日本マクドナルドが考える「人」の脆弱性の鍛え方

"経験に勝る学び無し"
訓練を頻度高く実施することで、セキュリティ意識の低下を防ぐ




導入前の課題

  • 熱しやすく冷めやすい人間の性質から、セキュリティ経験を保つのが困難だった
  • 訓練の準備から報告対応に至るまで、訓練のたびに担当者に大きな負荷がかかっていた

導入製品
サービス

  • セキュリティ意識向上トレーニング
    Proofpoint Security Awareness Training (PSAT)

導入後の効果

  • 小さなグループ単位で高い頻度で繰り返し訓練を行い、常に新たな経験が得られるようになった
  • これまで準備に2-3カ月かかっていたが、1週間程度で1つのセキュリティ教育イベントを行えるようになった
マクドナルドが考える「人」の脆弱性を鍛える方法
外食産業大手の日本マクドナルドもほかの多くの企業と同様、フィッシングメールにマルウェア、ビジネスメール詐欺など、さまざまなメール経由の脅威にさらされてきました。メール経由の脅威はますます増加しています。

セキュリティにおいて人は最も弱い部分であり、それを踏まえ日本マクドナルドでは、システムの力でユーザーに到達する悪意あるメールを極力減らすとともに、ユーザーの「セキュリティ経験」を高めることを目指してきました。

日本マクドナルドホールディングス株式会社
〒163-1339 東京都新宿区西新宿6-5-1
新宿アイランドタワー
1971年05月01日設立、資本金241億1,387万円
連結社員数2194人(2020年12月31日現在)
売上高2883億3200万円(2020年12月期)

「人」の脆弱性に狙う攻撃の増加

メール経由の脅威はますます増加している。攻撃侵入経路の96%がメールによるものとする調査データもあるほどだ。外食産業大手の日本マクドナルドもほかの多くの企業と同様、フィッシングメールにマルウェア、ビジネスメール詐欺など、さまざまなメール経由の脅威にさらされてきた。 

 「電子メールはとても身近な存在です。簡単、便利なツールで、相手方に届かないことはまずありませんし、もしメールが止まってしまえば大騒ぎになります。攻撃者はこの重要なツールを巧みに悪用しています」と、日本マクドナルド株式会社 テクノロジー本部リスクマネジメント部部長、鵜飼淳氏は語る。 

 こうした状況に対し、「私が考えるセキュリティの理想型は、人の知見、人の能力に頼らないセキュリティです。ユーザーが“マルウェアがどうこう”といったことを気にせずに、本来の業務に集中できるようにすることがセキュリティ担当者の使命だと思っています」と鵜飼氏は続けた。 

 一方で、セキュリティにおいて人は最も弱い部分であるのも事実だ。それを踏まえ日本マクドナルドでは、システムの力でユーザーに到達する悪意あるメールを極力減らすとともに、ユーザーの「セキュリティ経験」を高めることを目指してきた。 

 具体的には「この人からこんな時間に返事が来るのはおかしい」「いつもの文面とちょっと違うな」といった具合に、不審なメールにいち早く気付き、怪しいと思える感覚を身に付けてもらう。同時にそうして気付いたことを社内の誰か、できればセキュリティ担当者に伝える癖も身に付けてもらうというものだ。 

 残念ながら、悪意あるメールがユーザーの手元に届くことを100%防ぐことは難しい。だが「ユーザー自身にいち早く検知してもらい、セキュリティ担当者に連絡することによって、NIST(米国国立標準研究所)のサイバーセキュリティフレームワーク(CSF)における“対応や復旧のステップ”にいち早く取りかかることができ、結果として被害を最小限にとどめることができます」(鵜飼氏)という考えで、ユーザーのセキュリティ経験向上に取り組んできた。 

“経験に勝る学び無し”
日本マクドナルド株式会社
テクノロジー本部 リスクマネジメント部
部長 鵜飼淳 氏

高頻度の効果的訓練を可能にするPSAT

 一般に、企業において従業員のセキュリティを高めるには「研修」という手段が用いられる。だが、一カ所に大勢を集めて実施する集合研修では従業員の貴重な時間を奪ってしまうし、かといってイントラネットを使って任意のタイミングで受講できるeラーニングでは、習得状況にばらつきが出てしまうと言った具合に一長一短があった。加えて、従業員のフォローアップにも多くの工数が必要となっていた。 

油断させないフィッシングメール訓練 

 そこで鵜飼氏が目を付けたのが、フィッシングメール対策訓練だ。「研修やテストではなく、実際に(偽の)フィッシングメールをユーザーに仕掛けることを考えました。メールを開くという行為はほんの1分で終わりますが、その1分で1時間の研修時間以上の知識、経験を得ることができます」(同氏) 
 ただ、それでも問題は解決とまではいかない。人は熱しやすく冷めやすいからだ。フィッシングメールを体験した直後は、「次は気をつけよう」と強く思っても、日々の業務に紛れてその危機感はどんどん薄れていってしまう。 

セキュリティ対応をアウトソーシングで

 そこで日本マクドナルドでは、手を変え品を変え、高頻度でフィッシングメール訓練を実施することで、セキュリティ知識・経験を保とうと試みた。事実、開封率は1回目の30%から、2回目は5%にまで下がったという。「実際にフィッシングメールを、頻度高くテンポ良く送りつけることで高い効果が得られました」(鵜飼氏) 
 ただ、今度は別の課題が浮上した。訓練を実施するセキュリティ担当者の負荷が増大したことだ。訓練の効果を実のあるものにするには、寄せられた報告を受け付ける窓口を整備し、対応しなければいけない。「報告メールをないがしろにするわけにはいきません。もしそうしてしまうと、次からはもう報告してくれなくなってしまいます」(鵜飼氏)。だが、ほかのITメンバーも含めた対応体制の整備まで含めるとかなりの人的リソースが費やされていた。 
 この問題を解消したのが、日本プルーフポイントのセキュリティ教育プラットフォーム「Proofpoint Security Awareness Training」(PSAT)だった。以前はトータルで2~3カ月はかかっていた工数が、PSAT導入後には、テンプレートなども活用することで、1週間程度で1つのイベント(フィッシングメール送付とその対応)を実施できるようになった。 

”怪しい”を見抜く人の嗅覚が 最後の砦になる

 PSAT導入後は、全社一斉ではなく、50人、100人といった小さなグループ単位で、毎月、毎週といった高い頻度で繰り返し訓練を実施している。「小さな単位で繰り返し訓練を実施することで、日々学び、経験を新たにしてもらっています」(鵜飼氏) 

 しかも、この経験が同僚に伝わることで開封率はさらに下がっており、「結果として本物のフィッシングメールや悪意あるメールが届いたとしても、開かない確率が非常に高くなります」という。 

 日本マクドナルドはさらに、個人情報を扱ったり、重要な業務に携わる「ハイリスクなユーザー」を対象に、さまざまな種類のセキュリティ訓練を実施したり、新入社員の研修直後に訓練を実施し、学んだことを経験として学び、研修の効果を高めていくといった取り組みも進めている。 

 今後は、各部門に「こんなメールが来ているから気を付けてね」と口コミで広げるインフルエンサーを増やし、フィッシングメール開封率の低下とともに部署内のセキュリティの経験向上につなげたいと考えている。また、日本プルーフポイントの最新のセキュリティ情報も活用し、世の中に出回る悪意あるメールのトレンドをいち早くキャッチし、それをまねて組織内で訓練を行い、もし本物が来たとしても開かないよう経験を積んでいきたいという。


 日本マクドナルドでは引き続き従業員やマネジメントの理解を得ながら対策を進め、理想のセキュリティ対策に近づけていく。「日本マクドナルドは、人の成長とともに会社も成長するという『ピープルビジネス』を掲げています。図らずも、人の成長を促すことで人の脆弱性を鍛える方法は、まさに日本マクドナルドが示すピープルビジネスに沿った方針だと思います」(鵜飼氏) 

お客様事例をダウンロード