株式会社ダイセル 従業員のセキュリティ意識向上のためのSaaS型トレーニングプラットフォーム「KnowBe4」を導入し、短期間で従業員のセキュリティ意識を向上

「ここ数年、国内外でセキュリティの統制とガバナンス強化への危機感があった。最近ではサプライヤーの供給問題から自動車メーカーの工場がストップした事例などもあり、よりセキュリティインシデントへの対策が問われる時代に。当社でも、ビジネスに悪影響を与えるようなインシデントを予防すべくセキュリティ分野を強化していこうと、2023年4月、専任の組織となるセキュリティ管理チームを結成しました」と語る打越氏。

2022年11月には、セキュリティ管理チームの結成に先んじて、従業員のセキュリティ意識向上のためのSaaS型トレーニングプラットフォーム「KnowBe4」導入に着手しました。その狙いについて、ベンダー選定から初期設定までを担った高嶋氏は次のように説明します。

「KnowBe4はグローバルでかなりの数の導入実績があると聞いていたため、以前から当社でも導入ができないか検討していました。さらにKnowBe4の最大の魅力は標的型メール訓練機能と教育トレーニングと効果測定（分析）がクラウドプラットフォーム上でまとめて提供されることです。訓練から教育まで一気通貫で対応している人材育成型セキュリティサービス自体が珍しく、すでにKnowBe4を導入しているアメリカのグループ会社から、社員のセキュリティ意識が高まったと報告を受けていたのも大きいです」

2023年の3月と7月、ダイセルは、KnowBe4を利用して日本国内の全社員を対象に攻撃メール訓練を実施しました。運用担当の岩波氏は「KnowBe4にある豊富な訓練メールのテンプレートをカスタマイズして、社内メールを装ったパスワード変更を促すフィッシングメールを国内のグループ会社を含めた約5,000人に送りました。開封した社員は1回目の8％から、メールの難易度を高めた2回目には18％まで変動しました。現在は、該当者にセキュリティ意識向上トレーニングを実施しているフェーズです。KnowBe4には1,400個以上の教育コンテンツがあります。海外の従業員への配信を実施する場合、自社制作の教育資料では翻訳だけで相当な工数になってしまうので、多言語に対応するKnowBe4をうまく活用していきたいと思っています」

また、まだ活用に慣れていない1回目と2回目のメール訓練の間にKnowBe4をカスタマイズした際にも、ISIDのきめ細やかなサポートを実感したと話します。
「標的型メール訓練を行うと、不審メールの社内報告先であるヘルプデスクに膨大なメールが届きます。そのメールを1件1件返信していたらキリがないのですが、その中には本当に危険なメールも含まれているかもしれないので、すべて確認する必要があります。そんな時、ISIDからフィッシュアラート（PhishAlert）^※というボタンで訓練メールを振り分けるアドイン機能を提案していただきました。このフィッシュアラートボタンの導入のおかげで管理者の作業効率が向上し、確認作業が楽になりました。今後は引き続きISIDのサポートを受けながら“訓練-分析-教育”のPDCAサイクルを上手く回し、ヒューマンファイアウォール形成に向けての体制づくりを進めていきます。」（岩波氏）

「セキュリティは企業の“守り”であり、海外市場においては情報セキュリティ認証の国際基準が定められ、企業の質を語る上で欠かせないものとなっています。そしてセキュリティの根幹はシステムと人の両軸があってこそ成り立ちます。私たちは、人を狙う脅威を知り、社員一人ひとりにヒューマンファイアウォールを根付かせるために、まず国内でメール訓練を毎月行い、従業員のセキュリティ意識の向上を促します。そして、その知見を早急に海外拠点へ展開することが、将来のビジネスを守る砦になると考えています」（打越氏）。
日本を代表するサプライヤーであるダイセルが、KnowBe4で敷く守りの砦。一方、DX戦略においては、強固なセキュリティ構築が、企業の成長を後押しする要素にもなり得ます。
「当社のDX戦略はクロスバリューチェーンの構築。データや知見を他社とつなげることで、新しい価値を生み出していこうというのが、今後の経営方針のひとつです。その際、データを他社と連携していくということは、双方のセキュリティが堅牢でないと成しえないものです。守りだけでなく“攻め”の情報セキュリティにもつながる一歩が、KnowBe4で踏み出せたのではないかと思っています」（高嶋氏）