東武ビルマネジメント様｜標的型攻撃メール訓練サービスにより不審メールの報告率大幅アップ！

東武ビルマネジメント株式会社は、総合ビルマネジメント企業として、設備管理や工事設計施行管理、マンション管理、SC（ショッピングセンター）の店舗開発・店舗管理、駐車場管理、清掃衛生管理、警備管理業務など幅広い事業を展開しています。社員のセキュリティ意識向上のため導入した、アイテック阪急阪神の標的型攻撃メール訓練サービスについて、東武ビルマネジメント株式会社 SIL管理部 課長補佐 齋藤大祐様（以下、齋藤様）、同部 レ・フォン・ジャン様（以下、ジャン様）にお話を伺いました。

背景

はじめに、従来の研修に感じていた課題と導入のきっかけについてお聞かせください。

齋藤様：

アイテック阪急阪神さんの標的型攻撃メール訓練サービスを導入する前は、設備員や警備員、清掃員を含む各事業所のスタッフへのセキュリティ教育に課題を感じていました。今までは集合研修で書面ベースでの教育を実施していましたが、研修を受けただけで理解した気になってしまい、学んだことを実践できずに終わるケースが少なくなかったためです。

また、研修自体も一般的なコンプライアンスや人権に関する研修の一環として、SNSの使い方に気を付けるといった内容が多く、情報セキュリティに関する教育は少なく、従業員のセキュリティ意識向上が大きな課題だと懸念していました。

ジャン様：

そんな中、きっかけとなったのは、付き合いのある企業での標的型攻撃メールによるセキュリティインシデントの発生でした。身近な企業の経験を通じて、単なる技術的対策だけでは限界があり、社員一人ひとりのセキュリティ意識を高める必要性を強く感じました。SIL管理部としても早急に具体的な対策を講じなければならないと考え、標的型攻撃メール訓練サービスの導入を検討しはじめました。

選定

標的型攻撃メール訓練サービスの導入を検討するにあたって、求めていた要件や重視していた点はありましたか？

ジャン様：

標的型攻撃メール訓練サービスの導入を検討する際に重視したのは、柔軟なサポートと適切なアドバイスが受けられることでした。当時、SIL管理部は立ち上げから3か月程度であり、セキュリティ教育に関して十分な自信があったわけではありません。そのため、ベンダーには訓練内容や実施方法について相談しながら進められるサポート体制を求めていました。

アイテック阪急阪神さんとは、すでにVPNネットワークやセキュリティ関連でお世話になっていたため、標的型攻撃メール訓練についても相談したところ、営業担当者からデモや事例を紹介していただきました。その際の営業担当者の迅速な対応と訓練内容に関する丁寧なサポートやアドバイス、そしてコストパフォーマンスが決め手となり、サービス導入を決定しました。

初回の訓練は2020年8月に行い、2回目の訓練は2020年12月、3回目の訓練は2021年3月に実施しました。それ以降は年2回のペースで継続的に訓練をしています。導入当初は初めての試みということもあり不安もありましたが、アイテック阪急阪神の担当者がいつでも気軽に相談に乗ってくれたことが、導入成功の大きな要因となりました。

SIL管理部 レ・フォン・ジャン様

訓練の実施

標的型攻撃メール訓練のメール文面作成での取り組みについて教えてください。

ジャン様：

訓練メールの文面作成は、SIL管理部が中心となり、現場の特徴やトレンドを反映させながら取り組んでいます。訓練メールは思わず開きたくなる内容でありながらも過剰にならず、しかも悪質なメールであることを見抜けるポイントも作らないといけません。自社の社員が「思わず開封してしまう」内容を考え抜くことは簡単ではありませんでしたが、その際にもアイテック阪急阪神さんのサポートが非常に役立ちました。

具体的には、文面の内容や表現について多種多様なパターンを提案いただいた以外にも、現場の特徴に合わせた細かいフィードバックを貰いました。また、自社で考案した訓練の内容についても的確なアドバイスをいただき、それをもとに訓練内容をブラッシュアップできました。

標的型攻撃メール訓練の社内での反応はどのようなものでしたか？

ジャン様：

初回訓練では、事前に社内アナウンスを行わなかったため、当日は大きな混乱が生じました。SIL管理部への問い合わせも殺到し、クレームのような反応も一部ありましたが、それも良い反応の1つだと思っています。結果、社員一人ひとりのセキュリティ意識が高まる良いきっかけとなりました。

こうした経験を踏まえ、2回目以降の訓練では訓練メールの内容やタイミングを工夫し、計画的に実施しています。定期的に年2回訓練を行うことで、継続的な意識向上を目指しています。ただし、同じことを繰り返していると社員は訓練に慣れ、効果が薄れる可能性があります。そのため、マンネリ化しないように、今後もさまざまなトピックやトレンドを取り入れた多様なコンテンツを組み合わせながら、訓練の効果を維持・向上させていこうと考えています。

齋藤様：

また、初回訓練の翌年からは、新入社員向けの対面教育を開始しています。対面教育ではインシデント発生時の企業リスクを説明し、不審なメールを受け取った際の自己判断での解決は避け、速やかに報告することの重要性を伝えています。

一方で、現場社員は社内にいないことも多いので、メール開封者向けの教育はオンラインで実施しています。そこでは、基本的な注意点はもちろん、特に報告プロセスの重要性を伝えています。開封してしまったことを非難するのではなく、適切な報告が重要であること、その実践を目的とした訓練であることを丁寧に説明しています。

SIL管理部 課長補佐 齋藤大祐様

導入した効果

実際に訓練を実施した結果をお聞かせください。また、その結果をどのように受け止めていますか？

ジャン様：

導入当初からSIL管理部では、標的型攻撃メールの開封率以上に、怪しいメールを受信した社員からの「報告率」に注目していました。初回の訓練では、開封者が一定数いたにもかかわらず、報告に至るケースが少なく、報告率の低さを大きな課題と感じました。この結果から、今後も継続的に訓練を実施する必要性を強く認識しました。もちろん開封率の低減も重要ですが、本物の標的型攻撃メールに遭遇してしまった場合に適切な対処ができる力をつけることが大事だと考えています。

報告率が低かった理由としては、恐らく「開いてしまった」という心理的不安から報告を躊躇する人が多かったことが一因ではないかと考えています。訓練を重ねる中で社員の行動は徐々に変化し、直近の訓練では開封者の報告率が9割まで向上しました。また、メールの開封率も1割未満に抑えられています。これらの成果は、継続的な訓練とアイテック阪急阪神さんのサポートにより得られたものだと考えています。

さらに、不審なメールに対する相談件数も増加し、従業員が「何か怪しい」と感じた際に気軽にSIL管理部へ報告する文化が根付いてきました。一時期、ビットコインの請求を装うメールが増えた際にも、多くの社員が迅速に報告し、会社全体で注意を共有することができました。

齋藤様：

今後もこれまで実施してきた内容を継続する方針で考えています。社内には新卒者、中途入社者などさまざまな経歴の人がいますので、それぞれが引っかかりやすい内容をメール原稿に盛り込むなど、対象者に応じたセキュリティ教育を増やしていきたいですね。たとえば、新入社員に総務からの連絡を装った訓練メールを送付するといったことを検討しています。

導入検討中の企業へのアドバイス

標的型攻撃メール対策の実施を検討されている企業・組織に向けて、アドバイスがあればお聞かせください。

齋藤様：

標的型攻撃メール訓練サービスの導入を検討している企業には、実際に体験することの重要性を伝えたいと思います。書面ベースでのセキュリティ教育は、資料に記載されている内容を理解するにとどまり、あまり実践的ではないと感じています。標的型攻撃を疑似体験することで、不審メールへの感度を高められます。また、実際に不審メールを受信した場合の報告体制、対応までの流れを再確認することに大きな意味があると思います。

インシデントを100%防ぐことは現実的には難しいです。そのため、有事の際の連絡体制を社員に意識してもらうことが欠かせません。実際に訓練を体験すれば、連絡体制表を確認し「このような事態が発生した場合は、ここに連絡すればよい」といった実践的な理解を深められます。実際のインシデント発生時に慌てることなく対応できるようになるので、実体験型の訓練は非常に効果的だと思います。また、SIL管理部としても標的型攻撃メール訓練を通して、受付側の対応方法や連絡体制を確認するきっかけにもなっています。

アイテック阪急阪神の標的型攻撃メール訓練サービスは、訓練内容のカスタマイズや細やかなサポートが魅力です。リンク先の内容について相談した際にも、弊社の希望を受け入れつつ、どのように工夫するべきかアドバイスしていただきました。担当者はどの方も話しやすく、打ち合わせの中で自然に提案や対応策を示してくださるため、非常に心強く感じています。相談しやすい雰囲気があるので、「自社での実施は難しい」と感じている企業にとって、非常に心強いパートナーとなるでしょう。

組織概要・導入サービス

注釈・補足

• 本ページの掲載内容は取材当時のものです。