サンケン電気 様
標的型メール訓練で初動対応強化
全社のリアルな動きをチェック
サンケン電気株式会社様は1946年の設立以来、自動車部品や白物家電等で高いシェアを誇るパワー半導体製品を中心に事業を展開していらっしゃいます。半導体及び電源装置を製造する工場を抱え、緻密なシステム管理が求められる中で、サイバーセキュリティ対策の一環として標的型メール訓練サービスをご利用いただきました。今回IT推進部長の碓井 保文様、同部アシスタントマネージャーの樋川 宏治様、同部シニアスタッフの渡辺 エルネスト様にお話を伺いました。
―貴社の事業内容をお聞かせください。
碓井:現在の事業全体で見ると、半導体デバイスの開発製造販売が8割です。それ以外では、昔から強みのある電源装置やモジュールなど電源周りを主に扱っています。近年はこれまでチャレンジしていなかった領域も開拓しようとしており、太陽光発電の電力変換に使われるパワーコンディショナーやLED照明なども手掛けています。この部屋のLED照明も当社の製品ですよ。
認証取得に向けて実効性ある訓練を計画
―サイバーセキュリティに関しては、これまでどのような取り組みをされてきましたか。
碓井:2015年にサイバーセキュリティ対策に関するロードマップを策定しました。意識したのは2020年東京オリンピック・パラリンピック競技大会です。当社では大会に直接関わる事業を行っているわけではありませんが、過去の例を見ると、大会関連施設はしっかり対策しているので周辺が狙われるといったこともあり、リスクがないとは言い切れないからです。 2018年11月現在、ロードマップに沿ったIT実装はほぼ終わっている状況です。ただ、追いついていない部分もあり、まだゴールとは言えないと考えています。
―今回は標的型メール訓練サービスをご利用いただきましたが、訓練実施を決めたのはなぜでしょうか。
碓井:IATF認証(自動車産業の品質マネジメントに関する認証)の継続審査時の課題としてあがってきたのがきっかけでした。当社は車載製品も扱っているのですが、自動車用途は品質に関する要求が非常に厳しく、品質を満たしている証明としてIATF認証を取得・維持することが求められます。
2017年10月にIATF認証の審査基準に改変があり、認証維持のためにはサイバーセキュリティ対策が求められることとなりました。セキュリティ対策にはルールの整備と実際の運用が必要とされ、運用の一環としてサイバー訓練などの取り組みが求められます。ちょうど良い機会でしたので、当社も初動対応を強化する訓練として標的型メール訓練を実施することにしました。ロードマップへの対応を進める中でシステムへの対応は進んでも、エンドユーザーにおけるリスクはなかなか解消しきれないと感じていたこともあり、標的型メール訓練は比較的手軽にできる上に、効果もあると考えました。
実は、標的型メール訓練は2014年頃に自社で行ったことがあります。自分たちでメールの文面を作り、従業員全員に送信しました。が、自社での訓練にはどうしても限界がありました。あまり工数を掛けられないので、まとまった人数に一気に送ったのですが、そうすると席が近い人同士で「おかしなメールが来たね」「開くのはやめておこう」と相談できてしまいます。工場では「不審なメールが来たので開かないでください」とアナウンスを流したところもありました。危機意識がきちんとあると分かったのは良かったのですが、こちらとしては開封率やクリック率を見たかったので、訓練としての効果は今一つでした。
ただ、2回目の訓練はなかなか実施できませんでした。1回目の訓練の失敗を繰り返さない仕組みを実現するには、自社で行うには負荷が大きすぎるからです。こうした経緯があり、今回の標的型メール訓練は外部のコンサル会社にお願いしようと決めました。
想定外の訓練結果に驚きも
―ニュートン・コンサルティングを選ばれた理由を教えてください。
碓井:ご紹介いただいたのがきっかけです。コンサル会社は何社か知っていましたが、パッと見で「きちんとやってくれそうだ」と感じたのがニュートンでした。以前からニュートンさんのことは知っていて、BCPやサイバー攻撃について話を聞いたこともありましたので、あまり他社と比較することなくすんなりと決まりました。
―実際の訓練はどのように行いましたか。
碓井:まず、送信するメールの文面についてニュートンさんと綿密な打ち合わせを行いました。実際に攻撃に使われた文面を参考にして、従業員が思わず開いてしまうような内容を練りました。文面そのものだけでなく、いつ、どのような時間帯に送信するかにも気を配りました。 当日のメール送信は所属を考慮して複数回に分けて行い、前回の訓練のように周りの人同士で相談してしまうことがないようにしました。それでも、周囲と相談して「これは何ですか」と問い合わせてくる人はいたのですが、前回と比べると格段に減りましたね。実施後はニュートンさんに集計結果と報告書を提出していただきました。
―訓練の手ごたえはいかがでしたか。
碓井:自社での訓練ではできなかった開封率・クリック率測定などができ、きちんと結果が得られたのが良かったですね。誰が、いつ、どのように開封してしまったのかも見られるので、2回開いてしまう人や、受信からかなり時間が経ってから開く人がいるということが分かりました。このような動きは想定外だったので驚きました。
訓練実施後には、全員に対して教育コンテンツを配布し、標的型メールとはどのようなものか、どう対処すべきなのかを周知しました。今後、標的型メール攻撃に関する社内ワークショップも計画しています。
実際の標的型メールは非常に巧妙で、あの手この手で開封させようとしてきますし、受け取ると「どうしても開かなければならない」という思考に陥ってしまいます。一通だけではなく二通、三通にわたる攻撃や、新しいものはウイルスチェックもすり抜けてしまいます。これからも工夫しながら訓練していかなければならないと思いますし、その際はぜひニュートンさんにお願いしたいですね。
自社では難しい訓練で最大限の効果が得られた
―ニュートンのコンサルティングについて感想をお伺いできますか。
樋川:1回目の訓練での課題を解決する訓練が実施できました。また、訓練結果報告書を出していただいたのですが、きれいに作っていただいて、内容も分かりやすくありがたかったですね。
碓井:期待通りの動きをしていただくことができました。正直に申し上げますと、社内ではなかなか工数が取れないということが現実にあります。自分たちでやろうとするとかなりの工数になってしまいますが、最小限の対応で最大限の効果を得られたと思います。
渡辺:私が窓口になってやり取りをしていたのですが、レスポンスの早さをいつも感じました。あまり待たされるとこちらはやる気をなくしてしまいますが、ストレスなくスムーズにやり取りできました。
―今後はどのようにサイバーセキュリティ対策を進めていきたいとお考えでしょうか。
碓井:標的型メール訓練については、認証の関係もあり、継続的に行っていきたいと考えています。今回は開封率がきちんと取れましたので、今年より来年、来年より再来年という風に改善が進んでいるKPIが取れると良いと思います。サイバー攻撃への備えが進んでいるかどうかはなかなか捉えにくいところでもあり、社内で「毎年やっているが、どんな効果が出ているのか」と言われかねませんので、「こんな効果がありました」と言えるといいですね。
また、全社的なサイバーセキュリティ対策も向上させていきたいと考えています。CSIRT(サイバー関連のインシデントに対応する組織)の整備に加え、文書も過不足ないよう整備し、文書の内容をきちんと実行・確認するサイクルを回せるようにしていきます。
利用サービス
プロジェクトメンバー
お客様 |
---|
IT推進部長 碓井 保文様 |
IT推進部 ITプラットフォーム課 アシスタントマネージャー 樋川 宏治様 |
IT推進部 ITプラットフォーム課 シニアスタッフ 渡辺 エルネスト様 |
ニュートン・コンサルティング |
---|
エグゼクティブコンサルタント 星野 靖 |
担当の声
リアルに近い状況で正確な検証
今回は、IATF認証取得に向け、従業員が標的型攻撃メールに対してどの程度対応ができるかを検証したいとご要望をいただきました。訓練設計のポイントは、より正確な検証のため、実際に攻撃に用いられたメール文面を活用して、リアルに近い状況を作り出したことです。また、実働できるかを確認するために、事務局の方々に加え、訓練対象者が不審だと感じた際の連絡先であるヘルプデスク担当者様にご協力をお願いし、連絡数や連絡内容を収集しました。このような工夫が功を奏して、正確な検証をするという目的を達成できたと感じています。
標的型攻撃メールも不自然なものから、一見しただけではわからないようなものまで多種多様にあります。標的型攻撃メール訓練では、訓練対象者がどの程度動けるかといった現状を検証するほかに、このような攻撃が存在するということを訓練対象者へ啓蒙することができます。目的を明確にすることで、訓練をより意味のあるものにすることができるでしょう。