単発の訓練では、「喉元過ぎれば熱さを忘れる」

 一度は活動を鎮静化したマルウエア「Emotet」が復活し、日本企業を含めた多くの企業に影響を及ぼしたことは記憶に新しい。ビジネスを脅かすセキュリティリスクは、日増しに巧妙化・高度化し続けている。

 ビジネス継続性を高めるには、「仕組み」と「ヒト」の両面で対策を実施することが重要だ。特にヒトの面は、なかなか対策強化が難しい。多くの企業が苦労していることだろう。

 例えば、メールの添付ファイルを「ついうっかり」開封してしまう、あるいは本文中のリンクを「勘違いして」クリックしてしまう。このようなヒトの行為を未然に防ぐため、多くの企業が攻撃メール訓練サービスを活用し、社員のリスクに対する“感度”を高めようとしている。

 だが、訓練の効果を引き出せているかどうかは企業によってまちまちのようだ。中には訓練が形骸化してしまい、思うような効果を生み出せていないケースもある。その大きな要因は、訓練が単発での実施に終わってしまっていることだろう。管理者の運用負荷、あるいは費用の問題で、年1回程度が限界になっている。これでは、その時は気付きを得られても、「喉元過ぎれば熱さを忘れる」というのが現実だ。

 この状態を脱し、必要なときに何度も繰り返し訓練を行うことで、社員の“感度”を常に高く保ちたい――。そのための環境を整えたのが、医療用医薬品メーカーの日本新薬である。いつでも訓練を行えるほか、結果の集計・レポーティング業務も効率化。多くの機密情報を抱える創薬企業として、より高いセキュリティレベルを目指すための下地を整えた。

 今回は、同社が採用した攻撃メール訓練サービスの詳細をひも解きながら、これから企業が目指すべきヒトの領域の対策について考えてみたい。

この先は日経クロステック Active会員の登録が必要です

日経クロステック Activeは、IT/製造/建設各分野にかかわる企業向け製品・サービスについて、選択や導入を支援する情報サイトです。製品・サービス情報、導入事例などのコンテンツを多数掲載しています。初めてご覧になる際には、会員登録(無料)をお願いいたします。