすべて内製で行ってきました。本訓練は、全学構成員向けに実施している情報セキュリティ教育や研修と連携し、年に1回以上の頻度で実施しています。

今年度からは、専用サービスであるソースポッドのSPC 標的型メール訓練を利用しています。

―標的型メール訓練を実施しているねらいを教えてください。

標的型メール訓練には、主に3つのねらいがあります。

・標的型メールやフィッシングメールなど、不審メールに対する教育内容の定着確認
・実践的な対応力の向上
・不審メールを受信した際の報告手順の確認

私たちは本訓練を、実際に不審メールを受信した際にどういった対応をすべきかを実践する、防災訓練のような機会と捉え、定期的に実施しています。

結果については、開封率に注目されることも多いようですが、本学では不審メールへの適切な対応や報告がなされたかという点を重視しています。

―長年、内製で対応していた訓練にソースポッドのサービスを導入したきっかけを教えてください。

標的型メール訓練の開始当初から内製で運用してきましたが、都度の送信アドレスの準備、文面作成、システム側の細かな調整など、準備に多くの手間がかかり、大きな負担となっていました。

また、昨今のサイバー攻撃は複雑化・多様化しており、新しい技術や手法が次々と登場しています。組織として常に最新の対策を採るためには、訓練自体のアップデートも欠かせません。‎そこで、準備プロセスの効率化を図り、訓練内容の高度化に集中するため、専用サービスであるSPC 標的型メール訓練を導入しました。

―ソースポッドのSPC 標的型メール訓練を導入した経緯を教えてください。

ソースポッドとの最初の接点は、2022年に仙台で開催された大学ＩＣＴ推進協議会（AXIES）のイベントでの紹介でした。その後、東北学術研究インターネットコミュニティ（TOPIC）でもソースポッドの講演を聞きました。‎

当初は情報セキュリティ教育サービスであるSPC Literacy+の内容が中心でしたが、後に富士フイルムビジネスイノベーションジャパン株式会社様を通じてSPC 標的型メール訓練の提案を受け、導入に至りました。‎

―SPC 標的型メール訓練を選んだポイントがあれば教えてください。

標的型メール訓練サービスの導入にあたっては、複数のサービスを比較検討しました。その結果、次のポイントからソースポッドのSPC 標的型メール訓練を選びました。

■豊富な訓練メールテンプレート
日本語だけでなく英語のテンプレートが充実している点です。本学では外国籍の構成員も多く、英語のテンプレートが用意されていることは必須条件でした。また、テンプレートの更新頻度が高く、「クリックフィックス」のような最新の攻撃手法を模した訓練機能がいち早く提供される点も魅力でした。

■高いカスタマイズ性
カスタマイズ性が高いことも大きなポイントでした。メール本文だけでなく、リンク先の偽ログインページや「種明かし」のページも、本学のニーズに合わせて編集できる点が魅力でした。他社のサービスでは、リンク先ページの編集ができないものもありましたが、SPC 標的型メール訓練ではHTMLタグで細かく編集ができるため、自由度の高い訓練が可能です。

■柔軟に選べるプラン
本学では通数ベースでのライセンス契約を希望しており、かつ自分たちで運用する体制を想定していました。そのため、ライセンス数を「ユーザー数」と「通数」、運用代行も「有り」「無し」から柔軟に選べたことは導入の大きな後押しとなりました。