サイバー攻撃の被害が世界的に増加していることを受け、山洋電気株式会社(以下、山洋電気)では情報セキュリティ対策を進めてきた。しかし、当初行った標的型メール訓練は大規模展開に耐えられるものでなく、情報セキュリティ教育もマンネリ化を感じていたという。海外拠点でも実施でき、かつ実践的な標的型メール訓練と情報セキュリティ教育を実現すべく、同社はソースポッドのソリューションを導入。全世界約2,300名を対象に、継続的なセキュリティリテラシー向上に取り組んでいる。
●「情報漏洩ゼロ、損害もゼロ」が目標だが、従来の訓練・教育には課題がある
山洋電気株式会社は、冷却ファンや無停電電源装置(UPS)、サーボモーターなどを製造・販売する世界的な電気機器メーカーだ。100年近い歴史を持ち、近年では農業・林業分野で使用される装置など新たな分野への進出も視野に入れて展開を続けている。「現在は第9次中期経営計画の期間にあります。この5年間の計画では『殻を破る』という大きなテーマを設けており、自分たちの殻を破って新しいものにチャレンジしていこうと社員全員で励んでいます」と、山洋電気は語る。
この「殻を破る」の一環として、同社の情報システム管理部を独立させたのが、山洋電気ITソリューション株式会社(以下、山洋電気ITソリューション)だ。「これまでは山洋電気内のシステムのみを担当していますが、今後はグループ外からの依頼も積極的に請け負っていく予定です」と同社は説明する。
そんな山洋電気では、サイバー攻撃の被害が世間で増加していることを踏まえ、中期経営計画の中で「情報漏洩ゼロ、損害もゼロ」という目標を立て、情報セキュリティ対策を強化してきた。その一環として2022年には標的型メール訓練の仕組みを内製し、約300名を対象に訓練を行ったという。
しかし、この訓練にはさまざまな課題があった。例えば、Microsoft OutlookのVBAで少量ずつ送信する仕組みだったため、内製した仕組みだと大規模展開は困難だった。また、山洋電気はアジアやヨーロッパなどグローバルに拠点を持つものの、内製の仕組みは日本語のみの対応だったため、海外拠点では実施できなかったという。少なくとも、情報セキュリティガイドラインを作成している英語と中国語(繁体字・簡体字)では訓練できるようにする必要があった。
●多言語に展開でき、実践的なことが決め手
2022年に標的型メール訓練を実施した後、同様の訓練は行わず、セキュリティ教育のみを毎年実施してきた。しかしその間にAIの性能は向上し、標的型メールに使われる日本語の精度も洗練され、以前のように一目で不審だと判断しづらくなっていった。
重大な事故が発生する前により実践的な訓練の必要性を感じた山洋電気では、内製したものでなく、プロが作成した製品で“しっかりとした訓練”を実施することを決めた。
サービスを検討する上で同社が重視したのは、多言語に対応していること、実践的な訓練が可能であることに加え、長年使用していた教育コンテンツに代わるマンネリ化しない情報セキュリティ教育であった。
従来の情報セキュリティ教育では、文章や挿絵によるテスト形式教育を行っていたものの、教育コンテンツは長年同じものを使用しており、マンネリ化が否めなかった。
それらを条件に同社はまず「標的型メール訓練」でウェブ検索し、表示されたサービスを一つひとつ検討していった。その数は実に50に上るという。しかし多言語に対応するサービスは4社しか見つけられなかった。
その絞られた候補の中からソースポッドのSPC 標的型メール訓練を最終的に選ぶことになった理由は、上記の条件を満たしていたことに加え、訓練メールのテンプレートが豊富に用意されていることと、訓練メールの種明かし画面も多言語に対応しており、さらに内容がわかりやすいことにあるという。
「他社のどのサービスでも、訓練メールのリンクをクリックしたら『あなたは訓練メールにひっかかりました』と表示されます。しかし多くのサービスはその警告表示だけで終わる中、ソースポッドではメール内のどういった点に気を付ければよいかというところまで説明してくれて、しかもその説明がとてもわかりやすいです。単に社内のリテラシー状況を確認するだけにとどまらず、教育の部分まで考えられたソリューションだと感じました」(山洋電気ITソリューション)
もちろんそういった教育コンテンツを表示できるソリューションはいくつか存在するが、コンテンツの内容は自前で作成・翻訳する必要があるケースが多い。対してSPC 標的型メール訓練はコンテンツ作成や翻訳のサービスが備わっており、工数もコストも圧迫しない。
また情報セキュリティ教育サービスのSPC Literacy+については、充実した教育内容が決め手となった。
SPC Literacy+では、最新かつ多数のコンテンツが用意され、多言語にも対応している。そのため標的型メール訓練後に標的型メールへの対策動画とテスト、その後情報セキュリティの基本の動画とテストが日本語・英語・中国語(繁体字・簡体字)で実施でき、より効果的な教育の実現が可能だったのだ。
●訓練によってこれまでの教育の効果を実感。さらに運用体制の改善点も見つかる
同社は2025年4月に問い合わせを行い、5月にトライアル実施、7月に契約した後、同年9月に訓練実施となった。
トライアルでは情報システム部門内に訓練メールを配信して、動作を確認した。その際にSPC Literacy+を、Microsoft 365のEntra IDとのシングルサインオン設定で利用しようとしたが、Microsoft 365の管理者権限を持っていなかったため部内の管理者権限を持つ担当者に説明するために、山洋電気ITソリューションはソースポッドに問い合わせた。それで具体的にどの画面でどのような入力をすればよいかを知ることができ、難なく設定を完了できたという。
9月の訓練では、海外拠点を含む約2,300名を対象に訓練メールを送った。訓練メールの内容はパスワード変更についてとした。この選択は、山洋電気では月に1回、従業員にパスワード変更依頼のメールを送信していることに由来する。訓練メールの文面は、社員が訓練であることに気づきにくく、かつ特定の部署だけでなく全社員向けに適用できることが求められるため、パスワード変更依頼とよく似た訓練メールを送信すれば効果的だと判断したのだ。もちろんこのメールはSPC 標的型メール訓練のサービスを活用し、多言語で展開した。
この訓練でのメール開封率は世間で公表されている数字を大きく下回っており、同社はこれまで実施してきた情報セキュリティ教育は効果があるものだったとはじめて実感できたという。
一方、訓練を通して現在の運用体制への改善点も見つけることができた。同社の情報セキュリティガイドラインでは『不審なメールに気づいた際には特定のアドレスにそのことを伝える』としている。しかし今回の訓練では『不審なメールが届いたが、それの報告先がわからない』という問い合わせが届いたという。これを踏まえて同社は、ガイドライン以外の目に触れやすいところにも報告先を表示することも検討中だ。
また、SPC 標的型メール訓練では実施結果がグラフで表示されるため、全社や部署ごとの開封率がすぐに把握でき、重点的に教育すべき対象が明確になったという。「山洋電気ITソリューションから受け取った訓練結果のグラフは非常にわかりやすく、それを経営層への報告資料として使うことができました」(山洋電気)
●多くのサプライヤーと関わりがあるからこそ、セキュリティ対策を続けていく
今回の標的型メール訓練で確かな感触を得た同社は、今後は年1回の頻度でメール訓練を継続し、セキュリティ対策をより強化していく予定だという。「もちろん、訓練メール内容は毎回変えて実施していくつもりです。最新の標的型メールの手口を踏まえた、効果的な訓練メール内容と教育コンテンツの提供をソースポッドには期待しています」(山洋電気ITソリューション)
「昨今はサプライチェーンを狙ったサイバー攻撃が社会問題となっており、多くのサプライヤーとの協力によって成り立っている当社グループとして対策は不可欠です。SPC 標的型メール訓練やSPC Literacy+によって自社のセキュリティ対策を進めていくことはもちろんのこと、もし訓練や教育が不十分なサプライヤーがいればこれらのサービスを紹介していきたいと思っています」と山洋電気は語った。
