ポイントではなく"全体"で

　アドバンテストは、半導体のテスター市場で世界トップクラスのシェアを誇る大手メーカー。近年はハードウェアだけでなく、ソフトウェアやクラウドサービスを組み合わせた「半導体バリューチェーン」を進化させ、顧客価値のさらなる向上に取り組んでいる。

　こうした戦略と表裏一体の関係にあるのがセキュリティ対策だ。同社 ITソリューション部　マネージャー（IT Security 担当）のビスワス司紋氏は「将来的には、お客様先に設置されるテスターなどの製品が、当社のクラウドサービスやお客様のデータセンターとつながる場面も増えてくるでしょう。その意味でセキュリティリスクも高まると考えており、NISC（内閣サイバーセキュリティセンター）などが公表したセキュリティガイドラインに基づいて対策を進めています」と述べる。

　なお、ITソリューション部では、アメリカやヨーロッパ、東南アジアなど世界各国に展開している拠点のセキュリティチームと連携し、GDPRをはじめとする各国・地域の法規制に合わせたガバナンスの確立に取り組んでいる。

　それと並行して進めているのが、従業員のセキュリティリテラシー向上に向けた人的対策だ。その一環として、年に一回、既存のツールを組み合わせた「攻撃メール訓練」を実施していたが、運用していく中でいくつか課題を感じていたという。

　「以前は訓練のたびに、ITソリューション部の担当者が疑似マルウェアや誘導先Webサイトを作成してHTMLメールを配信し、PCに導入していたウイルス対策ソフトの検知ログと突き合わせて、開封した従業員を特定していました。そのため、一度の訓練を実施するだけでも担当者に大きな負荷がかかっていました。また、最新の攻撃に即したコンテンツやフォローアップの教育をすぐに用意できない点にも歯がゆさを感じていました」（ビスワス氏）

　真にセキュリティが万全な組織を作るには、ユーザーに応じて最適な教育コンテンツやeラーニングを実施して教育効果を高める必要がある。しかし、メール送信ツールと社員教育ツールが分離しており、クリックした社員にタイムリーなフォローアップ教育ができないのも課題だった。