社会のデジタル化が進展し、セキュリティリスクへの対策も変化しています。
だからこそ、従業員全員で情報セキュリティリテラシーを高めなければなりません。
- キッセイ薬品工業株式会社
- システム企画部マネジャー・森川様
システム企画部・段原様
長野県松本市で医療用医薬品の研究・開発・製造・販売に取り組んでいるキッセイ薬品工業株式会社。かねてから情報セキュリティに関する取り組みを行っており、年2回は標的型攻撃メール訓練を実施しています。今回は、社内の情報セキュリティ教育を推進しているシステム企画部の森川様、段原様に、「セキュリオ」導入の背景や同社におけるセキュリティ教育の今後の展望についてお話を伺いました。
- 会社名
- キッセイ薬品工業株式会社
- 業界
- 製造・メーカー
- 活用しているサービス
- 標的型攻撃メール訓練
- 導入背景
- 標的型攻撃メールの訓練を内製していたが、メール訓練の準備が大変だった
- 訓練結果のまとめとフィードバックに時間がかかっていた
- 他部署との調整に時間を要していた
- 運用方法
- セキュリオのメールテンプレートからメール文案を選択
- グループ会社も含めて、標的型攻撃メールの訓練を実施(期間内に3〜4通のメールを送信)
- 訓練実施に向けた技術的な調整は、セキュリオの営業担当者およびカスタマーサクセスにフォローしてもらっている
- 活用Tips
- 訓練時に、会社ごとの結果(メールの開封率)をリアルタイムに可視化できた
- 社外専門家により作成された攻撃メールの文案が充実しており、社内調整が不要でタイムリーに実施できた
内製での標的型攻撃メール訓練に限界を感じる
セキュリオ導入前にも、標的型攻撃メール訓練を実施されていたそうですね。
森川様)内部統制報告制度に基づいて定める全社的な内部統制において、ITへの対応の一項目として約10年前から、年2回の頻度で標的型攻撃メール訓練を実施しています。IT関連事業を手掛けるグループ会社のキッセイコムテック株式会社と連携しながら、内製での訓練を行ってきました。
製薬メーカーの当社は機密性の高い情報を扱っており、セキュリティリスクに対応する必要があります。経営陣もたびたびトップメッセージを発信しており、システム企画部も様々な対策を講じてきました。
これまでの標的型攻撃メール訓練では、どのような課題があったのでしょうか?
森川様)ふたつの課題がありました。
ひとつは、訓練にかかる運用の大変さです。メール送信業務はキッセイコムテックに依頼していたものの、メール文案作成や結果の集計、周知・徹底、セキュリティ教育などは私たちの部署が担っていたんです。メールの内容によっては関連部署に問い合わせが入るため、事前調整も必要でした。
もうひとつは、訓練内容が適切かどうか判断しづらいことです。私たちはセキュリティ教育の専門家ではないので、「それっぽい」メール文案しか作れませんでした。そもそも現在は標的型攻撃メールだけでなく、ビジネスメール詐欺(BEC)など様々な脅威が存在しています。網羅的かつ効果的な対策がなされているかという不安を抱いていました。
その中で、セキュリオを導入した理由を教えてください。
森川様)機能が充実していることが前提ですが、ユーザ企業の担当者が訓練を容易に設定し実施ができる利便性の高いサービスを求めていました。セキュリオはクリック操作で簡単に訓練メールを配信することができ、訓練結果もダッシュボードで見ることができます。
また標準で搭載されている30以上のメールテンプレートも便利でした。
段原様)訓練が行われたとき、私はセキュリティ担当ではなく、一般ユーザとして訓練メールを受け取ったのですが、送られてきた訓練メールの内容が自然で驚きました。従来の訓練メールは明らかに訓練とわかるような内容で、「開封しない=リテラシーがある」とは言い切れなかったと思います。セキュリオの訓練メールはよくできていて、より適切にセキュリティリテラシー向上の確認ができる設計になっていると感じています。
セキュリオで業務時間が大幅に短縮、コストパフォーマンスの高さを実感
セキュリオ導入時の標的型攻撃メール訓練について、詳しく教えてください。
森川様)2024年2〜3月、キッセイ薬品と、グループ会社のキッセイ商事、ハシバテクノスに所属する従業員約1,600名を対象に訓練を実施しました。各社同じ内容で訓練メールを3〜4通送信し、会社ごと・部署ごとの結果を可視化しています。
実は、主管部署の私たちが所属するキッセイ薬品が、グループ会社2社に比べて芳しくない結果になってしまいました。開封率は2.2%でしたが、訓練メールの文案にバリエーションが増えたことにより、訓練の効果に期待が持てます。
結果が芳しくない部署には、何か対策を講じたのでしょうか?
森川様)訓練結果については各部門へフィードバックし、各部署の責任者から指導してもらっています。ただ今回はセキュリオ導入初期であり、まずは従業員のセキュリティリテラシーの底上げを図りたかったので、メール訓練の効果としては上々だったと考えています。
開封してしまった従業員に対して、「罰」を与える施策はそれほど有効ではありません。それよりも、セキュリティリテラシーを高めてもらうような訓練後のフォローアップを実施することの方が重要でしょう。どちらかというと、今後の標的型攻撃メール訓練における私たちの課題だと認識しています。
導入後の効果について教えてください。
森川様)システム企画部では、メール文案を用意したり、結果をとりまとめる時間が削減されたりと業務効率化が実現しました。
また期待通りの効果として、情報セキュリティのプロであるLRMの監修ということで、メール内容にも説得力を感じてもらうことができ、関連部署との調整がやりやすくなったことが挙げられます。リソースやコストなどを総合的に勘案すると、セキュリオは非常にパフォーマンスが良いサービスだといえるでしょう。
従業員の反応はいかがでしたか?
段原様)今回は全くクレームがありませんでした。セキュリオを活用したことで、訓練の妥当性が伝わったのだと思います。
「従業員全員でセキュリティリテラシーを高める」という意識づけを今後の展望や課題について教えていただけますか?
森川様)標的型攻撃メール訓練の内容をブラッシュアップすることも大事ですが、訓練前の準備や、訓練後のフォローアップも意識していけたらと考えています。
セキュリオのeラーニング教材を活用して、「標的型攻撃メールにはこんなリスクがある」「メールが届いたら、こんなふうに対応する」と事前に理解してもらえれば、訓練時の効果も大きくなると思います。各部署とも事前に目的や内容を共有し、一緒にセキュリティ対策に取り組んだという意識も醸成していきたいですね。
段原様)訓練後は、従業員から「このメールはどうやって標的型攻撃メールだと見極めるんだ」と問い合わせをいただくこともあります。結果の良し悪しに限らず、丁寧に回答することを心掛けたいですね。地道な活動ですが、一歩ずつ情報セキュリティへの意識を高めてもらえたらと考えています。
従業員全員でセキュリティリテラシーを高めていくということですね。
森川様)従来は境界型セキュリティで十分だったので、従業員は「セキュリティ対策はシステム企画部がやるものだ」という意識を持っていたと思います。しかし現在はクラウドサービスが増え、部署ごとにサービス導入のリスクを理解し、その判断が求められるようになってきました。セキュリティ対策は、従業員一人ひとりが考えるものだと理解してもらう必要があります。
キッセイ薬品は、今期が中期経営計画の最終年度になります。来年の4月から新しい中期経営計画が始まるので、セキュリティへの取り組みに関する計画も策定しています。どんな取り組みをするか、私たちだけでなく、従業員全員の視点も持って考えていきたいですね。
皆で協力し合える枠組み・体制を整えていきたいと思います。
キッセイ薬品様、お忙しい中ありがとうございました。
今後ともよろしくお願いいたします。
取材日:2024年8月
キッセイ薬品工業株式会社について
- 本社:長野県松本市
- 設立:1946年8月
- 従業員数:1,333名(2024年3月現在)
- Webサイト:https://www.kissei.co.jp/
キッセイ薬品工業株式会社は、1946年の創業以来、「患者さんのために」を第一義に新薬の研究開発に注力しています。
「純良医薬品を通じて社会に貢献する」、「会社構成員を通じて社会に奉仕する」との経営理念のもと、創薬研究開発型企業として世界の患者さんに独創的な新薬を提供するとともに、食の面からも健康に貢献すべく、特別用途食品等の開発・販売にも取り組んでいます。
