学校全体でセキュリティ対策に注力されている早稲田大学様では、2017年度よりSCCの標的型攻撃メール訓練をご導入いただいています。今回は、訓練導入の背景や当時の課題、導入後の変化についてお話を伺いました。
-
●
教職員向けのセキュリティ教育が十分とはいえず、サイバー攻撃の被害を受けてしまった -
●
訓練対象者数が多く、準備・配信・集計・報告までの運用負荷が高い
-
●
TrapFeel で標的型攻撃メール訓練を実施
-
●
教職員のセキュリティ意識の現状を可視化し、学校全体の課題を把握できた -
●
学内の運用負荷を抑えながら、毎年改善を重ねやすい仕組みを実現した
企業情報
インタビュー
学校全体の情報セキュリティ対策に取り組まれている、早稲田大学のご担当者様にお話を伺いました。
標的型攻撃メール訓練を開始されたきっかけをお聞かせください。
2015年に職員が業務で使用するPCがマルウェア感染した事案を契機に、情報セキュリティ教育の実践的な対策として2016年度から標的型攻撃メール訓練を職員向けに開始しました。その後、ニュースなどで教員もサイバー攻撃による被害に遭った事例を目にするようになり、教職員ともに学校全体で対策を行っています。
2017年度以降、継続してSCCにご依頼いただいている理由をお聞かせください。
毎年、訓練対象者を変更したり、教員・職員別に訓練メール文面を変えて送信したりするなど、本校の状況に合わせて柔軟に対応いただける点が魅力で、継続してお願いしています。また、訓練対象者数が多いため、訓練の一連の流れをSCCが中心となって実施いただくことで、学内運用負荷を抑えつつ毎年の改善を回しやすいことも大きな理由です。
訓練を継続する中で、学内にどのような変化がありましたか。
所属する部署はもともとセキュリティに関する意識が高く、目に見える大きな変化があったというわけではありません。ただ、他の部署からは訓練をきっかけに「そういえば気をつけなければ」と定期的に意識するようになったという声が多く見られ、セキュリティ意識の定着に一定の効果が出ていると感じています。
継続実施にあたり、マンネリ化を防ぐために工夫している点はありますか。
過去の訓練結果や直近のサイバー攻撃の状況を踏まえ、毎年訓練対象者や訓練メール文面を変更しています。文面を決める際はSCCの訓練メール文面集を参考にしており、イベント・業務関連・ニュース・注意喚起など複数カテゴリのテンプレートが整理されているほか、開封率の平均なども記載されているため、状況に合わせて選択しています。
訓練の振り返りで重視している指標を教えてください。
URLクリック率や訓練中の問い合わせ件数などのデータと、訓練実施後のアンケート結果(訓練対象者が感じた訓練効果やその理由、日常的に感じるセキュリティに関する不安など)を特に重視して確認し、次年度以降の訓練計画や学校全体のセキュリティ改善に活用しています。
今後、セキュリティ対策として強化していきたいことがあればお聞かせください。
昨今の標的型攻撃は、技術的手法だけでなく心理的要素も組み合わせるなど高度化しているため、システム対策に加え、運用面や利用者教育を含めた総合的な対策が必要となっています。そのため、最新の攻撃動向をふまえた継続的なセキュリティ対策の強化・改善を続けていきたいです。
訓練の流れ
約1ヶ月
- キックオフ(目的・訓練対象者・実施時期のすり合わせ)
- 訓練メール文面案とアンケート項目案を共有
- 訓練対象者への訓練メール文面・アンケート項目の検討
- 訓練実施について校内周知
約1週間
- 訓練メールの配信
約2週間
- アンケート項目を設定した回答フォームを提供
- 回答フォームを訓練対象者へ共有
約2週間
- 訓練報告書(過去訓練との比較やセキュリティ専門家の改善策など)を納品
- 訓練結果を校内に共有
- 訓練報告書の内容を踏まえ、学内のセキュリティ改善策を検討
導入したプラン
おまかせ訓練プランのベーシックコース(オプション:メール文案追加、アンケート実施、報告書作成、開封検知)を導入しました。プランの詳細は、こちら
