overlay-image

日本マクドナルドが考える「人」の脆弱性の鍛え方

"経験に勝る学び無し" 訓練を頻度高く実施することで、セキュリティ意識の低下を防ぐ
導入前の課題
  • 熱しやすく冷めやすい人間の性質から、セキュリティ経験を保つのが困難だった
  • 訓練の準備から報告対応に至るまで、訓練のたびに担当者に大きな負荷がかかっていた

導入製品
サービス
  • セキュリティ意識向上トレーニング
    Proofpoint Security Awareness Training (PSAT)
導入後の効果
  • 小さなグループ単位で高い頻度で繰り返し訓練を行い、常に新たな経験が得られるようになった
  • これまで準備に2-3カ月かかっていたが、1週間程度で1つのセキュリティ教育イベントを行えるようになった

「人」の脆弱性に狙う攻撃の増加

メール経由の脅威はますます増加している。攻撃侵入経路の96%がメールによるものとする調査データもあるほどだ。外食産業大手の日本マクドナルドもほかの多くの企業と同様、フィッシングメールにマルウェア、ビジネスメール詐欺など、さまざまなメール経由の脅威にさらされてきた。 

 「電子メールはとても身近な存在です。簡単、便利なツールで、相手方に届かないことはまずありませんし、もしメールが止まってしまえば大騒ぎになります。攻撃者はこの重要なツールを巧みに悪用しています」と、日本マクドナルド株式会社 テクノロジー本部リスクマネジメント部部長、鵜飼淳氏は語る。 

 こうした状況に対し、「私が考えるセキュリティの理想型は、人の知見、人の能力に頼らないセキュリティです。ユーザーが“マルウェアがどうこう”といったことを気にせずに、本来の業務に集中できるようにすることがセキュリティ担当者の使命だと思っています」と鵜飼氏は続けた。 

 一方で、セキュリティにおいて人は最も弱い部分であるのも事実だ。それを踏まえ日本マクドナルドでは、システムの力でユーザーに到達する悪意あるメールを極力減らすとともに、ユーザーの「セキュリティ経験」を高めることを目指してきた。 

 具体的には「この人からこんな時間に返事が来るのはおかしい」「いつもの文面とちょっと違うな」といった具合に、不審なメールにいち早く気付き、怪しいと思える感覚を身に付けてもらう。同時にそうして気付いたことを社内の誰か、できればセキュリティ担当者に伝える癖も身に付けてもらうというものだ。 

 残念ながら、悪意あるメールがユーザーの手元に届くことを100%防ぐことは難しい。だが「ユーザー自身にいち早く検知してもらい、セキュリティ担当者に連絡することによって、NIST(米国国立標準研究所)のサイバーセキュリティフレームワーク(CSF)における“対応や復旧のステップ”にいち早く取りかかることができ、結果として被害を最小限にとどめることができます」(鵜飼氏)という考えで、ユーザーのセキュリティ経験向上に取り組んできた。 

“経験に勝る学び無し”

日本マクドナルド株式会社
テクノロジー本部 リスクマネジメント部
部長 鵜飼淳 氏

高頻度の効果的訓練を可能にするPSAT

~続きはお客様事例ブローシャでご確認ください。~

”怪しい”を見抜く人の嗅覚が 最後の砦になる

~続きはお客様事例ブローシャでご確認ください。~

お客様事例をダウンロード