製薬業界が取り組む最先端の情報セキュリティ対策を支える標的型メール攻撃訓練
1919年に創立され京都で100年を超える歴史のある日本新薬株式会社。同社は、研究開発型の新薬メーカーとして特長ある創薬に取り組む医薬品事業と、創薬で培った技術とノウハウを駆使した機能食品事業を柱に「ヘルスケア分野で存在意義のある会社」を目指しています。
同社のDX統括部に所属する情報システム部では、5年以上前から情報セキュリティ対策の強化に取り組んできました。その対策の一環として、以前から実施していた標的型攻撃メール訓練サービスをMudFixにリプレースし、社員の情報セキュリティ意識を高める取り組みを推進しています。
日本新薬 本社/外観
日本新薬株式会社のDX統括部情報システム部に所属する千葉 泰伸氏は、標的型攻撃メール訓練をMudFixにリプレースした背景を次のように話します。「製薬企業には、新薬開発に関わるセンシティブな個人情報や薬剤データに関する機密情報が数多く保存されています。こうした情報を安全に管理・運用するには、情報セキュリティ対策の強化は必須の取り組みでした。その一環として、当社では5年以上前から標的型攻撃メール訓練を実施しています。しかし、以前に利用していた訓練メールツールは安価ではあったものの機能は十分ではなく、また、訓練結果も手動で集計・分析しなければならなかったため、より多機能で訓練結果を的確に分析できる製品を探していました。」
千葉氏は、情報システム部が標的型攻撃メール訓練を実施し始めた当初は、MR(Medical Representatives:医薬情報担当者)として、訓練メールを受け取る側でした。その当時の印象について「以前実施されていた訓練方法だけで十分なのかと不安を感じていました。訓練メールを「開封したか」「開封していないか」それだけが判断材料とされていたので、情報セキュリティを考えるのであれば「その後の初動対応」への訓練こそ必要ではないかと思っていた」と振り返ります。
情報システム部で標的型攻撃メール訓練を実施する立場になった千葉氏は、訓練メールの企画内容について、より実践的な内容にするなどの改革を行っていく中で、ツール自体の課題に直面しました。「以前の訓練メールツールには、自動集計の機能やメールのランダム送信機能、カスタマイズ性の不足、そしてなにより自動集計機能がなかったので、訓練メールの準備や設計、実施後の分析に非常に時間をとられ、生産性の悪いものになっていました。また、都度契約であったり、ドメイン毎にアカウント契約が必要であったりするなど、運用にも手間がかかっていたので、こうした課題を解決できる別の製品を探していました。」と当時の課題を説明します。
DX統括部情報システム部
千葉 泰伸氏
標的型メール攻撃訓練を実施する意義について、千葉氏は「訓練は実施するだけではなく、実施後のレポートや分析が重要です。Emotetのようなマルウェアが添付されたメールや、フィッシング詐欺メールを操作した人は、社内的にマルウェア感染や情報漏えいを引き起こした「加害者」のような目で見られますが、私はそのような不審メールの「被害者」だと思っています。そうした「被害者」を一人も出さないようにするために、訓練を実施した後の結果分析と対策が重要になります。実施した結果から、不審メールを操作してしまう人たちの傾向を分析し、それを社内の情報セキュリティ教育に取り入れるなどの対策が必須です。そのためにも、こちらの意図する頻度で、いつでも何回でも訓練メールを実施することができ、自動で結果を集計してくれる製品へのリプレースが必須でした。その期待に、MudFixが全て応えてくれました」と話します。
千葉氏がMudFixを知ったきっかけは、大阪で開催された展示会でした。「展示会場でMudFixを見たときに、直感で操作しやすいポータル画面で、レポート画面などが簡易に出力できて見やすい、と感じました。また、他の製品と比較しても、必要な機能やオプションが最初から十分揃っていて、フィッシングメール訓練にも対応しており、それでいて価格も妥当だった。すぐに予算増額とツールのリプレースを企画・申請しました」と千葉氏はMudFixの印象を語ります。
情報セキュリティ対策を積極的に推進している同社の情報システム部では、社員の教育や高度な対策ツールを導入するだけではなく、インシデントの発生に備えるセキュリティ専用ヘルプデスクとも契約しています。千葉氏は「マルウェアなどの感染を100%防ぐのは困難な時代になりました。そこで、当社では不審なメールを操作してしまったときには、その端末からネットワークを即時切断させることと、セキュリティ専用ヘルプデスクへの通報を全社員に徹底しています。標的型メール攻撃訓練を実施する意義は、社員の情報セキュリティ意識を高めるだけではなく、問題が発生したときに適切に対応できるかどうかにあります。」と話し、「訓練メール実施期間後に、MudFixでの集計結果とセキュリティ専用ヘルプデスクからの報告書を突き合わせて、訓練メールを開いてしまった人が、どのくらい迅速にSOCへ連絡したかも集計しています。それでも、中にはネットワークを切断していなかったり、セキュリティ専用ヘルプデスクへの連絡が遅れてしまったりする社員もいるので、こうした分析は万が一の被害を未然に防ぐためにも、課題抽出として重要な取り組みだと捉えています」と説明します。
MudFixを活用して標的型メール攻撃訓練を実施していく意義と課題について、千葉氏は「訓練メールは、工夫し過ぎて実在する会社を騙るような内容にすると、逆に現場を混乱させてしまいます。そこで、架空のメールでありながら、不審メールの特徴を踏まえた内容にする必要があります。MudFixには導入当初から、Emotetに対応したテンプレートだけではなく、当時から脅威となっていたフィッシング詐欺のための訓練メールも用意されていたのはとても良かったです」と評価します。
一方で、「これからも、未知の脅威は数多く出てくると思うので、不審メールのトレンドに合わせた訓練が即座に実施できるよう、MudFixには機能の拡張・強化だけではなく、ひな形に利用できるテンプレートの充実も期待しています」と要望を話します。
そして、「今後は、MudFixのタグ機能を活用して、訓練対象を効果的に分けていこうと考えています。例えば、入社1年から3年までの若手社員だけとか、MR部門だけなど、各部門よって不審メールへの反応が異なるので、そうした部門の特性に合わせて、現場の情報セキュリティ意識を高めるための訓練を企画していきます」と展望を語ります。
この製品・サービスに関する導入事例をもっと見る
この事例で紹介された製品・サービスの機能や価格を見る
ご購入やお見積りのご相談、ご質問などは、販売パートナーか、当社窓口までお気軽にお問い合わせください。
電話でのお問い合わせは03-5623-253003-5623-2530
各サービスの導入事例をまとめてダウンロードできます
