・訓練業務が属人化し、限られた体制では継続運用が困難
・既存の海外製ツールは翻訳や操作性に問題があり、教育効果が薄かった
導入事例
KnowBe4導入事例│株式会社お金のデザイン 様
- 豊富なコンテンツと自動化により「継続できるセキュリティ訓練」を実現
- フィッシング訓練メールの開封率は大幅改善、不審メールの通報文化が根付いた理由とは?
お客さま
株式会社お金のデザイン
https://www.money-design.com/
業種
FinTech
導入サービス
KnowBe4
概要
株式会社お金のデザインは、顧客の資産を預かるFinTech企業として、情報セキュリティを経営の最重要課題と位置づけています。
従業員向けのIT研修やフィッシング訓練に取り組んでいたものの、運用の属人化や教育効果の伸び悩みに直面していました。
そこで、教育体制の継続性と社員の行動変容を同時に実現するため、「KnowBe4」の導入を決断。
セキュリティ教育の負荷軽減と文化の定着という両立に成功しました。
導入前の
課題
課題
▼
導入後の
効果
効果
・訓練の設計・実施工数を約5〜6割削減
・不審メール通報が定着し、業務の中で自然に行動できる文化を醸成
・訓練メールの開封率が1桁台→大幅改善
・不審メール通報が定着し、業務の中で自然に行動できる文化を醸成
・訓練メールの開封率が1桁台→大幅改善
目次
お金のデザインの事業概要
株式会社お金のデザイン(以下、同社)は、お客さま一人ひとりのライフステージに合わせた最適な資産運用を提案し運用する「THEO [テオ]」や、iDeCo(個人型確定拠出年金)対応サービス「MYDC [マイディーシー]」など、金融工学とテクノロジーを活用した金融サービスを展開するFinTech企業。顧客の資産を預かる立場として、情報システムとセキュリティは経営の最重要課題のひとつと捉えている。
「サービスや業務に支障をきたさないことを前提に、必要なセキュリティをどう担保するか。その最適なバランスを見極めながら、日々対策に取り組んでいます」と語るのは、ITガバナンスグループ長の水谷義和氏。FinTech企業である同社にとって、新しいテクノロジーを積極的に取り入れながらも、ユーザーの信頼を守るための堅実なセキュリティ対策は不可欠な要素だ。
同社ではリスクアセスメントを重ね、コストやリスクの度合いを踏まえた、実効性あるセキュリティ対策を継続的に実施している。
従業員教育・研修の継続に立ちはだかる“属人化”の壁
入社時のIT研修、定期的な情報セキュリティ研修、そして標的型攻撃メール訓練などを継続的に実施してきた。背景にあるのは、“ヒューマンファイアウォール”を構築し、従来のセキュリティ技術だけでは防ぎきれないリスクに備えるという考え方だ。
「どれほど高度なセキュリティ製品を導入しても、最終的な防衛ラインは人の判断。だからこそ、行動を変える教育が重要です」と水谷氏は語る。だがその実践には、思わぬ壁があった。
限られた体制の中で、研修や訓練の企画・準備・運用の多くを特定のメンバーに依存せざるを得ない状況が続いていた。訓練メールは脅威トレンドや時期に合わせて都度内容を検討し、実施後の集計やフィードバック、再教育まで含めると相応の負荷がかかる。
加えて、以前使用していた海外製のeラーニングツールには課題が多かった。翻訳が不自然で操作性も悪く、動画コンテンツの種類も少ない。理解度チェックの仕組みもなく、「最終的には、自分でテストを作るしかなかった」と振り返る。
運用の属人化、作業負荷、そして教材の限界。
「まるで常に訓練業務に追われているような感覚でした」と水谷氏は語る。
これらが積み重なり、「教育を仕組みで回す」体制の必要性が浮かび上がってきた。
水谷氏は、個人に依存せず、継続性と教育効果を両立できる方法を模索し始めていた。
教育体制の仕組み化と行動変容を促す訓練へ
教育体制を“人”に頼らず、継続できる仕組みへ。そして、単なる“訓練のための訓練”ではなく、従業員の行動や意識を変える訓練へ――。
お金のデザインがその両立を目指す中で出会ったのが、KnowBe4だった。
以前から、セキュリティに関するさまざまな課題についてサイバネットシステムに相談する機会があり、「その際に訓練運用の悩みをお伝えしたところ、提案いただいたのがKnowBe4でした」と水谷氏は振り返る。
ただし、海外製ツールに対する不安がなかったわけではない。
過去に使っていた海外製品は、翻訳や操作性に課題があり、使いづらさを感じていた。その記憶から、当初は慎重な姿勢もあったが、「実際にトライアルで使ってみると、印象が一変しました。わかりやすくて、全然別物だったんです」。
KnowBe4の魅力は、訓練用ツールにとどまらず、たとえば「Phish Alert Button(PAB)」と呼ばれる通報ボタンは、訓練中だけでなく平時の業務でも使用可能。社員が怪しいメールに気づいた際に、ワンクリックでセキュリティチームに報告できる機能であり、報告の心理的ハードルを下げ、行動の定着につながっている。
「一般的な製品だと、訓練中だけの“イベント”で終わってしまうことが多い。でもKnowBe4は、日常の中で通報し、判断し、行動するという習慣を根づかせるための仕組みがある。それが他製品にはない大きな価値だと感じました」。
さらに、通報されたメールのリンクや添付ファイルをVirusTotalと連携して自動で検査・隔離できる仕組み(PhishER)も高く評価している。
「リソースが限られる中で、KnowBe4に任せられる部分が多いのは本当に助かっています。今では日々の運用を支えてくれる“相棒”のような存在だと感じています」。
不審メール通報と行動変容が “根づく”理由
KnowBe4導入後、お金のデザインでは、研修や訓練の設計・実施にかかる業務負荷が大幅に軽減された。
「テンプレート(予め用意されている模擬フィッシングメールのテンプレート)が使えるので、自作していた頃と比べて体感では5〜6割は作業負荷が減りました」と水谷氏は語る。
フィッシング訓練メールを開いた不合格者を「再教育グループ」に移動させ再教育を受講させる一連の流れを、KnowBe4で自動的に行っている。手作業でリストアップしたり、個別に通知する必要がなくなり、水谷氏は「手間がゼロ。これが本当に助かっている」と、その効果を実感している。
こうした取り組みを続けた結果、導入初期に30%近かった訓練メールの開封率は、今では業界平均を大幅に下回る1桁台にまで改善。
通報件数も確実に増え、「何か怪しいと思ったらすぐ報告する」という行動が、社員の間に定着しつつある。
通報されたメールが悪意のあるものと判定された場合、そのメールは他の社員の受信ボックスからも自動的に削除され、被害を未然に防ぐ仕組みが動く。これはKnowBe4の「PhishRIP」と呼ばれる機能によるもので、同一の脅威メールを組織全体から迅速に除去し、組織全体の安全を確保してくれる点にも、水谷氏は大きな価値を感じている。
さらに、KnowBe4が提供する教育動画については、従業員から「Netflixみたいで面白い」といった声もあり、「セキュリティというものは、従業員からすると『何でこんなことをしなければいけないの』と煙たがられがちですが、KnowBe4の動画は見やすく、面白いため、するすると吸収できます。セキュリティの研修を楽しみ、『次も見たい』と言ってもらえるのは、本当に奇跡的なことだと思います」。
サポートへの評価と今後の期待
検討から導入、運用に至るまで、サイバネットシステムによるサポートにも高い満足感を得ている。「以前、別の海外製ソリューションを使っていたときは、英語の壁もあり、電話がつながらないこともありました。問い合わせの返答にも週単位で時間がかかるなど、ストレスを感じる場面が多かったです」と水谷氏。
それに対し、サイバネットシステムの「テクさぽ」では、迅速かつ丁寧な対応が印象的だという。「こちらの質問の意図を汲んだ、的確かつ手厚い回答をいただけて、本当にありがたいです。今後も、当社の現状に寄り添った提案を期待しています」。
また、KnowBe4のコンテンツの豊富さゆえに目的の教材を探すのが難しいと感じることもあるが、「『こういう目的でこういう内容を探しています』と伝えると、ぴったりのコンテンツや検索キーワードをすぐに教えてくれる。的確な支援にとても助けられています」と語る。
最後に、水谷氏は、KnowBe4のAIを活用した最新機能についても前向きに捉えている。「従業員一人ひとりのリスクスコアに基づいてトレーニングを最適化するAIDAなど、標的型メール訓練以外にも、今後さまざまなシーンでの展開を検討していきたいと考えています」。