通信販売事業を軸に多角的に事業を展開するジャパネットグループ

ジャパネットグループについてご紹介ください。

　ジャパネットグループは世の中に埋もれた良い商品や良いサービス、エンタメ、情報などを「見つけて」、その良さを更に「磨いて」、わかりやすく「伝える」という考えのもと、「ジャパネットたかた」で広く知られている通信販売事業を軸に、グループ13社が一体となりさまざまな事業を展開しています。
　通信販売事業では家電商品をはじめ、クルーズ旅行やウォーターサービスなど幅広いカテゴリーの商品を取り扱っており、テレビショッピングだけでなく、ラジオ、カタログ、チラシ、インターネットなど多くのメディアを通して事業を展開しています。
　スポーツ・地域創生事業にも取り組んでおり、プロサッカークラブ 「V・ファーレン長崎」、プロバスケットボールクラブ「長崎ヴェルカ」の運営を行っている他、2024年の完成を目指して長崎市内にサッカースタジアムを中心とした複合施設「長崎スタジアムシティプロジェクト」の開発も進めています。その他、2022年にはBS新規放送チャンネル（BSJapanext）を開局し、放送事業にも取り組んでいます。

会社や役職などグループ分けをして標的型メール訓練を実施

ジャパネットグループにおけるTadrillの利用状況について教えてください。

ジャパネットグループでは2022年10月よりTadrillの利用を開始しました。標的型訓練メールの送信や集計といった運用は、グループ全体の情報セキュリティを管理する株式会社ジャパネットホールディングスのコンプライアンス部が担当しています。
「japanet.co.jp」ドメインのメールアカウントを使用しているグループ13社の全社員約2000名がメール訓練の対象者となります。また、不審なメールの受信を社員が通報するためのツールとして、TadrillのGoogle Workspace（Gmail）用の通報アドオンを導入しています。
ただし、定期的に全社員一斉のメール訓練を実施するような運用は考えていません。適時、グループ会社ごとや役職ごとなど、対象者をグループ分けして、訓練を実施していく予定です。

なぜ、グループ分けをして訓練を実施しているのでしょうか。

経験上、同じ内容のメールで訓練をしても、会社によってURLリンクのクリック率や報告率の結果や傾向、そこから見えてくるウィークポイントは異なります。会社や役職ごとに適した内容の訓練を実施することで、対象者の反応や傾向を見極め、効果的な対策を打ち出していきたいと考えています。

訓練メールの内容はどのように作成しているのでしょうか。

Tadrillに掲載されている訓練メールのテンプレートを活用しながら、インターネットで調べた最新の標的型メールなどの情報も付け加えて訓練メールを作成しています。

効率的かつ迅速にメール訓練を実施・運用するためツールの導入を検討

Tadrillを導入した経緯を教えてください。

ジャパネットグループでは、以前から定期的に社員に対するセキュリティ教育を実施し、「不審なメールはURLリンクをクリックしない」「怪しいメールを受け取った場合はコンプライアンス部へ通報する」という指導を徹底してきました。しかし、攻撃の手口が進化・巧妙化していることもあり、ついURLリンクをクリックしてしまったり、面倒だからと通報せずにメールを削除してしまったりするケースも少なからず見られました。
そのため、標的型メールに対する訓練も実施してきましたが、訓練メールの作成・送信から結果の集計・報告、URLリンクをクリックしてしまった社員への注意喚起などの事後対応までを手作業で対応していたため、担当者の作業負荷が大きく、年に1度ぐらいのペースでしか実施できませんでした。
そのような状況を改善するべく、効率的かつ迅速にメール訓練を実施・運用するためのツールを探していたところ、Tadrillの紹介を受けて導入を検討することになりました。

コストパフォーマンスに優れ、運用機能や通報機能が充実している点を高く評価

Tadrillを採用した理由を教えてください。

ジャパネットグループでは、もともと送信メールのフィルタリングや上長承認、ファイル送信、PPAP対策などにHENNGE株式会社様が提供するHENNGE Oneを利用しておりました。そのため、まずはメールの専門家である同社が提供を開始する新サービスということで興味を引かれました。
実際に導入の検討を進めると、標的型メール訓練を効率的に運用するための機能や通報機能が充実しており、コストパフォーマンスも高いことからトライアルを実施した上で、採用を決定しました。

具体的に導入の決め手となったポイントがあれば教えてください。

導入の決め手になったポイントは、次の通りです。
• 訓練メールのテンプレートが数多く用意されている
• 複数の送信用ドメインがあらかじめ用意されていて、自由に選択できる
• URLリンクと添付ファイル、両方のメール訓練に対応している
• 大量の訓練メールを発信する際、自動的に時間差で送信される
• 送信先のグループ分けが容易である
• 不審なメール、もしくはURLリンクをクリックしてしまったメールを、Gmail上で簡単に通報できる
• 訓練メールのURLリンクのクリック状況や通報状況をリアルタイムで確認・集計できる
• 訓練の実施履歴の管理が容易である
• 通報を受けた不審なメールの分類や管理が容易である

提供が開始されたばかりのサービスということで導入実績が少ないことなどは気になりませんでしたか。

従前のサービスでも高い技術力や確かなサポートをしていただいておりましたし、弊社の要望に対しても、機能を強化・改善に向けて積極的に取り組んでいただいたので、不安よりも期待のほうが大きかったというのが正直なところです。

標的型メールに対して、適切な行動を取る意識や習慣の定着に期待

Tadrillの導入効果について教えてください。

まずは、メール訓練を実施する際の運用負担が大幅に軽減され、訓練実施の計画策定から集計・報告までの期間が短縮できました。そのため、内容や対象グループを分けた訓練を繰り返し実施できるようになり、訓練の計画策定や事後対応にも、より多くの時間を割けるようになりました。
加えて、訓練の実施結果をリアルタイムで可視化できるようになり、迅速かつ的確に対策を打ち出せるようにもなりました。先日も役員を対象にメール訓練を実施したのですが、一部から内容が優しすぎるのではないかという指摘を受けました。しかし、結果としては予想以上にURLリンクのクリック率が高かったことがわかり、セキュリティへの認識と実態には乖離があることを示すことができ、改めて標的型メールへの関心や対策の重要性を高めることができました。
また、社員へのアンケート結果を見ると、通報アドオンによって報告が簡単にできるようになったという声も数多く見られました。不審なメールを速やかに報告してもらうことが、会社を守るために有効な手立になると考えていますので、Tadrillの導入が不審なメールに対して適切な行動を取る意識づけや習慣づけにつながると期待しています。

導入時に苦労したことなどはありませんでしたか。

宛先（アドレス）や訓練メールで使用するドメインをGmailのホワイトリストへ登録するといった準備は必要でしたが、特に苦労したと感じる作業はありませんでした。
一方、導入後の話となるのですが、通報アドオンを利用するという認識が浸透しておらず、導入前のようにメールで通報を受けるケースもまだあります。通報アドオンの利用が広まれば、不審なメールの受信状況や傾向がより精緻に可視化され、適切な対策を迅速に打てるようになるので、もっと利用を促す必要があると考えています。

HENNGEは課題をスマートに解決してくれる信頼できるベンダー

HENNGEおよびTadrillに対する要望や期待があれば教えてください。

TadrillだけでなくHENNGE Oneも同様ですが、スタイリッシュで使いやすく、当グループの課題をスマートに解決してくれる信頼できるベンダーだと感じています。また、HENNGE株式会社様はサポートが手厚く、担当者の技術力や対応力も高いので安心してサービスを利用できます。
今後は、機能の向上はもちろんですが、メールに関するさまざまな情報を収集していると思いますので、標的型メール攻撃の流行や傾向などに関する情報提供などにも期待しています。

本日は貴重なお話をありがとうございました。

「標的型攻撃メール訓練サービスのTadrill」の詳細はこちら