日経 xTECH Special

日経BP総研 監修 経営力向上ラボ CASE STUDY 07 /大成温調(総合設備工事・従業員数615人)標的型攻撃メールは実に巧妙 安易にクリックしない社員訓練を

日経BP総研 監修 経営力向上ラボ 事例研究編 小さな組織が生き抜く経営のヒントCASE STUDY 07 /大成温調(総合設備工事・従業員数615人)標的型攻撃メールは実に巧妙 安易にクリックしない社員訓練を

設備工事を手掛ける大成温調は、施主やゼネコンなどの顧客から多くの図面データを預かっている。これらは機密性の高い情報で、万一漏洩すると信用を失い事業に重大な影響が及ぶ。そこで、同社は様々なセキュリティ対策を実施してきた。しかしツールを入れても社員の意識が低ければ、近年増えている標的型メール攻撃の格好の餌食にされてしまう。そのためNTT東日本の「標的型攻撃メール訓練サービス」を利用し、工夫を凝らしながら社員の防御力を高めている。

課題
近年、標的型攻撃のセキュリティ脅威が増大。万一顧客から預かった情報が漏洩すれば、大きなダメージにつながる
解決
社員一人ひとりのセキュリティ意識の向上がカギ。標的型攻撃メールを見抜く力をトレーニングを通じて育てる

ICT/IoTを活用して
生産性向上に取り組む

石井 健一 氏
大成温調
コーポレート本部
管理統括部
情報システム部長
石井 健一

 1941年創業の大成温調は、空調や給水などの設備工事を主力事業として展開している。

 「3年ほど前、経営トップから『これからはICT/IoTの会社になる』とのメッセージが出され、社内にICT/IoT推進委員会が発足しました。デジタル活用により設備の質や効率を向上させています。また現場で働く人たちの負荷を減らし、人手不足の時代にも対応していく考えです」と大成温調で情報システム部長を務める石井健一氏は説明する。

 社外で働く社員が多い大成温調にとって、デジタル化の一例がテレワークである。既にほぼ全社員にiPhoneを支給し、出先でメールを見ることができる。現場では、iPadやSIM付きタブレットPCを使って図面の確認などを行っている。デバイスの紛失・盗難対策としてデータの暗号化も実施している。

 こうしたデジタル化を進める一方で、気がかりなのがセキュリティ対策だ。「当社は施主様やゼネコン様といったお客様の大事な情報を預かっています。建物の設計図や関連資料などですが、万一これが漏洩するとお客様に大変なご迷惑をかけることになります。当社の信用問題になり、取引停止にもつながりかねません」と石井氏は話す。

 十分なセキュリティを確保しながらICT/IoT企業になる。それが大成温調のテーマだった。

業務で使用する図面
業務で使用する図面は社外秘のものが多い

巧妙な標的型攻撃メールを防ぐには
訓練の「文面」にも凝りたい

 こうした状況から大成温調はサイバー攻撃の脅威に対応して、適切なセキュリティ対策を実施してきた。データの暗号化は一例だが、ほかにも様々なシステムやツールなどを導入してICT環境を守ってきた。そこには、セキュリティ対策を重視する経営トップの意思が反映されている。

 ただ、システムやツールだけでは限界がある。建築や工事の現場というリモート環境での働き方が当たり前の大成温調において、個々人のセキュリティ意識が乏しければ、防御はあっという間に破綻してしまう。

 「情報漏洩のニュースをしばしば耳にしますが、特に標的型攻撃を受けたケースが目立つようになりました。標的型攻撃そのものは以前からありましたが、最近の手法はより巧妙になっています」と石井氏は昨今の動向を警戒する。防御のポイントは、攻撃の入口に当たる標的型攻撃メールへの対応にある。

 「当社の場合、怪しい添付ファイルを遮断する仕組みがありますが、攻撃メール本文に記載されたURLを不用意にクリックする可能性は残ります。そこで、社員の意識に働きかける新しい対策が必要と考えました」(石井氏)

 2016年11月、NTT東日本からの提案を受けて、大成温調は標的型攻撃メール訓練のサービスを導入した。これは社員にダミーの標的型攻撃メールを送り、実際にクリックしてしまったかどうかなどをレポートするものだ。以来、毎年2回程度全社員を対象に、「メールに騙されない」トレーニングを実施している。

 この訓練で重要な指標となるのがクリック率である。業務連絡などを装った攻撃メールを本物と思い込んでクリックする比率は、低いほど望ましい。トレーニングではなく実際に標的型攻撃メールのURLをクリックした場合、PCやタブレットなどがマルウエア(悪意のあるプログラム)に感染する可能性がある。

 NTT東日本のサービスを導入するに当たり、大成温調はいくつかの同種サービスを比較検討した。サービス内容と価格を中心に吟味した結果、NTT東日本を選択。決め手の1つは、「メール内容を自由に設定できること」だった。サンプル文も用意されているが、大成温調では自社でオリジナルな文面を工夫している。

 「社員がうっかりクリックしそうな文面を自分たちで考えています。差出人としては、社内の部門(下図では情報セキュリティ部)やGAFAのような外部の有名企業を設定して、トレーニングを行っています」(石井氏)

差出人 情報セキュリティ部<xxxxx@yyyy.co.jp>
件名 【緊急】標的型攻撃メールの対応について
本文

従業員各位

当社宛てに標的型攻撃メールが多数届いています。
各自以下のURLをクリックし、自分のパソコンの状況を確認して下さい。

<URL>

「危険」判定が出ましたら一刻も早く情報セキュリティ部に連絡して下さい。

実際に大成温調での標的型攻撃メール訓練で使用された文面例

当初に比べてクリック率は低下
ひっかかった社員には集合研修を追加実施

トップ(TOP)くんと石井氏
「今後も標的型攻撃メール訓練は続けていくつもりです」。トップ(TOP)くんは、大成温調のマスコットキャラクターだ

 半年に一度のトレーニングの際には、一気に全社員に攻撃メールを送るのではなく、数十人ずつ何回かに分けて発信している。一気に送ると同僚間で「ヘンなメールが来た」という情報が伝わり、本来のトレーニングにつながりにくいためだ。また、差出人や文面のパターンを変えて、何種類かの攻撃メールで訓練を行っているという。基本的には、同社とグループ企業を含めた3社の全社員が対象だ。

 大成温調ではセキュリティ教育のためのe-ラーニングも導入しており、標的型攻撃メール訓練を組み合わせてクリック率の低下を目指してきた。

 「2016年は高いクリック率でしたが、何度か訓練を重ねる中でかなり数値は下がりました。ただ、最近は横ばいというのが実情です」と石井氏は打ち明ける。人の意識に働きかけることだけに、粘り強い取り組みが必要だ。その一環として、大成温調では集合教育を実施した。直近の訓練で誤ってクリックした数十人を本社に集め、支社メンバーはテレビ会議で参加してセキュリティ専門家による研修を行ったという。

 「参加者には非常に好評でした。今後も、必要に応じてこうした施策を重ねていきたいと考えています」と石井氏は語る。

 大成温調において、設備そのものや業務のデジタル化はさらに進展しつつある。こうした中で、セキュリティ対策の重要性はますます高まるだろう。その基盤には、デジタルを使う人の確かなセキュリティ意識がなければならない。石井氏は標的型攻撃メールの訓練をこれからも続けながら、社員の防御力をさらに高めていく考えだ。

大成温調株式会社
大成温調株式会社

URL:http://www.taisei-oncho.co.jp/
所在地:東京都品川区大井1-47-1
創業:1941年4月3日
資本金:51億9,505万7,500円
従業員数:615人

高層ビルやホテル、病院、学校、マンションなどの空気調和設備と給排水衛生設備を、最新技術を用いて設計・施工する一般施設工事や、食品の衛生管理システムHACCP(ハサップ)に基づいた環境システムやクリーンルームなど、ITや医療、バイオメディカル、食品分野などの産業施設工事を手掛ける。このほか、環境対策事業や営繕・保守工事などを展開している。

関連リンク

お問い合わせ

標的型攻撃メールを疑似体験“不審なメールを開かない”対応の徹底を図る標的型攻撃メール訓練 詳しくはこちら