HENNGE株式会社 様（旧 株式会社 HDE 様）｜トラップメール（GSX標的型メール訓練サービス）

田代氏

おかげさまでHDE Oneは、サービス開始以来急速にお客様を増やしてきました。それに伴い、お預かりするデータも増えています。しかもその中には、さまざまな個人情報やクレジットカード情報、取引に関する情報など、あらゆる重要なデータが含まれる可能性があり、リスクが高いと考えていました。

HDEとしてインシデントを経験したわけではありませんが、お客様のデータを確実に、安全にお預かりするために、技術的にきちんと担保された形でセキュリティ対策に取り組む必要があると考えていました。

服部氏
（事前取材）

そもそも、オンプレミスからクラウドへの移行に当たって最も大きなハードルになっているのが、情報漏えいをはじめとするセキュリティへの不安です。

総務省の調査でも明らかですし、実際にお客様にお話を伺っても「セキュリティが不安なんです」という声をよく聞きます。こうしたことから、クラウドのセキュリティに取り組み、それを見える化することが課題だと感じていました。

そこでまず、HDE内のギャップ分析や脆弱性診断を行い、リスクを可視化したいと経営層に提案しましたが、セキュリティ投資は効果が見えにくく、どこまでお金をかければいいか分からないとしばしば言われます。HDEの場合もそうで、「予期できないリスクに対し、そこまで大きな投資はできない」と言われてしまいました。

セキュリティ担当としての理想と現実のギャップを埋めるにはどうしたらいいか、少ないコストでできることはないかと探していました。

田代氏、服部氏

スモールスタートで今できることを考えた結果、標的型メール訓練サービスにたどり着きました。

田代氏

セキュリティ業界での経験がある服部の目から見て、確かな技術を持っていると判断したこと、またコストパフォーマンスが最も良かったことが大きな理由です。

さらに、長年にわたって脆弱性診断の経験があるタイガーチームを持ち、訓練だけでなく、脆弱性検査など幅広い面で支援いただけそうだと考えたこともポイントでした。それが、2016年の3〜4月ごろのことだったと思います。

訓練メールのコンテンツのテンプレートや、クリックしてしまった社員に示す教育用資料が充実しており、一から作らなくても済んだので助かりました。打ち合わせを1〜2回行った程度で、それほど手間をかけることなく訓練を実施できたと思います。

服部氏
（事前取材）

HDEには、お客様からの問い合わせに対応するサポート部門を除くと、添付ファイルで情報を共有する文化はあまりありません。特に開発部門はチャットや掲示板といったコミュニケーションツールを多用しており、あまりメールを利用しません。

こうした実情を踏まえ、添付ファイルではなくURLリンクを使った訓練を、2回にわたって実施することにしました。

1回目は、各部門のマネージャーに訓練を行う旨を通知し、しかも怪しいポイントが分かりやすい、比較的難易度が低いメールを送りました。
一方2回目は、社内の情報が何らかの原因で漏えいしていたという想定で、社内事情に精通した内容のメールを、実在するシステム担当社員の名前で送ることにしました。本文も、実際に社内で用いられている日英併記とし、少し分かりにくい形にしました。

田代氏

自社開発を行い、技術力やリテラシーに自信があることもあって、社内からは「そんなメールに引っかかる奴はいないよ」という声も訓練前にはありました。

ところが蓋を開けてみたら、意外と多くの人がクリックしてしまったことが分かりました。数字を出し、危険なところを可視化することによって、「うちは大丈夫」という謎の安心感に根拠がなかったことが明らかになったと思います。

服部氏
（事前取材）

実施に当たっては、訓練前の意識調査と訓練後の意識調査をしっかり行いました。事前の意識調査では、疑わしいメールを受信したら「とりあえず開く」と回答した社員は、お客様接点のある部門では0％、間接部門では16％。もし疑わしいリンクをクリックしてしまった場合、「ISMS担当に連絡する」と回答したのはそれぞれ100％、34％という結果で、われわれとしては「人事・総務など間接部門のリテラシーが心配かな」と想定していました。

ところが訓練の結果、アナウンスを行った1度目でも18％が、難易度を上げた2度目では何と42％がURLをクリックしてしまったことが分かりました。お客様接点のある部門でも34.8％が「とりあえず開いちゃった」という結果で、中には、訓練だと思わず本物の通知だと思い込んでいた役員もいたほどです。引っかかってしまった社員からは、「こんなのは巧妙すぎて分からないよ」という反響もありましたが、これこそ標的型攻撃です。

たとえ一定のITリテラシーを持っていても、やはり何かしらの教育を定期的に実施しなくてはならないし、事故はあるという前提で対策していかなければならないと思いました。

田代氏

逆に、「こんなの簡単すぎる」という社員もいました。しかしサイバー攻撃、標的型攻撃は弱いところから狙われるものです。ですから、弱いところに合わせた訓練、教育を行い、全体のレベルを上げていくことが大事だと思います。

田代氏

訓練のポイントは、開封率やクリック率ではありません。怪しいメールに引っかかってしまったときに正しいフローでレポートを上げることができるかを確認したいと考えていました。消火訓練や避難訓練によって消火器の在り処や非常口を確認するのと同じように、不審なこと、困ったことが起きたたらどこに相談したらいいかを認識し、インシデントをレポートするフローが動いていることが確認できたのが大きな成果だと考えています。

残念ながら、昨今のサイバー攻撃は、どれだけ気をつけていても引っかかることがあります。インシデントは起きる可能性がある以上、それによるリスクをどう低減し、ビジネスを止めないようにするかが重要だと考えています。

服部氏
（事前取材）

中には、訓練メールの画面キャプチャを取って「こんなメールが来ているけれど変じゃない？」とチャットや掲示板で共有していた社員もありました。正規の報告フローで報告することも大事ですが、疑わしいことがあったら身近な人や上司に気軽に相談して意見を言い合える、共有できる文化を作っておくことも大切だと感じました。

田代氏

悪いことを報告しても怒られない土壌があれば、みな気軽に報告してくれるようになります。うっかりは誰にでもありますから、その上で、何をするかが大事です。

服部氏
（事前取材）

訓練の成果として一番大きかったのは、セキュリティ投資に関する経営層の理解が深まったことです。訓練を実施して「自分ごと」として体験してもらえた上に、実情を数値にして示したことによって、セキュリティ対策に取り組む機運が高まりました。

現在HDEでは「CSIRT準備室」を設け、既存の情報セキュリティチームへCSIRT機能を盛り込むべく準備を進めています。(2018年稼働予定)
先に申し上げた通り、初めて経営層にCSRIT構築や社内ネットワークの脆弱性診断をしたいと提案したときには「そんな過大な投資はできない」という反応でしたが、訓練後に同じ提案をしたら、「必要だよね」と言われました。

小さい実績の積み重ねを通じて、経営層にもリスク意識が芽生えてきました。いきなり大きな提案をする前に、小さいアプローチから始めていくのがいいと実感していますし、標的型メール訓練サービスは、そのきっかけとして適しているのではないでしょうか。

田代氏

経営層に聞く耳を持ってもらう最初のステップとして、訓練は大きな効果を発揮しました。
並行して、クラウドサービス上の個人情報保護について認定する国際認証「ISO 27018」を国内でも先駆けて取得しました。

私どものお客様の中には、金融など非常に高いセキュリティ水準を求められるところもあります。そうしたお客様にとって、第三者の目でわれわれのセキュリティへの取り組みを担保していく仕組みは不可欠です。

事実、ISO 27018によって、国内はもちろん、台湾など海外のお客様にもしっかり取り組んでいることを評価していただいています。

GSXのようにセキュリティに強いベンダーによる訓練を通じて自浄作用を保っていることは、HDEの強いアピール材料になると思いますし、今後も訓練や脆弱性診断などの取り組みを通じ、高いセキュリティを持った品質の高いサービスを提供することで、お客様の成功をともに後押ししていきたいと考えています。