「どうしてこんなルールが?」に納得を与える「MinaSecure」(ミナセキュア)
このように、誰もが標的型攻撃メールを受ける可能性があることを踏まえて、「次に何をすべきか」を考えるようになると、新たな疑問が浮上してくるそうだ。
「初動対応を徹底するためルールを確認すると、『今までのルールはこうなっていたが、本当に実効性があるだろうか』と、自ずとルールの見直しにつながります。同時に、従業員に対して『そうしたルールがお仕着せではなく、本当に腹落ちするように伝えたい』というニーズが生まれてきます」と船橋氏。GSXでは標的型メール訓練を通じて顧客から寄せられたこうした声に答え、従業員一人ひとりにセキュリティのルールを理解してもらうための新たなサービス「MinaSecure」を開発した。
MinaSecureは、セキュリティに関する教育コンテンツをインターネットで学習するeラーニングサービスの一つだが、ありがちなeラーニングとは異なり、従業員一人ひとりが「なぜ自社のセキュリティルールはこうなっているのか」を納得し、セキュリティ対策を"自分ごと"としてとらえられる内容になっているのが大きな特徴だ。
既存のセキュリティに関するeラーニングと言えば、「個人情報とは何か」「セキュリティの三大要素は『機密性』『可用性』『完全性』である」といった教科書的なものが多い。確かにそれらはセキュリティの基本としては重要であるものの、「普段の業務を行っている従業員にとっては、業務に関係ないあるべき論ばかりで自分事にならず、腹落ちしない。『そうなんですね』と終わってしまうものばかりでした」(船橋氏)
このような従来のeラーニングの課題に対し、MinaSecureでは「社員がカフェに行って、ノートPCをフリーWi-Fiにつなごうとしている」「ランチに出かけた先で、ノートPCが入ったカバンを席に置いたまま列に並んでしまった」「打ち合わせの最中に撮影したお客様の新商品の写真を、誤ってSNSにアップロードしてしまった」といった、仕事をしている中で実際に起きがちなシチュエーションを例に挙げ、その行動のどこに、どんなリスクが潜んでいるかを解説していく。
※クリックすると拡大画像が見られます
※クリックすると拡大画像が見られます
例えばフリーWi-Fiなら、盗聴がいかに簡単に行えるかを解説し、大切な情報を守るために適切な行動を伝える。学習の最後に「理解度チェックテスト」を行い、従業員それぞれの理解度を確認できる。カスタマイズできるアンケートを通じて、セキュリティ担当者が従業員の生の声を収集することも可能だ。
MinaSecureのコンテンツは、単に文章を並べるのではなく、イラストを活用した親しみやすく、分かりやすい内容になっている。船橋氏は、「登場する用語についても、例えば『公衆無線LAN』ではなく『フリーWi-Fi』としたり、『SNS』ではなく『Instagram』や『Twitter』といった具体的なサービス名を挙げたり、だれにとっても分かりやすい、一般的な用語を使っています」と話す。ちなみに、コンテンツに登場するリスクやルールの解説役は、GSXの実績ある脆弱性診断サービス「タイガーチーム」をもとに生み出した、かわいらしい「虎」のキャラクターになっている。
GSXではサービス開始後に、業種・業態に合わせたシナリオなども追加していく計画だ。企業ごとのきめ細かなカスタマイズにも対応する予定である。「実際に、自分たちが日々の業務でしている内容をストーリーに用いて、それを体験していただくことで、分かりやすく、頭に残りやすくすることを重視しています」(船橋氏)
