株式会社ハイレックスコーポレーション

みなさまのお仕事、役割を教えていただけますか？

ITグループに所属しております。主に社内からの問い合わせ対応・基幹システム/CAD/EDI等の開発、保守運用・セキュリティ全般を管掌している部署になります。サイバーセキュリティ対策は5名ほどおりますが、全員が他業務と兼務をしながら担っています。

導入の背景　―　業界全体でのセキュリティ意識の高まり

Q1. メール訓練やセキュリティ教育配信を始めたきっかけは、何かあられたのでしょうか？

はい、そもそものきっかけは、日本自動車工業会が発表した「自動車産業サイバーセキュリティガイドライン」でした。ガイドラインの発令によって自動車業界全体でセキュリティに対する意識が一気に高まったんですよね。私たちもその流れに乗る形で、2021年頃から本格的にメール訓練やセキュリティ教育に着手することにしました。

実際、大手自動車メーカーにおける不正アクセスや、メーカーの取引先に対するサプライチェーン攻撃など大きなサイバー攻撃事案がありました。弊社も自動車メーカー様へ製品を供給する立場でもある以上、セキュリティ対策に対する必要性が高まっていました。

最初はIPAの動画を使って社内で展開してみたのですが、どうしても一方向的な教育になってしまって、受け手の反応が見えにくいといった課題があり、「本当にこれで教育になってるのかな？」という疑問がありました。

それで、もっと双方向的でインパクトのある教育ができないかと考えて、外部のメール訓練や教育サービスを導入しようと考え始めたという流れでしたね。

Q2. 当初メール訓練や教育に取り組んでみて、どのような点に課題を感じましたか？

AironWorksを利用する以前は、訓練メールの開封率やE-Learningの進捗状況など、各種データがあちこちに点在してしまっていて、一元管理が難しかったという課題がありました。点在するデータをそれぞれCSVでダウンロードし、手元で突合と集計をしていたので、少し手間がありましたね。

その他で言うと、訓練メールの文面作成にも課題がありました。。実際にフィッシングメールとして「ありそう」内容で、且つ自社の業務にも関係があるようなリアルな文面を考えるのは手間がかかっていました。どこまでリアルにすれば「騙されるけど、教育としても成り立つ」というちょうどいいバランスを取れるか、毎回悩んでいましたね…。

社内でのフィッシングメールの実態を把握するためにも、世の中で発生している最新の手口を調べる必要があったんですが、それも時間と労力が必要でした。訓練の文面をリアルにするって、意外と大変だなと感じていました。

導入後の変化 – 複数の観点での改善

Q3. AironWorksを導入してから、どのような変化がありましたか？

やはり、課題の1つであった一元管理が一定できるようになった点です。以前は、開封率や進捗状況を個別に確認しなければならなかったのが、今ではAironWorksのダッシュボード上で確認できるようになりました。今のUI上での確認項目以外にも、可視化できると嬉しい項目はあるので、そこはAironWorksの開発力に期待しています。

訓練文面についても、弊社側の負担が軽減されましたね。AironWorksのAIがリアルな文面を自動生成して提案をしてくれるので、自分たちで悩まずに済みます。「これ、ホントに訓練？」と思わせるリアルな内容で、従業員の危機意識も少しずつ高まっていると感じています。メールを普段から頻繁に利用する部門からも、「すごくリアルでびっくりしたよ..」という反応が返ってくることも（笑）

E-Learningもすごく工夫されていて、要点がしっかり盛り込まれつつも、短尺で取り組みやすいと感じます。理解度テストも、内容をちゃんと視聴・理解しないと答えられないレベルで作られていて、受講する側に程よい緊張感が生まれるんですよね。「あれ？見逃した？」なんてことが起きて、しっかり学習してもらえる工夫がされています。

Q4. AironWorks導入にあたり、懸念や不安はありませんでしたか？

もちろん、ベンダーを切り替える際に不安がなかったわけではありません。導入プロセスで、どこか抜けがあったらどうしようとか、これまでのやり方と変わる分、うまく運用が回るだろうか？と一定の懸念は付きまとうものかと考えています。

ただ、AironWorksは配信環境の設定サポートがしっかりしていて、文面の提供もスムーズだったので、特に不安はなく進行できました。メールがきちんと受信BOXに届くかの環境構築や疎通テストなどの事前準備についても、カスタマーサクセスの担当者がリードしてくれるため、初めての導入であってもスムーズに進められると思います。

今後のビジョン – CSIRT活動と訓練の相乗効果

Q5. 現在の課題と今後取り組みたいことはありますか？

メール訓練後のアンケートや結果を見ていると、従業員の危機意識にはまだ差があると感じます。「あ、怪しいかも」と思いながらもついクリックしてしまうケースがあったり、逆に確認せずにクリックする人もいるんですよね。この意識の差をどう埋めていくかが課題ですね。

報告率ももっと向上させたいところです。開封率が高まっても報告が少ないと、セキュリティ対策としての効果が薄れます。怪しいと思ったときに報告する癖をつけてもらえるよう、訓練や教育を通じて少しずつ浸透させていきたいです。

そのために、訓練後の種明かし画面にも一工夫を入れようと考えています。AironWorksのプラットフォームならカスタマイズも可能なので、よりヒヤリハットを感じさせられるような画面など、様々なパターンを試してみたいと思っています。

また、教育や訓練に加えて、インシデント発生時に迅速に対応できる体制づくりにも力を入れていきたいと考えています。CSIRTとしての対応マニュアル整備に着手をしている所で、ゆくゆくはリアルな訓練を実施しつつ、その結果をもとにマニュアルのPDCAも回していけるとより本質的な訓練にできると考えています。セキュリティ対策は一朝一夕で完璧にはなりませんが、少しずつ組織全体で強いセキュリティ文化を築いていきたいです。