株式会社ダイセル 従業員のセキュリティ意識向上のためのSaaS型トレーニングプラットフォーム「KnowBe4」を導入し、短期間で従業員のセキュリティ意識を向上
- セキュリティ
- クラウド
セルロース化学や有機合成化学などのコア技術を持ち、セルロース事業や基礎化学品分野で事業展開する化学メーカーである、株式会社ダイセル。世界14の国と地域に支店を持ち、グループ会社を含めると海外40カ国、76拠点で展開するグローバルカンパニーです。昨今、世界中でサーバー攻撃やデータ侵害のリスクが急速に増加しており、セキュリティの重要性が増しています。ダイセルは、今後も信頼あるサプライヤーとして世界で戦っていくためには、システムインフラのセキュリティレベルを高く保つことはもちろん、従業員のセキュリティ意識の向上も必須であると考えました。そのために2023年2月に導入を決定したのが、従業員のセキュリティ意識向上のためのSaaS型トレーニングプラットフォーム「KnowBe4」です。
「KnowBe4は、多言語に対応した、豊富なセキュリティ教育コンテンツや標的型メール訓練の雛形(テンプレート)があらかじめ用意されているため、グローバルに従業員を抱える当社との相性が良く、以前から注目していました。また、ISID独自のサービスである”導入支援サービス”を活用する事で、短期間にも関わらず驚くほどスムーズに導入が完了し、一刻も早く導入したいという当社希望も満たすことができました」と、KnowBe4の導入プロジェクトをリードした高嶋氏は語ります。
2023年4月には、セキュリティの統制とガバナンスを強化するための専任組織としてセキュリティ管理チームを立ち上げ、セキュリティ人材強化に乗り出したダイセル。「セキュリティの根幹は“人”であり、いくらシステムを強固にしても、リテラシー(知識)やアウェアネス(意識)が低い従業員が一人でもいると、ビジネス全体に悪影響を与えかねません。そのために私たちは、まず国内の従業員全体のセキュリティ意識を向上させ、その次に早急に海外拠点へ展開することが、将来のビジネスを守る砦になると考えています」と打越氏は話します。日本を代表するサプライヤーであるダイセルが、KnowBe4で敷く守りの砦。それを後方支援する部隊が、KnowBe4の豊富な導入実績を通して培った知見やノウハウのあるISIDでした。
「セキュリティは企業の枠を超えて、国全体で高めていける分野。ISIDがKnowBe4の輪を広め、日本全体のセキュリティ意識向上に貢献してもらえるとうれしい。」
多言語対応が決め手となり、KnowBe4の導入を決定
「KnowBe4は、社員のメール訓練、教育、分析を一気通貫で行えるところが魅力。今後はアメリカや中国、タイの支店に根付かせたい」
株式会社ダイセル デジタル戦略室 デジタル基盤チーム 兼 グローバルITチーム 高嶋奏風氏
「ここ数年、国内外でセキュリティの統制とガバナンス強化への危機感があった。最近ではサプライヤーの供給問題から自動車メーカーの工場がストップした事例などもあり、よりセキュリティインシデントへの対策が問われる時代に。当社でも、ビジネスに悪影響を与えるようなインシデントを予防すべくセキュリティ分野を強化していこうと、2023年4月、専任の組織となるセキュリティ管理チームを結成しました」と語る打越氏。
2022年11月には、セキュリティ管理チームの結成に先んじて、従業員のセキュリティ意識向上のためのSaaS型トレーニングプラットフォーム「KnowBe4」導入に着手しました。その狙いについて、ベンダー選定から初期設定までを担った高嶋氏は次のように説明します。
「KnowBe4はグローバルでかなりの数の導入実績があると聞いていたため、以前から当社でも導入ができないか検討していました。さらにKnowBe4の最大の魅力は標的型メール訓練機能と教育トレーニングと効果測定(分析)がクラウドプラットフォーム上でまとめて提供されることです。訓練から教育まで一気通貫で対応している人材育成型セキュリティサービス自体が珍しく、すでにKnowBe4を導入しているアメリカのグループ会社から、社員のセキュリティ意識が高まったと報告を受けていたのも大きいです」
KnowBe4の大規模、短期間導入に対する、ISIDの迅速な技術サポート
2022年中にKnowBe4導入を決定、翌年の2月には社内システムへの導入が完了し、3月には、1回目のメール訓練を実施することが出来ました。通常、このようなプロジェクトは導入開始から本番運用まで約3カ月かかりますが、多くの導入実績とノウハウを持つISIDとの密な連携により、期間を約40%短縮し、約2カ月弱でのスピーディな導入が実現しました。
「当社にはKnowBe4と弊社が利用しているクラウドベースのユーザーアカウント管理ツールをスムーズにSAML連携する必要があり、短期間での導入にあたる懸念となっていました。そのため、初期導入時にISIDから緊密なサポートを受けられる導入支援サービスを利用し、構築をサポートしていただきました。逆に、KnowBe4のシステムに知見のある、ISIDの優秀な技術者のアドバイザリーがなかったら、2月導入は間に合わなかったでしょう。スピード感をもって実践していただいたことに感謝しかありません」と高嶋氏は述べます。
ISIDの導入支援サービスでは、週1回の技術支援定例会を通じて、設定方法を丁寧に確認することが出来、それによって運用のイメージがわいたと高嶋氏は続けます。
「ベンダーによっては、プロジェクトの舵とりをすべてユーザー側に任せ、私たちがスケジュール管理に追われてしまうことがあります。今回は短納期で社内調整も多かったのでWBS(作業分解構成図やスケジュール)をあらかじめ当社側で作成したのですが、ミーティングを重ねるうちに当社側の意向がしっかり通じているという手応えがあり、社内の調整も含め、すべてのスケジュールやタスク管理に関してISIDに相談することができました。当社は、設定上一番負荷のかかるホワイトリストの精査をメインに進めることができ、とてもよい信頼関係が築けました」
メール訓練の次は、セキュリティ意識向上トレーニングの実施
「ダイセル側の担当者が手をかけずに精度を高め、できるだけ運営者の工数を減らす技術提案を数多くしていただいたISIDさんに感謝しています」
株式会社ダイセル デジタル戦略室 セキュリティ・リスク管理チーム 岩波晃氏
2023年の3月と7月、ダイセルは、KnowBe4を利用して日本国内の全社員を対象に攻撃メール訓練を実施しました。運用担当の岩波氏は「KnowBe4にある豊富な訓練メールのテンプレートをカスタマイズして、社内メールを装ったパスワード変更を促すフィッシングメールを国内のグループ会社を含めた約5,000人に送りました。開封した社員は1回目の8%から、メールの難易度を高めた2回目には18%まで変動しました。現在は、該当者にセキュリティ意識向上トレーニングを実施しているフェーズです。KnowBe4には1,400個以上の教育コンテンツがあります。海外の従業員への配信を実施する場合、自社制作の教育資料では翻訳だけで相当な工数になってしまうので、多言語に対応するKnowBe4をうまく活用していきたいと思っています」
また、まだ活用に慣れていない1回目と2回目のメール訓練の間にKnowBe4をカスタマイズした際にも、ISIDのきめ細やかなサポートを実感したと話します。
「標的型メール訓練を行うと、不審メールの社内報告先であるヘルプデスクに膨大なメールが届きます。そのメールを1件1件返信していたらキリがないのですが、その中には本当に危険なメールも含まれているかもしれないので、すべて確認する必要があります。そんな時、ISIDからフィッシュアラート(PhishAlert)※というボタンで訓練メールを振り分けるアドイン機能を提案していただきました。このフィッシュアラートボタンの導入のおかげで管理者の作業効率が向上し、確認作業が楽になりました。今後は引き続きISIDのサポートを受けながら“訓練-分析-教育”のPDCAサイクルを上手く回し、ヒューマンファイアウォール形成に向けての体制づくりを進めていきます。」(岩波氏)
-
※フィッシュアラートボタン(Phish Alert Button):OutlookやGmailなどのメールソフトにアドインとして追加できる、不審メールの報告ボタンのこと。ユーザは、ボタンをクリックするだけで管理者に簡単に報告することが可能です。
守りと攻め、両方を支えるセキュリティ構築を
「セキュリティは企業の“守り”であり、海外市場においては情報セキュリティ認証の国際基準が定められ、企業の質を語る上で欠かせないものとなっています。そしてセキュリティの根幹はシステムと人の両軸があってこそ成り立ちます。私たちは、人を狙う脅威を知り、社員一人ひとりにヒューマンファイアウォールを根付かせるために、まず国内でメール訓練を毎月行い、従業員のセキュリティ意識の向上を促します。そして、その知見を早急に海外拠点へ展開することが、将来のビジネスを守る砦になると考えています」(打越氏)。
日本を代表するサプライヤーであるダイセルが、KnowBe4で敷く守りの砦。一方、DX戦略においては、強固なセキュリティ構築が、企業の成長を後押しする要素にもなり得ます。
「当社のDX戦略はクロスバリューチェーンの構築。データや知見を他社とつなげることで、新しい価値を生み出していこうというのが、今後の経営方針のひとつです。その際、データを他社と連携していくということは、双方のセキュリティが堅牢でないと成しえないものです。守りだけでなく“攻め”の情報セキュリティにもつながる一歩が、KnowBe4で踏み出せたのではないかと思っています」(高嶋氏)
-
※記載された会社名・商品名は、それぞれ各社の商標または登録商標です。
-
※記載情報は取材時(2023年9月)におけるものであり、閲覧される時点で変更されている可能性があります。予めご了承ください。
お問い合わせ
株式会社電通総研
金融ソリューション事業部 戦略アライアンス部
E-mail:g-security@group.dentsusoken.com