セキュリティ教育で重要なのは脅威への「嗅覚」を鍛えること ミサワホームは何が違うのか：巧妙な標的型メールへの有効な対策とは

メールを使った標的型攻撃に対応するには、セキュリティソリューションの導入だけでなく従業員の意識改革が欠かせない。とはいえ定期的にメールを使った訓練を続けるのは運用負荷が高い。どうすればよいのだろうか。

[PR／ITmedia]

PR

　機密情報の窃取や業務妨害を目的として、特定の組織や個人を狙って送られる標的型攻撃メールは古典的なサイバー攻撃の一種だ。古典的とはいえ今もなお被害が絶えない。情報処理推進機構（IPA）が公表した「情報セキュリティ10大脅威 2023」によると、組織に対する脅威の第3位に「標的型攻撃による機密情報の窃取」が挙がる。手口は年々巧妙化し、攻撃は増加傾向にある。

　パナソニック ホールディングスとトヨタ自動車、三井物産が出資するプライム ライフ テクノロジーズ（以下、PLT）傘下のハウスメーカーであり、50社以上の連結子会社から成るミサワホームは、エンドポイントソリューションの導入だけでなく従業員の意識改革が必要だと感じ、グループ全体で本格的なセキュリティ教育に乗り出した。

独自のセキュリティ教育を自前で準備　工数が掛かり過ぎて限界に

　ミサワホームの滑川智之氏（ITソリューション部　部長 兼 財務経理部　担当部長）は、かつての状況を次のように説明する。

ミサワホームの滑川智之氏

　「当社はITベンダーやセキュリティベンダーと密接に連携し、EPP（Endpoint Protection Platform）やEDR（Endpoint Detection and Response）を導入するなど、さまざまな脅威に対応し得る強固なセキュリティ対策を講じてきました。しかし、私たち情報セキュリティ部門と従業員・経営陣のセキュリティ意識に大きなギャップがあり、意識の底上げが急務でした」

　特に問題意識が高まったのが、2019年度（2020年3月期）下期のことだった。ちょうどマルウェア「Emotet」の活動が再開し、企業の被害が報道されていた時期だ。同社のセキュリティ教育は十分とは言えず、入社時に研修を実施する程度だった。そこで標的型攻撃メールに対する従業員の危機察知力を高めるために、標的型攻撃の訓練サービスを利用した。訓練を担当した大重敦子氏（ITソリューション部　情報システム課）は結果に驚いたという。

　「本物の標的型攻撃を模した疑似攻撃メールを全従業員に送る訓練を2回実施したところ、1回目の開封率は42％、2回目は38％と非常に高い割合でした。当時のグループ従業員は1万人ほどですから、実に4000人ほどが疑似攻撃メールを開封してしまったことになります。これでは攻撃者に狙い撃ちされたらひとたまりもありません。せめて建設業界の平均値の13％程度へ早急に下げる必要があると考えました」

ミサワホームの大重敦子氏

　まずは外部のベンダーに頼らずに、自社独自のセキュリティ教育の仕組みをつくることにした。グループ各社に配置したCISO（最高情報セキュリティ責任者）を組織化し、定例会議で標的型攻撃メールをはじめとするセキュリティリスクの問題や対策を協議した。

　自社のレベルに合わせた教材動画や資料を作り、ポータルサイトで受講できるようにしてグループ各社に受講を呼び掛けた。受講後は「Google フォーム」で作成した理解度テストを受けてもらった。標的型攻撃メール訓練の実施に当たっては外部のサービスを利用した。訓練結果の集計、分析と各社・各部門への報告、標的型攻撃メールを開封した従業員への強化研修、サポートを全て自社で実施した。

　「1年間かけてこれらの取り組みを行った結果、訓練メールの開封率が9.8％まで下がり、一定の成果があったことを確認できました。しかし、教材の作成や訓練結果の集計など全ての業務を2人体制で担当していたため、工数が限界に達していました。そこで、これらを効率良くこなせるサービスはないかと考えました」（大重氏）

セキュリティ教育サービスをオールインワンで実現できるセキュリオを導入

　さまざまなサービスを検討した結果、筆頭候補に挙がったのがLRMの情報セキュリティ教育クラウド「セキュリオ」だった。

　ミサワホームは標的型攻撃メールの訓練だけでなく、グループ全体のセキュリティガバナンスの向上にも取り組みたいと考えていた。さまざまなサービスを比較検討したものの、多くは標的型攻撃メール訓練と検証の機能しか提供していない。セキュリオには訓練や検証の機能だけでなく、eラーニングやセキュリティアウェアネス、サプライチェーンセキュリティ、内部監査など多様な機能がオールインワンでそろっていた。

　「訓練と効果検証、研修をセットと捉え、PDCAを回してセキュリティレベルを上げることが重要だと考えていました。セキュリオなら、セキュリティ教育のサイクルを効率的に回せるのではないか。当社の情報セキュリティに関する課題に幅広く対応できるサービスだと感じました」（大重氏）

　訓練メールの回数に応じて追加コストが発生するサービスもあるが、セキュリオは送信回数無制限で、さらにeラーニングも無制限に利用できる。コスト面も魅力だった。

　ユーザーの権限を細かく設定できる点も同社のニーズにマッチしていた。それまでは、標的型攻撃メール訓練の実施後、結果を情報システム課が取りまとめてグループ各社のCISOや部門長に報告していたが、ここに多大な工数が掛かっていた。セキュリオを導入してグループ各社のCISOや部門長にアクセス権限を与えておけば、訓練結果などの情報を直接確認してもらえる。グループ全体のセキュリティ意識の醸成に役立つと同時に、情報システム課の工数削減につながると考えた。

　無償トライアル期間で操作性などを確かめた後、セキュリオの採用を決定した。内製化済みの仕組みをセキュリオに移し替える予定だったこともあり、サービス選定から運用開始まで約3カ月と、スピーディーな導入を実現できた。

　セキュリオ導入以降、親会社のPLTを主体とする訓練や研修も含め、ミサワホームグループの従業員に標的型攻撃メール訓練を年4回実施している。毎回訓練メールを開封してしまうなど、問題があった従業員には強化研修で意識の底上げを徹底した。

　同社が実感したセキュリオのメリットは、文面テンプレートの豊富さだ。標的型攻撃メール訓練では、同じ文面を送信して開封率やクリック率が低下したとしてもリテラシー向上につながったとは言えない。文面や件名を変えるなどして、あの手この手で開封させようとする標的型攻撃メールへの対策には、“だまされそうな”文面で訓練する必要があった。セキュリオには30種類以上の文面テンプレートが用意されており、ミサワホームはこれをカスタマイズして文面を作成している。

思わず開封してしまいそうな訓練メールも、テンプレートを使って容易に作成できる（提供：セキュリオ）

　「セキュリオなら訓練実施日直前に報道された手口をまねて、タイムリーなメール訓練を実施することも可能です。時勢を反映させながら、カスタマイズしたメール訓練を実施できる点が大きなメリットです」（大重氏）

ミサワホームの岡村好晃氏

　訓練メールでは、送信元ドメインも変更可能だ。勘のいい従業員は送信元ドメインを見ただけで訓練メールだと察知してしまうが、それでは訓練の意味がない。その都度送信ドメインを変えることで、“バレない”ように訓練を実施できる。ミサワホームの岡村好晃氏（ITソリューション部　担当部長 兼 情報システム課長）は、セキュリオの導入効果を次のように語る。

　「訓練で目指すことは、従業員に標的型攻撃メールに対する嗅覚を身に付けてもらうことです。そのためには手を替え品を替え、さまざまなバリエーションのメール訓練を継続する必要があります。自由度の高いセキュリオなら、われわれの考えるセキュリティ教育が可能だと実感しています」

訓練メールの開封率は40％から2％程度へ　見え始めた訓練の成果

　かつて40％を記録した訓練メールの開封率は、セキュリオを導入したことでどう変わったのか。直近2回の訓練では、2％前後という低水準をキープしているという。大幅な改善だ。

　セキュリオは同社のセキュリティ意識の向上にも貢献している。「標的型攻撃メール訓練の結果はセキュリオの画面で各社のCISOや部門長が確認できるため、私たちが『確認してください』と依頼する必要もありません。他部門と比較して自部門の成績が悪ければ、部門長が自分のチームに発破をかけてくれます。グループ全体を巻き込んで、自発的にPDCAを回して意識と行動を改善し続けられる仕組みがセキュリオによって構築できたと言えます」（岡村氏）

　滑川氏は、引き続きセキュリオを通じてグループ全体のセキュリティレベル向上を図っていきたいと語る。

　「情報セキュリティインシデントは企業の経営を左右する重大なリスクです。一方で、今後もサイバー攻撃は巧妙化を続けるでしょう。常に新しい情報をキャッチアップしながらPDCAサイクルを繰り返すことで、組織としての防御力を高めていきたいですね」