お客様の声

株式会社一休は、「こころに贅沢させよう。」をコンセプトに掲げ、高級ホテル・旅館の予約サイト「一休.com」など様々なサービスを運営しています。一休では、300名を超える従業員を対象にしたeラーニングだけでなく、ツール活用やエンジニアリングによって情報セキュリティ強化に取り組んでいます。今回は、同社のコーポレート本部 社内情報システム部 兼 CISO室に所属する大多和様に、セキュリティ教育サービスである「セキュリオ」導入経緯や、セキュリティ対策の今後の展望についてお話を伺いました。

会社名

株式会社一休

業界

IT・通信

活用しているサービス

• eラーニング

導入背景

• 部署や職種によって、セキュリティリテラシーに差があった
• 教材の内容精査や制作、配信に工数がかかっていた
• 受講後、未受講者に個別でフォローアップする必要があった

運用方法

• 年に1回以上、従業員向けにセキュリオを通じて教材を配信
• 入社初日にセキュリオによるセキュリティ教育を実施

活用Tips

• 通知機能の改善（Slack連携の強化）によって未受講者へのフォローが容易になり、受講率が上がった。100%の受講率を達成している
• セキュリオに実装されている教材を使用しているため、CISO室での教材制作時間が削減できた

運用工数を抑えつつ、効果的なセキュリティ教育を実現していく

一休の事業について教えてください。

当社は、高級ホテル・旅館の予約サイト「一休.com」を運営しています。2016年にヤフーグループにジョインし、現在はLINEヤフー株式会社のグループ会社としてトラベル関連の事業を幅広く展開しています。宿泊予約事業以外にも、レストラン予約やスパ予約に多角化している他、最近ではお取り寄せグルメやふるさと納税事業などのサービスも手掛けています。

大多和様は、一休でどのような役割を担っているのでしょうか？

CISO（Chief Information Security Officer）室と社内情報システム部というふたつの部署に所属し、コーポレートITとセキュリティに関する業務を担当しています。例えばセキュリオの導入はCISO室として実施し、他方で、社内情報システム部としては社内の情報漏えい対策や不正アクセス対策などのセキュリティ環境の整備を手掛けています。

ここ数年、当社は既存事業の拡大や複数の新規事業の立ち上げなど、ビジネスの幅を広げてまいりました。それに伴い従業員数も増加していますが、CISO室は兼任2名と、コンパクトな体制で運営しています。

セキュリオ導入以前の貴社の課題について教えてください。

昨今、全ての企業にとってセキュリティ体制構築は喫緊の課題です。当社もパスワード管理ツールの全社導入、PPAP（パスワード付きZIPファイル送付）の廃止をはじめとする様々なセキュリティ施策を推進してきました。

セキュリティ教育も、セキュリティ体制構築における重要な施策のひとつです。当社はエンジニアやデザイナー、営業職など様々な職種の従業員が在籍しており、かつ全国各地に支社が点在しています。ITリテラシーの高い従業員ばかりではないため、セキュリティの基礎知識を底上げする必要がありました。

セキュリティ教育はどのように実施されていましたか？

教育自体は定期的に実施できていたのですが、運用の工数が課題でした。
自前での教育コンテンツの作成や未受講従業員への個別連絡など、運用に多大なリソースを費やしていました。

もちろん従業員向けのセキュリティ教育も必要ではあるのですが、CISO室としては、情報漏えいや不正が起きないような仕組みづくりに注力したいと考えました。eラーニングは極力シンプルで、手間のかからない運用を前提にリプレイスを検討しました。

セキュリオ導入の決め手は、豊富な機能とカスタマーサポートの柔軟性

セキュリオ導入の決め手を教えてください。

もともと、私が副業で携わっている別企業でセキュリオを導入しており、eラーニングやセキュリティアウェアネス（セキュリティに関する定期的なテスト配信機能）などの基本機能は把握していました。

その中でも、社内でセキュリオ導入の提案をした際、いくつかの要望が挙がってきたためLRMに共有しました。迅速に機能改善を進めていただくなど、カスタマーサポートの柔軟性は社内でも評価が高く、セキュリオ導入に至りました。

具体的にどのような要望をされたのでしょうか？

例えば、通知機能の改善です。セキュリオから教材を配信した旨をSlackに送信できるSlack連携という通知機能がありますが、改善前は、個々の従業員が自ら設定する必要がありました。
その状態では、管理者側からeラーニングを配信しても「そもそもセキュリオ上で通知機能を設定していない」ことが理由となり未受講が発生してしまいます。全ての従業員に通知が行き渡るようにする上でも、この機能の改善は必要でした。
そこで、この機能を、管理者のもとで各従業員の通知を一括で設定できるように改善いただき、各従業員に対して個別に設定を依頼する必要がなくなりました。結果として、未受講者へのフォローアップも滞りなく進むようになり、受講率100%の達成につながっています。

現在、セキュリオをどのように活用されているのでしょうか？

従業員に対しては、年に1回以上、eラーニングを配信しています。
受講する側である従業員の負担も鑑み、セキュリティ教育ツールのリプレイス前から、実施頻度は変えていません。

また、社内情報システム部では、入社初日にオリエンテーションを実施しています。パソコンの設定や社内システムなどをレクチャーしているのですが、同じタイミングで、情報セキュリティに関する動画視聴やセキュリオを活用したeラーニング受講も促しています。

人に依存しないセキュリティ体制構築に向けて

今後、セキュリオで実施したいことはありますか？

セキュリオ導入前は、親会社から提供されたプログラムを利用して標的型攻撃メール訓練を実施していました。来年はセキュリオの標的型攻撃メール訓練機能を活用した訓練を行っていきたいですね。

当社は、お客様と電子メールでやりとりをする従業員も多く、標的型攻撃メールのリスクは決して低くないと認識しています。これまでの訓練では、メールを開封してしまう従業員もそれなりにいました。また、一度も訓練を受けたことがない新メンバーの開封率も高い傾向にあります。重点的に対策を講じる必要があると考えています。

セキュリオに関して、LRMへの要望があれば教えてください。

業界に特化した教育コンテンツがあると嬉しいですね。業界内で発生しているインシデントを共有できるようになれば、「自分たちも対策を講じなければ」という雰囲気になると思います。

また、生成AIなど、最近のトレンドに合わせた教育コンテンツも期待しています(※)。実際の業務で利用しているツールやサービスにどんなリスクがあるのか。あらかじめ把握することで、セキュリティ意識も高められるでしょう。
※2025年2月現在、生成AIに関する教育コンテンツも配信しております。

セキュリティ教育に限らず、今後取り組んでいきたいことを教えてください。

セキュリティの理想は、従業員が意識しなくても情報漏えいのリスクが生じないように仕組み化されていることだと考えています。パスワードの情報漏えいに対策の運用にリソースを投じるのではなく、「そもそもパスワードがなくても業務に支障がない」状態をつくれるのが理想です。当社のセキュリティ対策も、人の運用でカバーすべき部分は極力減らしていこうという方向で一致しています。
ただ一方で、どれだけ仕組み化を進めても、人が介在する業務が残る以上従業員へのセキュリティ教育は継続して実施しなければならず、その部分をセキュリオでまかなっていければと考えています。
セキュリティを意識しなくても情報が守られるような仕組み作りと、その中で働く従業員のITリテラシーやセキュリティ意識を高めていく取り組み、その両方を推進していきます。

一休様、お忙しい中ありがとうございました。
今後ともよろしくお願いいたします。

取材日：2025年1月

株式会社一休について

• 本社：東京都千代田区
• 設立：1998年7月
• 従業員数：300名（2023年3月時点）
• Webサイト：https://www.ikyu.co.jp/

---

株式会社一休は、高級ホテル・旅館の予約サイト「一休.com」をはじめ、レストラン予約やスパ予約、ふるさと納税、お取り寄せグルメなど消費者のニーズを捉えた様々なサービスを展開しています。