グループ社員25,000人の鴻池運輸におけるセキュリティ意識浸透術──AI活用と並行した統制のとり方

「新しいもの好き」だけでは上手くいかなかったKnowBe4への移行

　1880年に大阪で創業した鴻池運輸は、物流サービスのみならず鉄鋼や食品などの製造業界、医療や空港といった業界向けの請負サービスなど多角的に事業を展開する企業。国内外に広がるグループ拠点は国内で約180、海外の現地法人は37、連結従業員数は約25,000人にのぼる。

　この巨大な事業基盤のITおよびセキュリティを統括するのが、同社 執行役員 ICT推進本部 本部長の佐藤雅哉氏だ。外資系企業でのCISO経験などを経て2018年に入社した同氏は、クラウドセキュリティ製品などを矢継ぎ早に導入し、同社のITインフラを近代化へと導いてきた。

　企業規模の拡大と事業の多様化が進む中、同社が直面していた課題が従業員のセキュリティリテラシーの向上と教育の高度化だ。佐藤氏は自らを“新しいもの好き”と評し、「ガートナー社のマジック・クアドラントの右上に位置する製品に常に注目している」とする。セキュリティ教育プラットフォームに関しても、今までは他社製品を3年ほど利用していたが、いくつかの課題があったため刷新したいと考え、KnowBe4へのリプレイスを社内で提案したという。しかし、実際にトライアルをしたところ、社内メンバーからは「コストが1.5倍増になるだけで、移行する意味がない」と冷ややかな反応が返ってきた。

　そこで同氏は、「単に従来のシステムを置き換えるのではなく、どのような“体験”を現場に提供できるかという観点から、現行システム・運用プロセスを見直そう」と説得。具体的には、教育コンテンツの質、展開のしやすさ、受講者の利便性といった軸であらためて製品の比較検討を行った。その結果、旧来のシステムで課題となっていた多言語対応の品質やマルチテナント対応の有無といった問題を解決できるKnowBe4の導入が決まったとのことだ。

　その後、年に3回実施しているセキュリティ教育プログラムの受講完了率は99％以上を達成。また、以前は事前告知を行っていた標的型メール訓練を「事前告知なし」に切り替えたものの、クリック率は回を重ねるごとに低下しているという。

　ただし、佐藤氏は「クリック率を追うだけでは不十分。騙された後に『然るべき部署へ迅速に報告できたか』という行動変容を測ることが次のステップだ」と語り、ツール導入にとどまらない本質的なセキュリティ文化の醸成を目指すとした。そして、その文化醸成のために注力しているのが、同社が進める「セキュリティコミュニティ」だ。