株式会社小倉について

事業概要

業務用酒類販売業

想い

二十歳を迎えたあの日に行った店のレモンサワー
仲間とのたまり場にしていた店の生ビール
初デートで背伸びして選んだ店のワイン
プロポーズした店のシャンパン
同僚と愚痴こぼす店のハイボール
一人静かな時間を過ごす店の日本酒

お店でのむお酒は美味しい

料飲店様にある「その一本」
お届けしているのが私たちです

私たちは酒屋です

（小倉社ホームページより抜粋）

全社員約250名を対象に、Tadrillでメール訓練を定期的に実施

Tadrillの利用状況について教えてください。

自社ドメインのメールアドレスを使用している全社員約250名を対象に、Tadrillで標的型メール訓練を実施しています。現状、3か月に1回程度のペースで訓練を実施しています。

Tadrillの使い勝手はいかがでしょうか。

訓練メールの文面作成から配信、結果の確認まで、メール訓練の実施に必要な機能が一通り網羅されており、使い勝手に対する不満などはありません。

訓練メールの文面はどのように作成していますか。

Tadrillのテンプレートを参照して作成しています。テンプレートのジャンルや内容も豊富で、定期的に更新もされているのでとても便利です。

最終的には「人」による対策の徹底が重要

メール訓練を実施しているねらいや背景について教えてください。

業種や規模にかかわらず、標的型攻撃やランサムウェアによる被害が数多く報告されています。万が一、当社においても業務を停止せざるを得ない状況に追い込まれれば、取引先の飲食店様にご迷惑をかけることになりかねないという危機感を持っており、メールによる攻撃からシステムを守るためのセキュリティ対策の一環としてメール訓練を実施しています。

メール訓練以外の対策などは実施しているのでしょうか。

当社ではGoogle Workspaceを導入しており、Gmailのフィルタリング機能である程度のスパムメール対策はできているのですが、大手ECサイトや金融機関などを装ったスパムメールらしきものがスパム判定をすり抜けることもありますので、やはり最後は「人」による対策、すなわち怪しいメールは開封しないという対策を徹底する必要があると考えています。

貴社の周辺でも、標的型攻撃やランサムウェアによる被害や事件が発生しているのでしょうか。

まだTadrillのサービスがリリースされる前の話となりますが、別のサービスでメール訓練を実施したことがあります。そのサービスに関して機能や結果に不満があったわけではないのですが、訓練の実施をすべて任せるアウトソーシング型のサービスだったので、訓練を実施するたびにそれなりの費用が発生すること。さらに、都度ベンダーに依頼をして、打ち合わせなどをしなければならず、手間と時間がかかることに対する課題感を持っていました。

そのため、定額制による一定かつ適正な費用負担で、実施回数や頻度を気にすることなく訓練を実施できること。そして、訓練を内製化できるので、柔軟かつ迅速な対応が可能になることから、当社にとってTadrillは理想的なサービスでした。さらに、当社ではシングルサインオンの認証基盤としてHENNGE Oneを約10年間利用しており、HENNGEに対する信頼も厚く、新サービスに対する期待もあったことから導入を決めました。

ほかに比較検討したサービスなどはありませんでしたか。

ほかのサービスも確認はしましたが、機能に制限があったり、サポートを十分に受けられなかったりしたことから、詳細を比較検討するにはいたりませんでした。

Tadrillの導入時に準備しなければならなかったことなどはありましたか。

Gmailの設定変更が必要で、手順書を見ながら設定する必要がありましたが、システムに関してほかに準備することなどはありませんでした。

また、社員に対しては、Tadrillによるメール訓練を開始するのにあたり、事前のチュートリアルとして「このメールを見たら報告アドオン（Tadrill alert）を利用して、報告をしてほしい」という内容の通知を全社員に送付しました。

メール訓練を定期的に実施していくことを知ってもらう目的もありましたが、全社員に確実に訓練メールが配信されることを確認することや、怪しいメールを受信した際の対処方法について改めて認識してもらうことも目的としていました。怪しいメールの文中のリンクをむやみにクリックせず速やかに通報窓口に連絡すること、そして万が一怪しいメールを開封してしまったり、添付ファイルを開いてしまったりした場合も速やかに連絡することを改めて従業員に認識してもらえることを意図して準備していました。

不審なメールに対する「意識」が向上していることを実感

メール訓練を実施した結果について教えてください。

直近の訓練では、訓練メール内のリンククリック率は約8％、怪しいメールを受信したことを連絡してきた報告率は約36％でした。

クリック率に関して、まだ訓練の実施回数が少ないながらも、文面の内容によって割合が変わる傾向が見られます。しかし、怪しいメールに対する「意識」は向上していると実感しており、たとえば、訓練メール内のリンクをクリックした場合、その記録が残りますので、一部の役員や社員は、かなり神経質になっているという話も耳にしています。業務に支障が出るような対応は困りますが、セキュリティという観点から見ると、そのくらい慎重にメールに対して対応するようになってきているのは、訓練による一定の成果だと捉えています。

また、報告率に関しては以前より着実に向上してきていますが、一部、Tadrillの報告アドオン（Tadrill alert）を用いずメールで報告をしてくる社員もまだいます。報告のプロセスを統一して、対応が必要なメールを受信した際に、迅速かつ的確な対応が取れるよう報告アドオン（Tadrill alert）の利用は徹底していきたいと考えています。

訓練メール内のリンクをクリックしてしまった社員に対して、アフターフォローなどは行っているのでしょうか。

現在はまだ、個別のアフターフォローなどは行っていませんが、訓練を重ねても訓練メールに対する反応が変わらない社員に対しては対策を講じていきたいと考えています。

メール訓練に対する社員の方の反応はいかがでしょうか。

最近は、ニュースなどでも標的型攻撃やランサムウェアによる被害が取り沙汰されていることもあり、その対策としてメール訓練を実施していることは概ね理解してもらっているようです。訓練実施後のアンケートなどを見ても、特に否定的な反応や意見は見られません。

HENNGEは気軽に話ができるので、要望や相談がしやすい

HENNGEに対する要望や期待があればお聞かせください。

HENNGEは、サービスの品質が高いだけでなく、対応も丁寧ですぐにメールの返信なども返ってくるので、安心してサービスを利用できます。また、あまりかしこまらず気軽に話ができる雰囲気を作ってくれるので、要望や相談がしやすいというのも信頼できるポイントです。Tadrillによるメール訓練を実施した後も、結果を分析して今後の対応方針の相談に乗ってくれたり、アドバイスをしてくれたりするので、とても助かっています。これからもさらに使いやすくて、便利な機能やサービスの提供に期待しています。

本日は貴重なお話をありがとうございました。

「標的型攻撃メール訓練サービスのTadrill」の詳細はこちら