廣済堂 様
ISMS起点での標的型メール訓練
今後の改善ポイントを洗い出し
株式会社廣済堂様は、1949年の創業より印刷事業を推進する中で、デジタル技術の将来性にいち早く着目し、現在はITを融合したクロスメディア戦略と求人から人材育成まで行う包括的な人材サービスを提供しています。この度、標的型メール訓練支援サービスのご利用に際し、知財情報事業部 庄司 隆氏と情報コミュニケーション事業部ソリューション業務管理課チーフ 小林 正尚氏にお話を伺いました。
―貴社の事業内容をお聞かせください。
小林: 弊社では、情報コミュニケーション事業(主に印刷関連)、ヒューマンコミュニケーション事業(主に人材関連)と位置づけた、この二つの事業を主要な事業ドメインとしています。そして、情報コミュニケーション事業の中に、IT分野を担うソリューション部門と特許庁とその関係団体から受託業務を請けている知財事業部門があり、Web制作やシステム開発、データエントリー等のBPO業務などを行なっています。このITソリューション部門と知財事業部門を主な適用範囲としてISMSを取得しており、庄司と私は、ISMSの事務局を担当しております。―貴社の情報セキュリティへの取り組みをお聞かせください。
庄司: 弊社は、プライバシーマークも取得しております。印刷会社として創業したときから、お客様より大切な情報をお預かりしてきました。現在では、お客様の貴重なコンテンツが持つ価値を更に高めることが使命だと考えておりますが、お客様の情報を大切に取扱うこと、そして、そのためにも情報セキュリティへの取組みは不可欠だという理念が根底には流れていると思います。
庄司: ISMSの運用においては、各部門が目標に対し、それぞれに立案した施策をもってセキュリティ事故ゼロに向けた活動もしておりますが、われわれISMS事務局からは、セキュリティ事故になりうるヒヤリハットや、他社で発生した事故事例などを積極的にアナウンスしています。セキュリティ事故が発生しない状態が続くと、気も緩み、ある日突然足をすくわれかねませんので、セキュリティに対する意識が高まり、文化として醸成されていくような取組みを心がけています。
―今回、標的型メール訓練を実施するに至った経緯を教えていただけますでしょうか?
小林: ひとつは、近年標的型メール被害の話題が頻繁にメディアで取り上げられておりますが、その影響もあってか、社内で標的型メール訓練を実施すべきだという声が多くあげられていたこと。もうひとつは、ISMSの運用におけるBCP訓練では、これまで内部要因を起点とした訓練が多かったため、視点を変え外部からの攻撃による訓練を取りいれようと考えていたこと。これらの理由から、ISMS事務局より情報システム部門に打診し、効果的な訓練実施の検討を依頼していた所でした。そんな折、御社から標的型メール訓練サービスのオファーがあったのです。
開封率0%を想定していた
―スコープはISMSとのことでしたが、訓練を実施してみて何か気づかれたことはありますか?
庄司:今回の訓練では、添付ファイルの開封率が8%という結果でしたが、想定より多かったなというのが率直な感想でした。それと同時に、標的型メール攻撃を初めとするサイバー攻撃に対する理解度を100%にするというのは、やはり難しいものだなということを改めて実感しました。
今回は、事前に訓練の告知をしておりましたし、訓練メールには標的型メール攻撃の典型ともいうべきパターンを含んでいましたので、そこに気付きさえすれば回避できるはずでした。「誰も開封しないかもしれない」と考えていた背景には、全社的な情報セキュリティ研修の他に、ISMSの適用範囲内でも個別に研修を実施しており、最近は必ずといって良いほど標的型メール攻撃について説明していた、ということもあります。
良かった点としては、多くの部署から情報システム部門へ不審なメールが届いたという通報連絡が速やかに実施されたことです。その他にも、これまでの取組みで効果があったところ、なかったところが洗い出されましたので、今後の改善へのポイントを得ることができました。
庄司: サイバー攻撃訓練を継続して行きたいという思いはありますが、情報セキュリティ対策に掛ける費用には限度がありませんし、費用対効果が捉えにくい点があります。しかしながら、情報セキュリティへの対策は、事業への投資です。これは誰もが認めていることなのかもしれませんが、それでも敢えてその必要性を訴え、声を上げていくことが大切だと思っています。
意外にも難しい標的型メール対策
―今回の弊社サービスで良かった点を教えていただけますでしょうか?
庄司: 全体的に満足しています。以前より、御社が開催されたセミナーに参加したり、御社の記事を拝読させていただいたりしていたので、安心感を持って依頼できました。結果にも問題ありませんでした。今回の訓練では、教育だけでは補いきれない部分を明確に知ることができたのが良かったと思います。実際には技術的なメール対策を施していますが、そこをかいくぐられた先では、人的に防ぐことになる訳ですから、継続して取り組んでいかなければなりませんね。
標的型メールのみならず、更なるセキュリティ統制の向上を目指す
―今後情報セキュリティ、サイバーセキュリティで対応していかなければいけないと思っていることはありますか?
小林: 水際で防ぐという意味では今回のような標的型メール訓練は有効ですが、標的型メールから続く攻撃に対して、どのように対処していくのか、その点を突き詰めていくところは一つ課題としてあるでしょう。
漫然と網羅的に対策を打つのではなく、ポイントを見極めながら必要な防衛策を講じることで、セキュリティの統制を保つという方針は変わりません。今後の技術的発展によって、サイバー攻撃も高度化、複雑化することは容易に考え付きますし、そういった意味でもより一層セキュリティの重要性が増していくでしょう。弊社にとって必要なセキュリティの在り方を積極的に検討、導入していきたいと考えています。
―本日はありがとうございました。
利用サービス
プロジェクトメンバー
お客様 |
---|
知財情報事業部 知財営業開発部 企画課 リーダー 庄司 隆 氏 |
情報コミュニケーション事業部 ソリューション業務管理課 チーフ 小林 正尚 氏 |
ニュートン・コンサルティング |
---|
執行役員 兼 プリンシパルコンサルタント 内海 良 |
担当の声
執行役員 兼 プリンシパルコンサルタント 内海 良
部門を隔てる意識の剥離を乗り越える訓練
とはいえ、一見シンプルな訓練に見えても、目的をどこに置くかで内容は変わります。攻撃者の巧妙さを認識してもらうのか、メールの確認ポイントを理解してもらうのか、単に利用者の実態を把握したいのか。IT部門へのユーザからの連絡まで対応をモニターするのか。今回はすでに社内研修は定期的に実施していることから、その効果を把握するということで、研修時のメール文面等を参考に実施させていただきました。結果としてはこの目的は達成できたと思います。
攻撃者の巧妙さは日々増していますが、被害の可能性を減らすという意味ではこの訓練は大きな意味があります。そしてそれは数回繰り返すことでさらなる効果を発揮します。都度実態に合わせ目的を定め、定期的に実施することをお薦めします。