導入事例 株式会社アドウイック
- KnowBe4
2023.03.14
-
株式会社アドウイック
所在地:札幌市中央区北6条西16丁目1-5 ほくたけビル内
設 立:1977年
代表者:竹山 茂樹
事業概要:IT(情報技術)サービス、業務ソフトウェア開発、IT関連機器販売
URL:https://www.adwic.co.jp
-
導入前までの経緯
- 会社としてのセキュリティ対策は注力しているが、従業員のITリテラシーに不安があった
- 疑似ウイルスや疑似フィッシングメールを独自に作成し従業員に送信していたが、その作業が負担になっていた
-
導入後期待される効果
- 「KnowBe4」の導入により、定期的なトレーニングでITリテラシーを測れるようになった
- 最新の手法を反映したメール訓練により、より効果の高いトレーニングを実現
プロジェクトメンバー
-
株式会社アドウイック
代表取締役社長
竹山 茂樹 氏
(兼務)
株式会社ほくやく・竹山ホールディングス 取締役
株式会社竹山 代表取締役
株式会社ノバメディカル 取締役 -
株式会社アドウイック
執行役員 管理部部長
森 敬博 氏 -
株式会社アドウイック
技術部 システム企画課長
髙木 亮一 氏
システムインテグレートの会社であるADWICは、ほくやく・竹山ホールディングスグループの一員である。医療機関に近い位置の業務が多いことから、医療機関の診察待ち時間を短 縮するシステムとして「シマフクロウシリーズ」を展開している。また、新型コロナワクチン対応の予約システム「シマエナガ」を開発し、最近まで無償提供していた。
ADWICの執行役員であり管理部部長である森 敬博氏(以下、森氏)はここ1~2年、漠然とした不安を感じていたという。
「私たちはIT全般を取り扱う会社なので、お客様からはITのプロフェッショナルであると思われており、その自覚もあります。しかし、ITリテラシーについては社員全員が同じレベルにあ
るのか。そこに不安を感じていました」(森氏)
また、代表取締役である竹山 茂樹氏は、メールやインターネットは知れば知るほど怖いと言う。「万一セキュリティ事故を起こしてしまうと、周囲への影響も深刻になります」
お客様に医療機関も多いため、セキュリティに弱い部分があると信頼関係に影響することや、近年ではサプライチェーンを狙った攻撃も増えている状況が懸念された。
ADWICでは「物理的なものやソフトウェア的な対策は、ここ1~2年でかなりのレベルまで落とし込んでいます。ネットワークの監視やEDR/XDRなどですね。そこは非常に注力しています」(森氏)と、セキュリティ対策を強化している。
それに加え、更なるセキュリティ強化にあたり竹山氏が指摘したのは、やはり最終的に狙われるのは人である、ということだ。そこで、社員を教育しセキュリティの意識付けを行うことで事故を未然に防ぐという取り組みも始めた。
社員教育は森氏が主体となってチームを編成し、疑似ウイルスを作成してメールに添付、社員に配布してテストを実施した。しかし、メールを介した攻撃は刻々と変化する。最新の攻撃手法の調査は、専門家ではないため手間も時間もかかることが課題となっていた。森氏はメール教育のためのソリューションを調べ、出会ったのがKnowBe4であった。
「他のサービスは、訓練のみ、教育のみと特化したものになっており、やりにくさを感じました。その点、KnowBe4は訓練、教育、分析が一体でできるようになっており、訓練成果を継続的に見ていけることなどに魅力を感じました」と森氏は当時を振り返る。2022年4月にKnowBe4の検討を開始し、KnowBe4社も含めて説明を受け、5月には導入を決定した。
導入してすぐに、役員を含む全社員を対象にメールのURLのクリックをフックとしたトレーニングメールを送ったところ、5名が引っかかってしまったという。本来、普段と異なる不審な動作があった場合には、必ず上長あるいは情報セキュリティの責任者である森氏に報告する決まりになっているが、それがなかったというわけだ。
早速、森氏が聞き取りをすると、「何気なく」、あるいは「興味本位」でメールをクリックしてしまったという答えが返ってきた。5名が引っかかってしまったことは残念であるが、そうした実態が見えたことは期待したとおりの効果であると森氏は言う。
その後は、月に一回の割合でトレーニングを実施している。翌月は0になったものの、その後は3、0、1と、なかなか完全に0を継続することは難しいとした。「その一方で、最初の5名を越えてはいないとも言えます。それなりの 効果は出ていると考えます。また、従業員同士が『こんな不審なメールが来た』という情報をTeamsのチャットで情報共有するようになったことも、目に見える効果の一つです」(森氏)
導入して半年以上が経過しているが、トラブルらしいトラブルは発生していないという。
森氏は、「契約が済んで使える状態になった時点で、KnowBe4からオンボードセッションがあり、初期設定などの設定を手伝っていただき、そのまま運用しています。また、アフターフォローとしてもセッションをご用意いただいて、調整のご提案や解釈の確認もできたので、システム自体は簡単に素早く展開できると思います」と高く評価した。
KnowBe4によってたくさんのフィッシングメールを目にしていくことで慣れていき、フィッシングを判断する能力を養うことができる。
森氏は、KnowBe4を活用しながら、セキュリティ意識やITリテラシーを向上し、それをグループ会社に向けて展開していくとした。なお、問い合わせ窓口についてはKnowBe4だけでなく、ネットワールドにも担当がいるため、問い合わせは非常にしやすい状況であるという。
セキュリティ意識を改革することで、100%とまではいかなくてもリスクに対応できるようになる。竹山氏は、「これはお金を出してでも導入すべきと思いました。それは間違いなかったと、自分で体験して感じています。次はグループ全体に展開して、セキュリティ意識の底上げが出来るよう働きかけたいと思います」と抱負を語った。