導入事例
2026-01-20
阪急阪神ホールディングス様|大規模な標的型攻撃メール訓練をスムーズに実施!継続的な訓練でグループ全体のセキュリティ意識を向上
阪急阪神ホールディングスグループは、「安心・快適、そして夢・感動をお届けすることで、お客様の喜びを実現し、社会に貢献します」というグループ経営理念を掲げ、都市交通、不動産、エンタテインメント、情報・通信、旅行、国際輸送の6つのコア事業を展開しています。グループ全体のセキュリティ意識を高めるため実施している、アイテック阪急阪神の標的型攻撃メール訓練サービスについて、阪急阪神ホールディングス株式会社 リスクマネジメント推進室 情報セキュリティ推進部 前川将一様(以下、前川様)にお話を伺いました。
| 課題 | 効果 |
|---|---|
|
|
背景
はじめに、昨今の標的型攻撃メールに関する危機感についてお聞かせください。
前川様:
フィッシングメールをはじめとした、標的型攻撃メールは脅威としてあり続けている印象です。もしIDやパスワードが抜き取られてしまうようなことがあれば、システムに正規にログインされる可能性があります。そのため、どれだけシステムのセキュリティ対策をしていても、従業員の誰かがフィッシングメールに引っかかってしまうと、重大な事故に繋がりかねません。そういった面からも従業員教育が不可欠と考えています。
また標的型攻撃メールは日々進化していると感じています。少し前までは、海外からの攻撃は日本語に違和感があるなど、怪しいメールが分かりやすかったのですが、AIによる翻訳が進化したことにより、より自然な日本語で送られてくるケースが増えています。また、なかには送信元を偽装するケースもあります。そのため、一概にこれを確認すれば大丈夫とは言えず、従業員は様々な観点でメールを判断する力を養う必要があります。そのため、継続的な標的型攻撃メール訓練が必要だと考えています。
訓練の実施
標的型攻撃メール訓練の取組について教えてください。
前川様:
阪急阪神ホールディングスでは、2015年ごろから標的型攻撃メール訓練を開始しています。訓練対象のグループ会社は約100社にのぼり、現在約2万人に対して年4回程度訓練を行っています。かなり大規模な訓練となり、それを自分たちで管理しようと思うと大変なことになりますが、アイテック阪急阪神さんが全て取りまとめてくれるので、私たちは訓練計画や事後の改善に注力することができます。様々なバックグラウンドを持ったグループ会社がありますが、それぞれの特性をくみ取ったサポートをしてくれるのはありがたいです。
訓練の計画については毎年振り返り会議を行い、そこで次年度の計画についてご提案をいただいています。訓練実施結果に基づいた課題やトレンドなどを踏まえ、次年度の方向性を組み立てています。グループ会社によっては訓練の回数を増やすなど、多様なグループ会社を抱えているため適宜調整も行うようにしています。
訓練するにあたって工夫しているポイントを教えてください。
前川様:
本物のメールに似せた文面を作ろうと思えば本物と遜色ないメールが作成できてしまいますが、標的型攻撃メール訓練自体は引っかけることが目的ではないので、さじ加減に注意しています。弊社のメールアドレスで送信され、弊社の署名があって、どこもおかしくない、それでは教育にならないため、毎回見分けて欲しいポイントは用意し訓練を行うようにしています。
また、訓練でURLを開いてしまった先は種明かしページになっており、今回のメールで見抜いて欲しかったポイントを確認してもらうようにしています。最近はアイテック阪急阪神さんにご提案いただき、一度疑似フィッシングサイトの画面を出し、そこから何か入力してしまう従業員がいないかを確認したこともあります。
訓練の効果
実際に訓練を実施した効果について教えてください。
前川様:
訓練を導入した当初はやはり訓練メール内のURLのクリック率は高かったです。しかし、訓練を重ねることでクリック率は低下しました。長期で標的型攻撃メール訓練サービスを実施できていることもあり、現在も低水準でキープし続けています。
また私たち情報セキュリティ推進部としては、グループ全体のセキュリティに関する様々な業務を抱える中で、アイテック阪急阪神さんにお任せできるのはすごくありがたいと感じています。文面を考えるにあたっても、1から全部自分たちでするとなると手間がかかりますが、アイテック阪急阪神さんにおすすめの内容やメール文案をご提案いただけるため、大変助かっています。メール文面が決まれば、あとはアイテック阪急阪神さんのほうで配信手配をしていただき、結果の報告を受けるという流れです。送付先の取りまとめやシステムへの登録など、全てお任せできているため、大規模な訓練ながら効率的かつ効果的に実施できています。
リスクマネジメント推進室 情報セキュリティ推進部 前川将一様
今後について
今後の標的型攻撃メール対策についてお聞かせください。
前川様:
現在行っている標的型攻撃メール訓練は、継続していくことが大事なので今後も実施していきます。標的型攻撃メールは社内の教育だけでなく、テレビなどでもよく注意喚起されていますが、それでもふとした瞬間に引っかかってしまうことは誰にでもあり得ます。私自身も絶対ないとは言い切れないと感じています。そのため、定期的に訓練を実施し、全従業員に対して、常に注意してメールを開く意識を持ってもらう必要があります。
そのような観点で、今後の課題は訓練メールを開封・クリックしてしまった際の報告率だと考えています。やはり標的型攻撃メールの開封率やクリック率を0%にすることは現実的には難しいです。単純に数パーセントの人が開いてしまうと仮定して、それが阪急阪神ホールディングス2万人に送られてしまっていると考えると、かなりの数になってきてしまいます。そのため、もしもの際に被害を最小限にするためには初動が大事です。各社に報告フローがありますが、まず誰に報告するかどれだけ周知徹底できているのかは今後より注視していく必要があります。
また、標的型攻撃メール訓練だけでなく、eラーニングなども含めた総合的なセキュリティ教育について、アイテック阪急阪神さんに相談しながら適宜見直しやブラッシュアップを図っています。
導入検討中の企業へのアドバイス
標的型攻撃メール対策の実施を検討されている企業・組織に向けて、アドバイスがあればお聞かせください。
前川様:
訓練メールでメールの見極めを行い、開いてしまった場合でも種明かしページで怪しいポイントを学んでもらうという中で、従業員のリテラシーは高まると思いますし、このような訓練があるだけでも被害の拡大を抑止できると思っています。訓練メールを開いてしまうと報告が必要になり手間がかかります。"訓練メールを開くと面倒"という心理的ハードルを醸成することにより、本物の標的型攻撃メールが届いたときも、自然と開封を避けてもらえるのではないかと考えています。
アイテック阪急阪神の標的型攻撃メール訓練サービスは、弊社のようにグループ会社が多く大規模な訓練であってもお任せでき、効率的かつ効果的に実施できるという点が良い点だと感じています。少なくとも弊社で約10年訓練をお願いしている中で、かなりノウハウをお持ちだと感じています。グループ会社をたくさん抱えていて、管理に困っている企業には特におすすめできます。
組織概要・導入サービス
| 組織名 | 阪急阪神ホールディングス株式会社 |
|---|---|
| URL | https://www.hankyu-hanshin.co.jp/ |
| 業種 | 陸運業 |
| 所在地 | 大阪市北区芝田1丁目16番1号 |
| 導入サービス |
注釈・補足
- 本ページの掲載内容は取材当時のものです。
