情報セキュリティの人的対策に最適と判断!ほぼ即決となった「SecuLiteracy」の導入理由とは

セブンシステム株式会社
  • お客様:セブンシステム株式会社
  • 事業内容:ソリューションサービス、SIサービス、SES事業
  • https://www.seven-sys.co.jp/
  • ご協力:(右から)
    • セブンシステム株式会社 専務取締役 出路 喜朗 様
    • セブンシステム株式会社 営業支援 金田 凪紗 様

サイバーセキュリティ対策は、システムやツールの導入による「技術的対策」、防犯カメラや入退室セキュリティのような「物理的対策」、そして働く人のセキュリティ意識を高める「人的対策」の3つに分類されます。
技術的対策と物理的対策は、機器やシステムの導入によって短期間に強化することが可能です。しかし、人的対策については継続した教育と啓蒙活動が必要となるため、整備への対応に苦慮しているセキュリティ担当者の方も多いことでしょう。

SIerであるセブンシステム株式会社様の顧客企業(エンドクライアント)の中にも、人的セキュリティ対策について課題感を持っている企業は多くいらっしゃるそうです。ただし、人的対策は難度が高いため、提供サービスの選定にあたっては慎重な検討が必要となります。

そこで本記事では、セブンシステム株式会社 専務取締役である出路 喜朗氏に、顧客企業向けの人的セキュリティ対策サービスとして、JBサービスのセキュリティ教育サービス「SecuLiteracy」(セキュリテラシー)を選定いただいた理由やセキュリティテストを実施しての効果などを、顧客企業ご担当者様の声も交えてうかがいました。

顧客からの要望で効果的な人的セキュリティ対策を模索

  • まず、セブンシステム株式会社様の事業内容をお教えください。
  • 弊社は30年以上にわたり、IBM Power Systems(IBM i)とWindows Systemを中心としたシステムの開発・保守・運用まで、一気通貫のサービスを提供しています。また、ソリューションとしてWebブラウザ上で簡単に操作ができるBIツールの「Datacocktail」のご提供もおこなっています。

  • 御社が抱えていた、情報セキュリティ上の課題をお教えください。
  • 弊社では、お客様向けに情報セキュリティにおける技術的対策・物理的対策・人的対策のサービスを提供しています。ただ、人的セキュリティ対策については周囲の激しいリスク変動に対応しきれておらず、導入して数年も経過すると形骸化してしまうという課題を抱えていました。

    形骸化の理由としては、「1.社員ひとりひとりの理解度が把握できていない」「2.教育実施前と実施後の変化が確認できない」「3.教育内容も毎年変わらなく、あまり楽しさがない」の3つがあります。

    かねてお客様からご相談を受けていたこともあり、これら3つの課題を解決でき、より実用性が高い対策の検討が必要でした。

  • お客様からの相談とは、具体的にどのような内容だったのでしょうか?
  • 古くからお付き合いのある、医療機器卸売業のお客様からのご相談です。 お客様のご担当者様は急増するサイバー攻撃の実態に危機感を募らせており、社内セキュリティリテラシーを向上させる施策についてご相談いただいていました。

    業種は卸売業ですが扱う製品が医療機器ですので、人の命に関わる分野です。万一、ランサムウェアなどの攻撃を受けて業務が止まってしまえば、医療機関への納入に支障をきたし、引いては医療機関での診療・手術等へ影響を及ぼすこともあります。

    このように業務停止による影響の大きさからサイバーセキュリティへの関心が元々高いお客様であることも、ご相談の背景にあったことと思います。

充実のサービス内容や築き上げた信頼と実績が決め手

  • お客様からのご相談後、JBサービスの「SecuLiteracy」を提供するに至った経緯についてお教えください。
  • 弊社とJBサービスさんは、20年来のお付き合いがあります。また、以前よりエンドポイントセキュリティの運用サービスもお願いしており、その実績と技術力については疑う余地がありません。

    今回ご提案いただいた「SecuLiteracy」は教育コンテンツの内容も豊富で、形骸化の要因となる3つの課題も解消してくれるものでした。そして何より、JBサービスさんの優秀なセキュリティエンジニアさんが二人三脚で計画から運営、フォローまでをサポートしてくれるのが心強く、ご相談いただいていたお客様に自信を持ってご提案できると判断しました。
  • お客様の反応はいかがでしたか?

  • お客様のご担当者様にお話をうかがったところ、「他のサービスについても検討はしてみた」とのことです。ただ、「標的型メール訓練テストと教育がセットになったサービスは珍しく、教育コンテンツも興味深いものが揃っていた」こと、そしてこれまでのお付き合いの経緯から私たちを信頼いただいていたことから、提案後まもなく導入が決定しました。

    お客様の経営陣の方々も人的セキュリティ対策の必要性は痛感していたようで、「社内で提案したら、想像以上にあっさり提案が通った」そうです。

以下は「SecuLiteracy」の教育動画コンテンツのサンプルです。海外ドラマ風の演出を取り入れ、受講者の方に少しでも楽しんでもらえるよう工夫を凝らしたものとなっています

定期的なメールテストで理解度を可視化して効果的な教育プログラムを実施

  • 「SecuLiteracy」導入後の進捗はいかがでしょうか?

  • 今年(2022年)の1月に、1回目のメールによるセキュリティテストを実施しました。このメールテストは、お客様のご担当者様のお名前を使用した内容となっています。JBサービスさんからは「1回目のメールテストでは送信先の20~30%がリンクを踏む」とうかがっていたのですが、誰1人としてリンクをクリックしないという結果になりました。これは、私たちもお客様のご担当者様も予想外でしたね。

  • それは驚きましたね。誰も引っ掛からなかったのなら、優秀な結果と言えますね。

  • 必ずしも、そうとは言い切れないのが難しいところです。もちろん、リンク先を訪問しないに越したことはないのですが、「このようなメールが届いた時にとるべき行動」のほうが重要です。
    今回のテストでは、社員の名前でメールが届いています。つまり、明確にその企業を標的にした攻撃なので、実際に攻撃があった場合は2度、3度と繰り返される可能性が高いと考えられます。

    このような状況では、「怪しいメールが届いたから無視した」ではなく、「怪しいメールが届いたことをセキュリティ担当に報告」して「攻撃を受けていることを社内で共有する」必要があります。

    ちょうど今(2022年4月)2回目のメールテストを実施しているのですが、ここでは「リンク先を訪問したかどうか」ではなく「怪しいメールが届いた時にエスカレーションができるかどうか」の確認が目的となっています。この結果が明らかになった後に、理解度に応じた教育プログラムを実施する予定です。

顧客とセブンシステム、そしてJBサービス三位一体で強固なセキュリティの実現を目指す

  • 今後、「SecuLiteracy」による人的セキュリティ対策をどのように進めていく予定ですか?

  • まず定期的な訓練メールテストと、その結果に応じた教育プログラムの実施をおこなっていきます。現段階では半期に一度のペースで、2回目までを予定しています。人的対策は一過性のものでは効果がなく継続してこそ意味があるものなので、JBサービスさんやお客様と相談しつつ、できる限り長く続けていければと思っています。

  • JBサービス、および「SecuLiteracy」に期待することがあればお教えください。

  • 今回のプロジェクトは、導入の決定から実施まで非常に短期間であったにもかかわらず、スムーズな運営が実現できています。これは、JBサービスさんとお客様、そして私たちが、三位一体となってプロジェクトを進めてきた結果だと思っています。ですから、これからもお互いに協力し合って、より良いセキュリティ対策を実施していきたいですね。

  • 今後の展開について、お考えがあればお教えください。
  • 今回、実際に訓練メールテストと教育プログラムを実施してみて、人的セキュリティ対策の重要性と難しさを痛感しました。

    訓練メールテストの結果だけでは読み取れないリスクをどうやって可視化するか。それをどうやって解消するのか。頭を悩ませている企業は決して少なくはないでしょう。

    そのような方々にとって、JBサービスさんの「SecuLiteracy」は大きな力となる存在だと確信しています。これからは人的対策の啓蒙も兼ねて、「SecuLiteracy」を幅広く展開していきたいと考えています。

3分でわかるSecuLiteracy紹介動画

セキュリティ教育サービスSecuLiteracyは、企業・組織のセキュリティレベルの向上・可視化を目的とした、教育サービスです。

認定ホワイトハッカーが、お客様に最適な教育プランをご提案、本番さながらのメール攻撃訓練の実施、課題に応じたフォロー教育の支援を行います。

セキュリティ教育のマンネリ化や、効果的なセキュリティ教育の導入でお悩みの方はぜひご覧ください。

関連サービス
セキュリティ教育サービスSecuLiteracy(セキュリテラシー)

セキュリティ教育サービスSecuLiteracy(セキュリテラシー)

見逃しがちなセキュリティ対策といえば従業員に対するセキュリティ教育です。SecuLiteracy(セキュリテラシー)とは、様々なサイバー攻撃のテクニック・ツール・ノウハウ等に精通した認定ホワイトハッカーがご支援するセキュリティ教育サービスです。企業・組織のセキュリティレベルの向上・可視化を実現したい企業・組織の方々にお勧めしたいサービスです。

詳しく »