事例
グローバルセキュリティエキスパート株式会社
セキュリティ教育の効果測定で意識向上、丸文に学ぶ「標的型メール訓練」活用術
多くの企業が実施しながら、効果測定が難しい社内でのセキュリティ教育。標的型メール訓練を継続して実施することで、効果の把握とコンテンツ/実施頻度の見直しを実現した丸文の事例から、メール訓練の有用性を探る。
要約
高度化するサイバー攻撃に対抗するため、多くの企業が社員へのセキュリティ教育を実施しているが、その効果の実態を把握するのは難しい。先端エレクトロニクス製品を販売する「丸文」でも、セキュリティに関するルールを作成し社内教育を実施していたが、どの程度社員に周知されているのかが分からないという課題を抱えていた。
そこで、自社での教育に限界を感じた同社が導入したのが、実際の攻撃メールの文面を模倣したメールを社員に送り、攻撃への対応力を身につけさせる「標的型メール訓練」だった。比較的早い2013年に導入後、継続的に訓練を行い、2016年度にはグループ会社全体での訓練も実施。怪しいメールを受け取った際の問い合わせが増えたなど、社員の日々の行動にも変化が現れ、訓練継続の効果を実感している。
また添付ファイルの開封率など、グループ各社における意識レベルを数値化できたことで、セキュリティ教育の内容や頻度の見直しにつなげることもできたという。セキュリティ教育の効果測定という課題をクリアした同社の事例から、標的型メール訓練の有用性や活用法を学んでほしい。
