標的型攻撃メールに関しては、おかしなメールに気付いた人が『Slack』に即刻書き込んで注意喚起し、それがどんどん広がって行く現象が起きています。そういう行動が定着してくるとなかなか引っかからなくなってきます。
- 株式会社U-MX
- 管理本部課長・牛之濱勇貴様(右)
管理本部 システム開発 リーダー・高橋功ニ様(左)
プライバシーマークとISMS/ISO27001認証を取得しているU-MXは、より高度なセキュリティ体制をより業務に支障ないかたちで構築・運用するため、LRMの事務局業務代行サービス「セキュリティBPO」を契約されました。そのサービスの一環として、社内でセキュリティ教育クラウド「セキュリオ」を積極的に活用されています。今回は、牛之濱様と髙橋様に、具体的な運用や成果についてお話を伺いました。
株式会社U-MXについて
コールセンターを軸に、カスタマーセンターのアウトソーシングや、代理店事業、セールスプロモーションなどを行っている。通信会社、ウォーターサーバー、飲食・日用品の宅配といった様々な分野の大手企業をクライアントとする。エンドユーザーへの対応力、クライアントに対する詳細かつわかりやすいレポーティングなど、クオリティの高いサービスが強みである。近年はコールセンター事業で公共領域にも進出するなど、業容を拡大し続けている。USEN-NEXT HOLDINGSを純粋持ち株会社とし、グループのシナジーを活かした事業も展開している。
- 本社:東京都中野区
- 設立:2011年5月
- 従業員数:約150名(2021年4月現在)
- Webサイト:https://umx.jp/
社内アンケートの集計資料で社内の実態が可視化
現在貴社ではSecullioのどの機能をご利用いただいているのでしょうか?
現在は「eラーニング」「社内アンケート」「標的型攻撃メール訓練」「サプライチェーンセキュリティ」が中心となっています。
実際の運用はLRMのコンサルタントさんが代行してくれており、結果を定期的にレポーティングしてもらっています。
社内アンケートは、コロナ禍以降テレワークが増え、事務局のメンバーが現場を見る機会も減ってきていましたので、従業員のセキュリティリテラシーやセキュリティルールの遵守状況を確認するため、LRMさんとの代行契約が始まった直後に実施してもらいました。
我々自身、セキュリティ体制を運用するなかでルールを周知しきれていない感覚は持っていましたが、社内アンケートの結果を見ることで、社内の情報セキュリティに対するリテラシーは、まだまだ向上させる余地があると痛感しました。
その後はeラーニング、社内アンケート、標的型攻撃メール訓練の機能を使い、従業員に対して定期的なセキュリティ教育や確認をおこなっています。
定期的なセキュリティ教育や確認をおこなっているとのことですが、具体的にどのくらいの頻度かお伺いしてもよろしいですか?
基本的に毎月実施しています。
eラーニングと標的型攻撃メール訓練の配信頻度に関しては、ホールディングスで実施されるものとの調整が必要でした。現在、ホールディングスの情シスにあたる部署がグループ全体の従業員に向けて、eラーニングの教材や訓練メールを配信し始めています。
特にeラーニングは、真面目に取り組むと1時間ぐらいかかる内容になっています。それに加えて事務局からのeラーニングやアンケートが頻繁に配信されるとなりますと、現場に大きな負担がかかります。ちょうど繁忙期ということもあり、抵抗も生まれやすい時期ですので配信頻度には注意が必要でした。しかし、LRMさんが柔軟に対応してくださり、ホールディングスからのeラーニング配信と配信時期をずらすなど調整していただいたおかげで、従業者に負担の少ないeラーニング実施(※)が出来たと感じています。
※LRMが提供するeラーニングの教材は10~20分で受講できるものが中心となっており、従業員様にご負担をかけることなくセキュリティ教育が実施可能です。
Uグループ様としてのeラーニングや訓練メールは以前から実施されていたのですか?
この3月に初めて配信されました。以前から要望は下りてきていましたが、これまでは弊社のアカウント情報がホールディングスと連動していませんでした。段階的に統合を進めて来て、今、ようやく紐付いてきたところです。ホールディングスのeラーニングは3ヶ月に1回の頻度で配信される予定です。
標的型攻撃メール訓練の結果、怪しいメールに気づいたら報告し合う文化が発生
eラーニングや標的型攻撃メール訓練の実施によって、従業員様に対してどのような変化がありましたか?
怪しいメールにはひっかからなくなりました。先日、ホールディングスからも同じような訓練メールが送られてきたのですが、誰も引っかからなかったため、事務局側から予め社内にリークしていたのではないかと疑われたほどです。そういう意味では、啓蒙が進んできて、正しい運用に近づいている側面もあります。
実は標的型攻撃メールに関しては、『Slack』の中にU-MXの社員全員が登録しているチャンネルがありまして、おかしなメールに気付いた人が即刻書き込んで注意を喚起し、それがどんどん広がって行くという現象が起きています。そういう行動が定着してくるとなかなか引っかからなくなってきます。
また、万が一引っかかったとしても、その後の対処も早いです。実際、直近のホールディングスからの訓練メールでは、ある部署の新入社員が引っかかりました。ただし、その社員の上長からすぐに報告がありましたし、LANを抜いた状態で報告に来ていますので、インシデント後の対応としては満点です。
今後のセキュリティ対策の課題などありましたら、教えてください。
PマークにしてもISMSにしても認証を持っているだけでは意味がありません。その認証を取る前提に構築したルールがありますので、そのルールを従業員全員が守れている環境作りが必要です。特に弊社は人数が増えているところですので、在籍期間が長いメンバーにとっては当たり前になっていることも、最近入ったばかりの新入社員に浸透させるには、定期的な啓蒙活動や教育が必要になります。これは一過性のものではなく、継続して取り組むべき課題と考えています。
株式会社U-MXの皆様、お忙しい中ありがとうございました。
今後ともよろしくお願いいたします。
取材日:2021年4月
