KnowBe4導入事例│株式会社お金のデザイン 様

• 豊富なコンテンツと自動化により「継続できるセキュリティ訓練」を実現
• フィッシング訓練メールの開封率は大幅改善、不審メールの通報文化が根付いた理由とは？

株式会社お金のデザインは、顧客の資産を預かるFinTech企業として、情報セキュリティを経営の最重要課題と位置づけています。
従業員向けのIT研修やフィッシング訓練に取り組んでいたものの、運用の属人化や教育効果の伸び悩みに直面していました。
そこで、教育体制の継続性と社員の行動変容を同時に実現するため、「KnowBe4」の導入を決断。
セキュリティ教育の負荷軽減と文化の定着という両立に成功しました。

株式会社お金のデザイン（以下、同社）は、お客さま一人ひとりのライフステージに合わせた最適な資産運用を提案し運用する「THEO [テオ]」や、iDeCo（個人型確定拠出年金）対応サービス「MYDC [マイディーシー]」など、金融工学とテクノロジーを活用した金融サービスを展開するFinTech企業。顧客の資産を預かる立場として、情報システムとセキュリティは経営の最重要課題のひとつと捉えている。

「サービスや業務に支障をきたさないことを前提に、必要なセキュリティをどう担保するか。その最適なバランスを見極めながら、日々対策に取り組んでいます」と語るのは、ITガバナンスグループ長の水谷義和氏。FinTech企業である同社にとって、新しいテクノロジーを積極的に取り入れながらも、ユーザーの信頼を守るための堅実なセキュリティ対策は不可欠な要素だ。

同社ではリスクアセスメントを重ね、コストやリスクの度合いを踏まえた、実効性あるセキュリティ対策を継続的に実施している。

入社時のIT研修、定期的な情報セキュリティ研修、そして標的型攻撃メール訓練などを継続的に実施してきた。背景にあるのは、“ヒューマンファイアウォール”を構築し、従来のセキュリティ技術だけでは防ぎきれないリスクに備えるという考え方だ。
「どれほど高度なセキュリティ製品を導入しても、最終的な防衛ラインは人の判断。だからこそ、行動を変える教育が重要です」と水谷氏は語る。だがその実践には、思わぬ壁があった。

限られた体制の中で、研修や訓練の企画・準備・運用の多くを特定のメンバーに依存せざるを得ない状況が続いていた。訓練メールは脅威トレンドや時期に合わせて都度内容を検討し、実施後の集計やフィードバック、再教育まで含めると相応の負荷がかかる。
加えて、以前使用していた海外製のeラーニングツールには課題が多かった。翻訳が不自然で操作性も悪く、動画コンテンツの種類も少ない。理解度チェックの仕組みもなく、「最終的には、自分でテストを作るしかなかった」と振り返る。

運用の属人化、作業負荷、そして教材の限界。
「まるで常に訓練業務に追われているような感覚でした」と水谷氏は語る。

これらが積み重なり、「教育を仕組みで回す」体制の必要性が浮かび上がってきた。
水谷氏は、個人に依存せず、継続性と教育効果を両立できる方法を模索し始めていた。

KnowBe4の魅力は、訓練用ツールにとどまらず、たとえば「Phish Alert Button（PAB）」と呼ばれる通報ボタンは、訓練中だけでなく平時の業務でも使用可能。社員が怪しいメールに気づいた際に、ワンクリックでセキュリティチームに報告できる機能であり、報告の心理的ハードルを下げ、行動の定着につながっている。
「一般的な製品だと、訓練中だけの“イベント”で終わってしまうことが多い。でもKnowBe4は、日常の中で通報し、判断し、行動するという習慣を根づかせるための仕組みがある。それが他製品にはない大きな価値だと感じました」。

さらに、通報されたメールのリンクや添付ファイルをVirusTotalと連携して自動で検査・隔離できる仕組み（PhishER）も高く評価している。
「リソースが限られる中で、KnowBe4に任せられる部分が多いのは本当に助かっています。今では日々の運用を支えてくれる“相棒”のような存在だと感じています」。

KnowBe4導入後、お金のデザインでは、研修や訓練の設計・実施にかかる業務負荷が大幅に軽減された。
「テンプレート（予め用意されている模擬フィッシングメールのテンプレート）が使えるので、自作していた頃と比べて体感では5〜6割は作業負荷が減りました」と水谷氏は語る・・・・・

この記事はまだ半分です。
続きは、導入事例（PDF）をダウンロードして、実際の導入効果をご確認ください。