企業ICT導入事例

-株式会社ダイワ・エム・ティ-
“訪れうる危機”に対応すべく、訓練により従業員のリテラシーを向上

「パソコンが乗っ取られる」「データが流出する」など、企業活動において多くの脅威をもたらす「標的型攻撃メール」。
その実態と対策については2018年3月号号と2018年4月号の特集で紹介しましたが、今回は実際にその対策に取り組んでいる企業の事例を紹介します。
静岡県富士市にある株式会社ダイワ・エム・ティは、セキュリティ対策のハード＆ソフトウェアの導入に加え、従業員の訓練により、標的型攻撃メールのリスクに備えています。

【導入の狙い】従業員のセキュリティ意識を確認し、さらに高めることを狙う。
【導入の効果】メール本文のリンクや添付ファイルの不用意な利用がなくなり、意識が向上。

もちろん、こうした開発業務においては、自社はもとより、取引先企業の情報を守ることが何よりも重要です。

「お取引先さまとの間では、高いレベルの機密保持契約を締結します。そしてそれを担保するため、社員には機密保持についての誓約書の提出を義務づけ、工場は関係者以外の出入りをシャットアウトしています。そして高度な秘匿性が求められるデザインセンターは外から見えないようにしてあります」（和久田氏）

もちろん、こうした対策は、同社のパソコン環境でも同様です。

「すべてのパソコンにアンチウイルスソフトを導入しているのはもちろん、インターネットとの通信も監視し、不正な侵入を防いでいます。また開発部門で使うパソコンは総務や経理のネットワークとは切り離し、閉鎖したネットワークで運用しています」（和久田氏）

ただ和久田氏には気になることがありました。それは知人の企業で起きた、パソコンを巡るトラブルでした。

「その企業も、弊社と同様にICTのセキュリティには注意を払い、インターネットからの不正侵入にも対策していたと言います。しかしある朝、出社した社員がパソコンを起動すると画面に“身代金”を要求するメッセージが表示され、操作を受け付けなくなったと言うのです。さらにトラブルはそのパソコンだけでなく、ネットワークにつながっている複数台にも広がっていました。幸い、日ごとに取っているバックアップを使った復旧が可能だったこと、弊社同様に閉じたネットワークで運用している開発部門には影響がなかったことで、被害は最小限に止まったそうですが、『対策はしていたはずなのに、どこから感染したのか分からない』と言うお話をうかがい、セキュリティ対策に“過剰すぎる”ということはないことを実感しました」(和久田氏)

和久田氏はこの事例を教訓に、同社のセキュリティをさらに高めるため、社内のシステムを見直しました。

「まずUTM(社内ネットワークの入口に設置する統合型セキュリティ管理機器)を導入し、ネットワークそのものの安全性を高めました。そして部署ごとにセキュリティの担当者を決め、アンチウイルスソフトのアップデートが確実に行われているか、監督を義務づけました。そして各社員にもこれまで以上にセキュリティ意識を持ってもらうため、日本電信電話ユーザ協会の『標的型攻撃メール予防訓練サービス』を利用しました」(和久田氏)

このサービスは、ユーザ協会が訓練用の「模擬メール」を申込企業の受講者へ送信し、その後に訓練を受けた方全員へ学習用コンテンツへ案内する事で、「標的型攻撃メール」について理解をうながすというものです。

「“身代金”を要求する悪意あるソフトウェアについて調べたところ、これがランサムウェアと呼ばれ、その感染経路に標的型攻撃メールがあることが分かりました。このサービスならそうしたメールへの対策になると考えたことが、実施の動機です」（和久田氏）

訓練は予告なく行われましたが、模擬メールを開封した従業員は皆無で、和久田氏はその意識の高さに胸をなで下ろしたと言います。

「訓練の結果で、弊社がこれまで行ってきた教育が間違っていなかったことが証明されました。そして訓練後は、添付ファイルやメールに記載されたURLに不審な点はないか、差出人は真正のものかどうかを、各従業員がこれまで以上にしっかりと確認するようになりました。これは大きな成果だと思います」(和久田氏)

この訓練に加え、同社はユーザ協会が提供するセキュリティセミナーも製造部門・管理部門のすべての社員が受講しました。

「訓練やセミナーで、もともとの高い意識がさらに高まったと実感しています。そしてその意識を継続させていくためにも、訓練については今後も継続的に行うことが重要ではないかと考えています。標的型攻撃メールに代表されるセキュリティリスクを身近なものととらえる上で、ほかの企業さまにもこうした訓練、セミナーのご利用をおすすめしたいですね」(和久田氏)