GSX、兼松エレクトロニクスの実施したメール訓練+ITセキュリティeラーニング教育の導入事例を公開

兼松エレクトロニクス株式会社様 導入事例

◆導入事例の概要

兼松エレクトロニクスグループ様は、信頼と価値を創造する企業集団を目指し、メーカーにとらわれない幅広いIT製品の中から、常にお客様にとって最適なITソリューションをご提案しております。また兼松エレクトロニクス様の強みであるマルチベンダー機能を活かし、個々のお客様のご要望や変化の激しいIT業界の動向に対して、きめ細かい対応を実現しております。
この度、兼松エレクトロニクスグループとして全社を挙げたセキュリティ意識の向上から、メール訓練とともにeラーニング教育を実施し、セキュリティ教育・意識の向上を醸成することまでを意図しました。

兼松エレクトロニクス株式会社「メール訓練+ITセキュリティeラーニング教育」導入事例詳細：
http://www.gsx.co.jp/casestudy/kel_001.html

兼松エレクトロニクス株式会社、専務取締役である作山信好氏は本事例中身において次のように述べています。

「開封率ゼロを目指すことが目的ではなく低減させることも重要ですが、有事に直面した時の初動対応の大切さや足並み揃えた教育実施を身を以て体感できたことが最大の効果です。」

「開封率に拘るのではなく、有事（今回は訓練でしたが...）を目の当たりにしたときの報告や抜線に代表される初動対応やポリシーに則ったフローがどの程度実施できるのか？を追求して考えることで新たな気付きを悟れるものと理解しました。」

◆標的型メール訓練サービスとは

標的型攻撃メールを模擬・模倣した、実際には無害の訓練メールをユーザー（社員/職員）に送信します。訓練メールに含まれる、URLリンクあるいは添付ファイルを開封した対象者には、教育コンテンツが表示されると共に、開封した日時等のアクセスログがGSX訓練サーバ側に取得されます。最後に訓練結果を集計し、ログデータ一式と共にご報告します。
ユーザーの開封率結果のみならず、「標的型攻撃」のイメージと対処法を教育でき、全社的な課題感の醸成ができることが最大のメリットです。CSIRTを有する組織であれば「インシデントが起きた時」のイメージが掴め、実対応側に不備がないかどうかの確認/改善へ繋げることができます。
 

標的型メール訓練の実施イメージ

◆標的型メール攻撃における教育対策の重要性と多層防御の概念について

最終的に、端末を扱うのも情報資産を扱うのも、従業員であり、ひとりの人間です。「ひとりひとりが、その端末を、情報資産を、セキュリティ意識をもって扱えるかどうか。」技術的対策に依存しない、最後のセキュリティ対策が教育と言えます。
 

標的型メール攻撃における教育対策の重要性

またサイバーキルチェーンにもとづく各フェーズでの対策による、多層防御が最も有効と言え、なかでも教育対策は肝要な対策と考えることができます。
 

標的型メール攻撃への多層防御の概念

標的型メール訓練サービスに関する詳細は以下ページよりご確認ください。

■【 標的型メール訓練サービス 】サービス紹介ページ
http://www.gsx.co.jp/informationsecurity/attackmailtraining.html

◆ITセキュリティeラーニングサービス「Mina Secure（ミナ セキュア）」とは

サービス名：
　ITセキュリティeラーニングサービス Mina Secure（ミナ セキュア）
提供形態：
　クラウド型LMS（SCORM規格）
対象ユーザ：
　従業員様はじめ、情報システム部門の管理者様
提供価格：
　基本料金+下記レンジ単価となります
　【100名/300名/500名/700名/1,000名/2,000名/3,000名/4,000名/5,000名】
　詳細は、弊社営業本部までお問い合わせください。
提供期間：
　2ヶ月

＜eラーニングによる教育サービス＞
どこでもどなたでもインターネットに接続ができれば、適切な教育が受けられる環境として、eラーニングよる教育サービスです。PCはもちろん、インターネットに接続できるスマートデバイスでも利用することができます。

＜一般ユーザ一人ひとりに向けた教育コンテンツ＞
システム部門向けではなく、一般ユーザ向けの日常業務のなかで留意をいただきたいセキュリティ対策を、分かりやすくご説明します。可能な限り平易な言葉を用いたうえで、一般ユーザの方ご自身の日常業務に自然とセキュリティ意識が溶け込み、根付く様な説明・表現を念頭に作成しています。

＜管理者/システム部門様向け機能のご提供＞
教育コンテンツの受講状況が確認できるだけでなく、未受講者を検索してフォローができる等、コンテンツ受講を促進していただける様な機能をご提供します。（管理者専用サイトにより機能をご提供します）

＜ご提供形態＞
ライセンスをご購入いただき、インターネットに接続さえできれば、一般ユーザ様・管理者様ともサービスを利用できる、クラウド型のサービスとしてご提供致します。2ヶ月の利用ライセンスを、必要なユーザアカウント数に応じてご購入いただく形式となります。

◆教育コンテンツ・理解度チェックテストイメージについて

下図コンテンツは「オフィスの外でも、きちんと持つべきセキュリティ意識」と題したもので、ありがちな例を元に留意すべきセキュリティ盲点あるあるをご紹介します。教育を受ける従業員による「飽きたり、疲れたり、ウンザリしたり・・・」が少しでも軽減できるよう、柔らかいビジュアル構成となっています。情報セキュリティという重々しいテーマを少しでも軽く受け止めて貰うためのポイントを随所に散りばめています。

Mina Secure教育コンテンツイメージ1

Mina Secure教育コンテンツイメージ2

Mina Secure教育コンテンツイメージ3

Mina Secure管理者画面

教育コンテンツでの学習後に、まとめとして理解度チェックテストを実施し、合格すると当該章立ての学習が終了となります。

Mina Secureに関する詳細は以下ページよりご確認ください。

■【 ITセキュリティeラーニングサービス | Mina Secure 】サービス紹介ページ
http://www.gsx.co.jp/informationsecurity/minasecure.html

◆グローバルセキュリティエキスパート株式会社について
社名　　　：グローバルセキュリティエキスパート株式会社
本社　　　：〒105-0022 東京都港区海岸1-15-1 スズエベイディアムビル4F
代表者　　：代表取締役社長　久慈　正一
資本金　　：1億円
設立　　　：2000年4月
コーポレートサイトURL：http://www.gsx.co.jp/

事業内容：国内初の情報セキュリティ専門コンサルティング会社として2000年に設立され、脆弱性診断、コンサルティング、サイバーセキュリティサービス、教育事業にいたる広範な情報セキュリティサービスを提供しています。
情報セキュリティポリシーの国際標準基準となった英国規格協会（BSI）のBS7799（現ISO27000）を日本に初めて紹介し、高品質な情報セキュリティコンサルテーションを行っています。
さらに、高い技術を有し、システムの脆弱性の検出のためにプラットフォーム診断やWebアプリケーション診断、スマホアプリセキュリティ診断などさまざまな脆弱性診断を行う【タイガーチームサービス（TIGER TEAM SERVICE）本部】、標的型メール訓練サービスやマルウェア感染調査をはじめとする新しい脅威に対抗するサービス／ソリューションをご提案する【サイバーセキュリティサービス本部】、企業様のセキュリティポリシーの策定・リスクアセスメント・システム監査または、ISMSやPマーク取得支援、PCI DSS準拠認定支援、CSIRT構築運用支援サービスなどを行っている【コンサルティング本部】、情報セキュリティ人材育成（EC-Council）事業として認定トレーニング及び認定資格試験として、認定ネットワークディフェンダー（Certified Network Defender）、認定ホワイトハッカー（Certified Ethical Hacker）などの講座をご提供する【エデュケーション本部】を組織しています。また【R&D本部準備室】にはGSXサイバーセキュリティ研究所（GSX Cyber Security Research Institute）を擁し、セキュリティ製品評価やサイバー攻撃に関する情報収集及び分析、セキュリティインシデント対応要員の育成を進めており、問題指摘のみならず、インシデントに対する解決策までをワンストップで提供できる体制を整えています。

※本文中に記載の会社名、製品名は、それぞれの会社の商標もしくは登録商標です。