継続的な訓練で一人一人が適切な対応を取れる組織を目指して。

2023/04/07

株式会社リヴァンプ

事業内容:

「企業を芯から元気にする」という経営理念のもと経営・DX・投資のサービスを提供する内製化支援の技術会社。

Index

それでは最初に、皆様のお仕事と役割についてお話しいただいてもよろしいでしょうか。

(坪田さん)ファンド投資先の企業や大手メーカーのCIO支援に従事しながら、当社の社内システム全般の責任者を務めています。

(齊藤さん)大手メーカーのCIO支援に従事しながら、当社の新卒社員向けプログラミング研修やITセキュリティ研修を担当しています。

導入前の課題 ― 形骸化した訓練サービスに違和感

(坪田さん)

AironWorksの導入背景を教えてください。

(坪田さん)私たちは、CIO支援チームという形で、クライアントのCIO/CTO的な業務の支援をするケースが多く、事業会社の内部に入り、情シス部門の一員のような役割で活動しています。業務の中で多くの企業がセキュリティ対策に投資されているのを目にしてきましたが、セキュリティ対策における抑止・予防・検知・回復のうち、予防・検知の部分に集中して投資されている傾向があります。一方で、抑止の場合、教育やメール訓練等の既存製品はあるものの、優先順位が低くなる傾向がありました。個人情報を取り扱っている企業は大小問わず、セキュリティインシデントのニュースが出るたびに「うちの会社は大丈夫なのか?」という話が自社のみならずクライアントからも出てきており、クライアントのニーズは高まっているのではないかと感じています。このような背景から、訓練を通じてセキュリティ対策レベルを測ることは重要だと認識していました。

昨今は企業の大小問わず、セキュリティのインシデントが発生しているので、より多くの人にとって関心のあるトピックになりつつありますよね。

(坪田さん)そのような状況下でメール訓練のサービスを探していたところ、ワンショット系のサービスが多い印象を持ちました。一回きりの訓練だけでは、良くも悪くも「実施した事実」と「満足感」だけで終わってしまいます。訓練を通じて、防止したいことを叶うようになったのかというとそうではないのです。当社もそうですが、通年採用をしている企業において、従業員の入退社が繰り返し行われている中でワンショットのメール訓練に意味があるのか疑問に感じますし、継続的な訓練を行わないと意味がないと思っています。ですから、当社も教育や訓練を継続して実施しないといけないという課題を感じていました。

導入プロセス ー 世の中の情勢に対応できる継続的な訓練と教育が必要

導入にあたってどのようなことを考えていたのでしょうか。

(坪田さん)IT責任者として予算や戦略を考える上で、全体の被害の中で、特にこういった被害を防ぐために、このプロダクトがなぜ最適なのかを説明しないといけません。経営層の方々と話をする際、セキュリティの性質上、最低限の予算にしてほしいと言われることが多い一方で、他社でインシデントが発生すると「うちの会社はどうなの?」「大丈夫ですか?」と問い合わせがきて、適切な回答をしなければなりません。このような状況で、世の中の流れを適切に把握し、予算を抑えながら対応できる効率的な手段を検討する必要があると考えていました。

最終的にAironWorksの導入を決めた理由を教えていただけますでしょうか?

(坪田さん)ワンショットのメール訓練を実施するだけでは、「当社のセキュリティ対策は十分だ」という保証にはなりません。また、仕組みを導入したとしても、運用担当者自身に適切なリテラシーがなければ、仕組みは機能しません。ですので、継続的なメール訓練に加え、各従業員に適切な教育ができるサービスが必要だと考え、ふさわしいサービスを探していた中、AironWorksを知りました。AIでメールを自動生成し、イスラエル軍隊のノウハウを使った継続的、かつ本格的な訓練を実施でき、教育もできるという点が我々のニーズと合致しているという理由で導入を決めました。メール訓練単体では投資対効果を説明することはなかなか難しいですが、教育とセットになることで、このような被害防止の観点でこのプロダクトが最適である、と説明しやすかったです。ワンショット型プロダクトの金額と大差ないこともポイントでした。

導入前後で起こった変化 - 社員間の情報共有の頻度に変化


(齊藤さん)

(齊藤さん)当社で実施した訓練の成功件数(メール内部の不審なリンクをクリックした人の人数)が利用開始時と比較して著しく下がったことで導入後の効果を実感しつつあります。また、不審メールに対する報告件数も全体的に増えています。その結果、社内では今どのような不審メールが届いているのかという情報が溜まりつつあります。加えて、不審メールの見極め方等、個別相談件数も増えています。セキュリティ強化においては、ちょっとした相談がしやすい環境づくりも非常に重要であるため、良い傾向だと感じています。

報告をはじめとする事後対応にも変化が出てきたのは良い変化ですね!
報告件数が増えていく中で、従業員同士での情報共有の変化はありましたか?

(齊藤さん)当社が使っているチャットツール上で、「こんな怪しいメールが来ているよ」というように(訓練として送った)不審メールに関する報告や共有が増え、良い変化だと感じています。

IT責任者の視点から見えてきた変化は何かありますか?

(坪田さん)メール訓練と教育は別々の予算でしたが、メール訓練の費用対効果を示しながら、教育に繋げていくことにより、これまで別々だった予算を、訓練・教育費として一括で取れるのではないかと検討できるようになりました。
自社のIT責任者としては、教育を含めてリスクをどれだけ減らせるかが重要と考えています。仕組みを導入しても人が運用することで、最終的には人から情報が漏洩してしまうヒューマンエラーが起きる可能性があります。メール訓練と教育をセットにすることで、リスクをどれだけ減らしていくかという課題に対して対応できるようになりました。

今後のビジョン ― リスクに対する適切な行動ができる組織作り

現時点で考えている今後のビジョン等はありますか?

(齊藤さん)当社の従業員にどのような内容、ステップで教育を実施していけば良いか悩んでいます。現在は不審なメールに対するアンテナが高まっている状態なので、さらなるリテラシー向上を目指していきたいと考えています。

(坪田さん)訓練を通じて、実際にでまわっている高度なスパムメール内容に近づけ、さらなるリテラシー向上を目指していきたいと思います。そのためには、いかに興味を持って自分事化してもらうかが重要だと思います。例えばクライアントに対して「他社でこのようなセキュリティインシデントがありました」と言っても「ふーん」で終わってしまいます。しかし、「自社(クライアント)の●●部署でセキュリティインシデントがありました」と具体的に伝えると自分事として考えてもらえる傾向にあります。世間で言われている内容よりも、自社でどうなるのかを知りたいが故の反応だと思います。セキュリティリスクを“自分事化する”意味では、訓練を通じてあえて一度不審なメールを開いたり、リンクをクリックしたりする経験をしてもらうことも大切なのではないかと思います。
今後貴社のサービスで不審なメールやリンクを開いてしまった時の対処方法と報告方法をどのようにガイドすべきなのか、案内が出ると嬉しいです。
在宅ワークが進み、現場での即時対応が難しい環境下において、最低限の対応策の知識をいかに全体に周知するかが今後の課題だと思います。

会社としてリスクを最小限にするために、不審なメールやリンクを開かないだけでなく、開いてしまった場合の対応方法や事後対応の浸透もこれからは重要になってきそうですね。

(坪田さん)継続的に訓練を実施し続けることで、「不審なメールやリンクを開かない」、「開いても事後対応が適切にできる」等、当たり前にできるようなリテラシーを当社やクライアントに浸透させることが、一番目指したい姿です。今後もどんどん増えていくであろうサイバー脅威に対して敏感になり、共有しながらコミュニティ化するのが理想です。我々はコンサルタントとしてクライアントの元に行くので、まずは自社の中でしっかりできるようになり、その経験をクライアントにも還元できればと考えています。

御社を中心に、御社に関わるクライアント全体のリテラシーが向上されると良いですね。
本日はどうもありがとうございました!

(左から、齊藤さん、坪田さん)

※本文・写真は取材時のものです。
取材:CS担当 中山