事例
グローバルセキュリティエキスパート株式会社
「うちは大丈夫」ではなかった、標的型メール訓練で変わった経営層のリスク意識
セキュリティ投資は効果が見えづらく、経営層の理解を得るのに現場が苦労するケースも少なくない。あるIT企業が、「うちは大丈夫」という経営層の安心に風穴を開けようと行ったのが、低コストでも実施可能な標的型メール訓練だった。
要約
標的型メール攻撃による被害が増加し、セキュリティ対策が経営課題の1つと位置付けられているが、経営層が同じ危機感を持っているとは限らない。現実には、「セキュリティ投資は効果が見えづらい」などの理由から理解を得られず、頭を抱える担当者も多いようだ。
クラウドセキュリティサービスを提供する「HDE」もその1社だった。顧客に安心してサービスを利用してもらうため、社内のセキュリティ体制強化に取り組んでいたが、経営層からは「予期できないリスクに大きな投資はできない」といわれてしまう。そこで低コストでできる施策を探していた担当者がたどり着いたのが、スモールスタートが容易な標的型メール訓練だった。
技術力やリテラシーに自信があった同社だが、訓練の結果、想定以上にだまされる社員が多いことが可視化された。この結果をきっかけに経営層のセキュリティ意識が高まり、CSIRTの立ち上げが決まるなど、セキュリティ向上に向けた取り組みが加速している。メール訓練という小さなアプローチをきっかけに、確実なセキュリティ体制構築につなげられた同社の事例からは、多数の気付きが得られるだろう。
