最新事例などを含んだ程よいボリュームの教材が定期的に配信され、継続的な教育を行えることが「セキュリオ」の最大の強みだと思います。
- 株式会社ソニックガーデン
- Programmer / 顧問CTO・坂川 雅俊(左)
Programmer / 顧問CTO・栩平 智行様(右)
プライバシーマーク認証を取得しているソニックガーデンは、日常的に情報セキュリティに関する取り組みを行っており、その一環でセキュリティ教育クラウド「セキュリオ」を積極的に活用されています。今回は、情報セキュリティ委員会に所属して「セキュリオ」運用を担当していらっしゃる坂川様と栩平様に、具体的な「セキュリオ」の運用方法や成果についてお話を伺いました。
株式会社ソニックガーデンについて
企画から継続的な開発・運用までおこなうことで、事業の成長や基幹業務のシステム化を支援する月額定額の受託開発サービス「納品のない受託開発」を提供するほか、リモートワーク時でもオフィスで働いていた時と同様の自然なコミュニケーションを実現するためのバーチャルオフィスツール「Remotty」といった自社サービスの開発・提供も行っている。 2011年の会社設立時よりリモートワークを積極的に取り入れており、2016年にオフィスを撤廃。以来、従業員全員がリモートワークを行っている。それらのノウハウを活かし、好きな場所で自由に働く社会を作るためのメディア「RemoteWorkLabo」の運営をおこなうなど、新しい働き方に取り組む企業に向けた情報発信も積極的に実施中。
- 本社:東京都世田谷区
- 設立:2011年7月(創業は2009年5月)
- 従業員数:約60名(2021年12月現在)
- Webサイト:https://www.sonicgarden.jp/
教育コンテンツ作成の負担を削減するために「セキュリオ」を導入
「セキュリオ」をご導入されたきっかけを教えてください。
以前より当社ではいろいろなセキュリティ対策を行ってきましたが、最終的には従業員1人1人のモラルが重要であると感じていました。そのため当初は自分たちで作成したセキュリティ教育用のビデオコンテンツを社内で流したりしていたのですが、コンテンツ材料の選定や作成の作業が徐々に負担となりました。
また、実際にコンテンツを見たことで、従業員がどの程度知識を付けられているのか、というところが可視化できていないという課題もあったことから、そういった問題を同時に解決してくれるサービスはないかと探してみたところ、「セキュリオ」を見つけて導入するに至りました。
導入にあたって、他社サービスとの比較などはされましたか?
ほかのサービスも見てはみましたが、セキュリティ教育用のコンテンツを提供してくれているサービスというのは、「セキュリオ」以外見当たりませんでした。
導入前に「セキュリオ」の無料トライアルをご利用いただいたと思うのですが、その際はどういった点を確認されましたか?
全体もざっと眺めはしましたが、主にはeラーニング機能の教材を確認しました。無料トライアルの期間は2週間あったのですが、正直なところ、思ったよりも「セキュリオ」の機能数や教材数にボリュームがあり、2週間では検証しきれなかったので、教材に絞って確認・検討したかたちです。
「セキュリオ」導入の決め手は何だったのでしょうか?
「セキュリオ」が、当社の企業文化やセキュリティに対する考え方にマッチしていたという点です。
前述のとおり、当社ではもともとセキュリティ教育を全社的におこなっていましたが、そのコンテンツ材料の選定・作成の負担を軽減したいという想いと、より一層従業員のセキュリティ意識を向上していきたいという想いがありました。その点において「セキュリオ」は、両方の要望を満たしてくれるコンテンツ・サービスを提供してくれていました。
また、多くの企業では1年に1回セキュリティ教育を行っているケースが多いと思いますが、当社としては1年に1回の教育ではセキュリティ知識のアップデートや意識の向上には不十分だと感じており、もっと短いスパンで定期的に教育をおこないたいと考えていました。
当社がプライバシーマークを取得する際に、代表取締役副社長である藤原が、「プライバシーマークの審査は本来2年に1回だが、当社は毎月審査があっても大丈夫な状態にしておきたい」と言っていたこともあり、それを実現するためにも週に1度、最低でも月に1度のペースで教育をおこなう体制を整える必要がありました。
その点、「1回10分程度で受講できる教材がたくさんある」「毎月新しい教材が増える」といった特徴を持つ「セキュリオ」のeラーニングは当社の文化に合っており、社内でも浸透しやすかったです。
現在はeラーニング機能をメインに活用中。今後は色んな機能も使っていきたい
現在貴社では「セキュリオ」のどの機能をご利用いただいているのでしょうか?
eラーニングをメインに利用しています。2021年11月にプランのアップグレードをおこなったところ、新しい機能が色々と増えましたので、今後使っていきたいなとは思っています。
実際に先日社内のセキュリティ委員会のメンバーで「セキュリオ」の機能を検討する会を実施したのですが、その場では標的型攻撃メール訓練機能が話題にあがりました。DKIMの設定ができたり送信元ドメインを自由にカスタマイズできたりするのは興味深いです。これを見破るのはかなり難易度が高いと思うので、ぜひ試してみたいです。
また、今回のインタビューの最中にオススメいただいたセキュリティアウェアネス機能も、従業員のセキュリティレベルを可視化できるというのは今後のセキュリティ教育の参考になりそうなので、利用を検討してみたいと思います。
eラーニングでの従業員教育は、現在どのくらいの頻度で実施されているのですか?
2週間に1回程度、受講期限を1週間に設定して行っています。教材の選定基準は明確に決まっているわけではなく、受講する従業員の目線に立って選択をしています。ボリュームのある重めの教材が続くと従業員に負担がかかるので、重め→軽め→重め…となるようにだけ気をつけています。
eラーニング機能を使い始めてから、社内で何か変化などはありましたか?
現状、そこまで大きな目に見える変化というのはないです。ただ、教材を配信すると毎回みんなきちんと受けてくれていますし、テストでも合格している従業員が多いため、成果は出てるのではないかと感じています。
ちなみに、セキュリティ意識向上のため、当社では今後「セキュリティラジオ」という取り組みも積極的に行っていきたいと考えています。元々当社には社長ラジオや社内TVという文化があったこともあり、セキュリティについて考えてもらうきっかけにするため、2週間に1度くらいのペースで配信を始めています。セキュリティラジオの視聴は強制されておらず、自主的に興味を持ったら視聴してもらうという形態です。これは、当社がセルフマネジメントというのを意識しており、少し遠回りにはなってしまいますが、従業員に積極的に課題意識を持ってセキュリティに取り組んでほしいという想いからです。
セキュリティラジオの内容としては、最近巷ではこういったセキュリティインシデントが話題ですよといったものが中心になっており、そういった話をする中で、「セキュリオ」の教材も使わせていただいています。
例えば最近ですと「これだけは知っておきたい!情報セキュリティのキホンのキ」を使わせていただきました。話題の材料となるコンテンツがあるというのはすごく便利です。
より効率的な運用を目指す中で、「セキュリオ」とのAPI連携にも期待
今後のセキュリティ対策の展望などがあれば教えてください。
日々のセキュリティ運用は、ある程度システム化していきたいです。
というのも、セキュリティに対しては「面倒くさい」といったようなネガティブなイメージを持つ人も多いので、例えばセキュリティ委員会のメンバーが従業員に対して「●●をやってください」といったような発信をすると、どうしてもセキュリティ委員会が「敵」のような存在になってしまいます。ですが、そこにシステムを挟むことができれば、「システムが言ってるから仕方ない」と思ってもらえたり、「システムがこう言ってくるんだけど、ちょっと助けてくれない?」といったように、システムから強制されたことを委員会メンバーが助けるといった構図になるので、セキュリティ委員会が「敵」になる必要がなくなります。実際に当社では「まもるくん」というセキュリティタスクを自動で割り振ってくれるツールを内製し、運用しています。
今後「セキュリオ」がAPIの提供を開始してくれれば、そういった内製ツールとの連携もスムーズになるので嬉しいです。
最後に、「セキュリオ」の導入を検討されている方へ一言お願いいたします。
最新事例などを含んだ程よいボリュームの教材が定期的に配信され、継続的な教育をおこなえることが「セキュリオ」の最大の強みだと思います。これを社内で真似することは到底できません。当社と同じように教材コンテンツの作成で悩まれている方がいらっしゃれば、Seulioを試してみてはいかがでしょうか。
株式会社ソニックガーデンの皆様、お忙しい中ありがとうございました。
今後ともよろしくお願いいたします。
取材日:2021年12月