AWS プレミアティア サービスパートナーとしての卓越した技術力で、日本のクラウド市場を牽引し続ける株式会社サーバーワークス。同社は、従来の標的型攻撃メール訓練における運用負荷の軽減と、精度の向上を目指し、HENNGE Tadrill(以下、Tadrill )を導入。管理工数を抑えながら、有効性の高い訓練を頻度高く実施できる体制を確立しました。さらに、ミスは責めずに正しい行動を称える運用を定着させたことで、従業員が能動的にリスクを報告する組織文化を醸成しています。今回は、コーポレートエンジニアリング部 情報システム管理者の宮澤 慶 氏に、運用の最適化と社員の意識変革を両立させたプロセスを伺いました。
メール訓練の運用負荷解消と
組織拡大に伴う実効性向上が課題に
— はじめに、貴社の事業内容を教えてください。
当社は、AWSに特化したインテグレーション事業を展開するクラウドインテグレーターです。「クラウドで、世界を、もっと、はたらきやすく」というビジョンのもと、最上位パートナーとして卓越した技術力を提供しています。クラウド移行や運用最適化に加え、生成AIの活用やマネージドセキュリティサービス「サバソック」を通じたDX支援にも注力しています。
— Tadrill導入前、標的型攻撃メール訓練において、どのような課題をお持ちだったでしょうか。
訓練自体は10年ほど前から実施していましたが、運用負荷の高さが悩みでした。当時はオープンソースのツールを用いて自社でインフラを構築しており、従業員リストをCSVで登録して配信するといった手法で実施していましたが、訓練メールを1つ作成するのにも手間がかかり、年1回の実施が限界でした。さらに、自社で取得しているドメインからしか送れないため、ITリテラシーの高いエンジニアにすぐ見破られるなど、質としても高くありませんでした。
また、社内コミュニケーションがSlackへ移行し、メールに触れる機会が減ったことにも懸念がありました。メールを使う頻度が下がっても、リスクがなくなるわけではありませんし、当社は事業成長に伴い、セールスやバックオフィスなど、メールを頻繁に利用する人数も増えています。取引先からのセキュリティチェックシートで、継続的なセキュリティ教育実施の有無を問われる中、全社的なリテラシーを維持するためにメール訓練の精度と頻度をもっと高めたいと思うものの、運用負荷の高さが障壁となっていました。
— 数あるツールのなかから「Tadrill」を採用されるに至った経緯と、決め手をお聞かせください。
HENNGE主催のイベントでTadrillを知り、直感的に「これだ!」と感じました。最大の決め手は、HENNGE One Proプランに内包されて提供されるようになったことです。プランをアップグレードすることで訓練の最適化に加え、現場から要望が多かった大容量ファイル転送の容量拡張なども、同時に実現できる。こうした訓練ツールは単体での予算確保が難しい側面もありますが、他のセキュリティ機能とセットで上申しやすい点は、他社にはない魅力です。
「称える」文化への転換で、報告件数が大幅増
管理者負担軽減と共に、社内の意識改革を実現
— 訓練の頻度や、具体的な運用のサイクルについて教えてください。
Tadrillの導入後は全社を対象に、四半期に1回のペースで実施し、月末に訓練を終えたら翌月上旬に結果をレポートにまとめるサイクルを確立しました。年1回では、手順を忘れてしまい、定着しません。訓練かどうかを気にするのではなく、日常の業務の中で不審な挙動に対して常に報告を上げ続けられるよう、習慣化させたいと考えています。
— 導入にあたって、周知や理解促進のために工夫されたことを教えてください。
以前、訓練メールを一斉送信した際、Slack上で瞬く間に共有され、管理者としても指摘したくてもできないという気まずい思いをした経験がありました。Tadrillでは送信タイミングをランダム化し、複数のメールパターンを織り交ぜることで、こうしたネタバレによる訓練の形骸化を防いでいます。
また、社長からのアドバイスもあって「うっかりURLをクリックしてしまった人を晒さない」運用を徹底しています。ミスを責めるのではなく、正しく報告した人を勉強会などで模範として称賛する方針に切り替えたところ、初回は約30件だった報告数が次回で約120件と、4倍に向上しました。
— 実際に運用してみて、Tadrillの操作性や機能面についてはいかがですか?
以前に比べ、運用は驚くほど楽になりました。継続して追加される豊富なメールテンプレートや、リアルで巧妙なドメインが用意されているため、実施方法に悩むことがありません。また、管理画面はアクティビティがリアルタイムに可視化され、合格、及第点、グレーゾーン、要注意の4象限で把握できます。
加えて、ユーザーが不審なメールを受信した際に、わずか2クリックで管理者に報告できるメールアドオン機能の「Tadrill Alert」も有効です。これらの組み合わせで、Slack上でネタバレしたり、親切心で注意喚起を促すチャットを公開してくれた人に削除を依頼するといった余計な手間も不要になりました。
— 運用開始後、管理上の負荷や社員の方々の意識に、どのような変化がありましたか。
前述の通り報告数が着実に増加するなど、社内に正しいアクションが確実に浸透している実感があります。管理側も今では「季節に合わせてストレスチェックを装ってみよう」とか、「Nintendo Switch 2の当選通知メールを送ってみよう」など、遊び心を持って訓練を実施する余裕が生まれました。管理者もある意味で楽しみながら取り組むことも、継続する上で大切だと考えています。
— 弊社のサポート体制や、対応についての印象をお聞かせください。
正直なところ、ツールが非常に使いやすいため、サポートを頼るまでもなく運用を開始できました。マニュアルに沿って進めれば、初期設定も難しくないですし、すぐに活用を開始できます。導入ハードルの低さと直感的な操作性は、非常に高く評価しています。
新機能も活用し、さらなる
セキュリティ教育の高度化を目指す
— 今後、Tadrillをどのように活かしていきたいとお考えですか。
今後は新機能のeラーニングを活用し、訓練メールでつまずいた人へのフォローアップ学習を提供できる仕組みを整えたいと考えています。また、自社ドメインを悪用したなりすましメールを再現できるDMI機能にも期待しています。トレンドに則した最新の巧妙な手口を体験させるなど、セキュリティ教育をさらに高度化したいと考えています。
— ぜひ、これから標的型攻撃メール訓練の導入を検討されている企業へのアドバイスをお願いします。
上申においては、HENNGE Oneの豊富なセキュリティ機能と組み合わせて導入するのが、スムーズに社内を説得できる形だと思います。運用においては、管理者が現場を「責める側」にならないことですね。セキュリティ訓練は行うことがあたりまえの、避難訓練のようなもの。管理者自身も楽しみながら、ポジティブに取り組むことが、運用を定着させる最大のコツです。
— 最後に、Tadrillや弊社に対する今後の要望やご期待をお聞かせください。
将来的に、自社の状況を他社と比較できる客観的なスコアリング指標があると、次の目標設定や経営陣への報告がより容易になると思います。現状の可視化だけでなく、そこから得られた洞察をいかに迅速に社内展開し、組織全体のセキュリティ意識を効率的に高めていけるかという点において、今後もTadrillの進化に期待しています。