丸文株式会社 様|トラップメール(GSX標的型メール訓練サービス)

丸文株式会社様は、同業他社でホームページの改ざんや標的型メールまがいのインシデントも発生していたのを機に、トラップメール(GSX標的型メール訓練サービス)を導入されました。

Case Study
丸文株式会社 様

丸文株式会社 様

丸文株式会社の歴史は、弘化元年(1844年)にまで遡ることができます。時代の変遷とともに、商品や企業形態は大きく変わりました。しかし、その長い歳月を通し、丸文が一貫して守り通してきたもの...それは、「常に時代の一歩先を見据え、次のニーズに応える」という「先見」と「先取」の精神に他なりません。 エレクトロニクス技術を基盤とする産業および研究開発の分野に事業領域を置いてからも、その経営哲学は変わることなく受け継がれ、1965年には、日本に初めて集積回路(IC)を紹介しました。以来、半導体供給のパイオニアとして、半導体や電子部品、電子応用機器など、国内外の先端エレクトロニクス製品を販売する独立系シェアトップクラスの専門商社として、日本のエレクトロニクス産業の礎を築いて参りました。また、海外サプライヤを中心としたラインカードを豊富に取り揃え、メガディストリビューターである米Arrow Electronics社との協業で日系企業様を中心に世界規模で開発・生産サポートを展開しています。

目次

導入サービス

■トラップメール(GSX標的型メール訓練サービス)

対談者プロフィール(※所属・役職は取材時現在のものです)
丸文株式会社 有川 伸一 氏
丸文株式会社
ICT統轄本部
情報企画・インフラ推進部 部長
有川 伸一 氏
丸文株式会社 仲山 晶子 氏
丸文株式会社
ICT統轄本部
情報企画・インフラ推進部 担当課長
仲山 晶子 氏
標的型メール訓練サービスの検討背景

― まず、検討のきっかけや背景をお聞かせください


標的型メール訓練は2013年度から実施していますが、当時は、国会や大手企業を狙った攻撃が発覚し、世間の関心が高まっていました。
弊社でも、セキュリティに関するルールを作成し、教育を実施していましたが、それがどの程度周知されているのかを確認する必要があると感じており、情報収集をする中で、訓練サービスの存在を知り、導入に至りました。


― 当該プロジェクトはどのように検討されたかお聞かせください


弊社社長以下、情報セキュリティ運用体制があり、その中で情報セキュリティ管理責任者である当部が企画し実施しました。

訓練を実施する上で、内製化も検討しました。しかし、内製化では同業他社の開封率情報や他社ベンチマーク情報が得られないので、外部のベンダに依頼することを決めました。

GSXによる標的型メール訓練の実施

― 社内にどのような課題がございましたか?


同業他社でホームページが改ざんされるなどの被害が発生し、大手家電業者を騙る標的型メールまがいのインシデントも発生していました。

そんな周辺環境も相まって、比較的早い時期である2013年から弊社はメール訓練を実施しています。4年前の当時でさえも、標的型メールの脅威情報が増えてきており、時代背景もあって取り組んだような状況になります。

また、2013年から情報セキュリティ教育(集合座学)を実施しています。2年前からeラーニングでの情報セキュリティ教育も実施しています。


― GSXの他に他社サービスを検討されましたか?


GSXの他に2,3社検討しました。他社で実施した2013年、2014年はアンケートの回答率が悪く、アンケートの回答率を上げたいと思っていましたところ、サービスメニューには無い回答率向上の仕掛け、具体的にはメール開封時の教育コンテンツからアンケートサイトに移る仕組みを提案頂き、GSXにお願いしようと決めました。もちろん価格も大きな要因です。

実際に採用してみて、柔軟に対応いただけたと思っています。今回、グループ会社も含めて実施するにあたり、システム環境が異なる会社に対してメールがきちんと届くようアドバイスをいただけたので、スムーズにグループ会社と調整する事ができました。また直前のメール文面の変更など、柔軟に対応していただきました。

標的型メール訓練サービスの効果・効用

― 実際の効果・効用をお聞かせください


ある従業員から、「お客様になりすましたメールが届いているが、どうしたらよいか」という問い合わせが来ました。他の従業員からもこういった怪しいメールを受け取った時の問い合わせが増えました。これは訓練を実施し続けてきた効果であると、日々の運用の中で感じ取れます。

2016年度には初めてグループ会社全体で訓練を実施しましたが、グループ全体で社員の情報セキュリティ意識向上のきっかけになりました。

また、各社毎に開封率が数値化された事により、それをもとに毎年行っていたセキュリティ教育について、頻度やコンテンツを見直す材料とする事ができました。

標的型メールの開封率を0にする事は事実上不可能であり、開封された時の備えが大切であるという事が、セキュリティ主管部門だけではなく、役員・社員全員が認識できた事が最大の気付きであり、効果そのものであると考えています。

同時に課題も見えてきました。実際にメールを開いた人は、これが訓練であるとわかってしまうので、本当にアタックされた時の行動は実際にはできていないと感じています。実際に開いてしまった人が感染してしまったことを報告して、そこから消火活動に入るというところがその先の訓練になると思います。

そういったいわゆるインシデントレスポンスにフォーカスした訓練は、弊社側のヘルプデスクや問い合わせ窓口の体制をきちんと作る必要がありますので、今後の検討材料にしたいと考えています。

GSX

インシデントレスポンスにフォーカスした訓練は、年々ご要望が増えております。例えばメールを開封してしまった方の開封記録をリアルタイムに管理者様にお知らせすることができますので、メールを開封してしまった方が、決められた窓口に連絡するかどうかを確認する事が可能になります。

― メール訓練を実施したことで、お気づきの点はございますか?


急激なスピードで変化するセキュリティ情勢に対応するため、今後も情報提供及び提案をお願いしたいと考えています。


― メール訓練に対して改善して欲しいリクエストはございますか?


昨今主流の攻撃手法を模擬したオプションがあるとありがたいです。

GSXの場合、ドメインの違うアドレスも対応いただいていますし、グループ会社含めて対応いただいているので、継続的に実施していきたいと思います。

GSX

サイバー脅威の実態に、より似通わせるという意図であればお客様からご要望も多い「Scan to Email攻撃」や「やりとり型メール攻撃」のオプション選択もございますので、是非ご検討いただければ幸いです。

導入会社プロフィール

会社名

丸文株式会社

本社所在地

東京都中央区日本橋大伝馬町8-1

設立

昭和22年(1947年)7月

資本金

62億1,450万円(2017年4月1日現在)

従業員数

1,397名(連結:2017年3月31日現在)

代表取締役社長

水野 象司

導入サービス概要

■ トラップメール(GSX標的型メール訓練サービス)

標的型攻撃メールを模擬・模倣した、実際には無害の訓練メールをユーザー(社員/職員)に送信します。訓練メールに含まれる、URLリンクあるいは添付ファイルを開封した対象者には、教育コンテンツが表示されると共に、開封した日時等のアクセスログがGSX訓練サーバ側に取得されます。最後に訓練結果を集計し、ログデータ一式と共にご報告差し上げます。ユーザーの開封率結果のみならず、「標的型攻撃」のイメージと対処法を教育でき、全社的な課題感の醸成ができることが最大のメリットです。CSIRTを有する組織であれば「インシデントが起きた時」のイメージが掴め、実対応側に不備がないかどうかの確認へ繋げることができます。

丸文株式会社 様 導入事例紹介リーフレット (PDF 1.3MB)

本記事のシェアはこちらから

お問い合わせはこちら