メール訓練でセキュリティリスクを可視化!教育を通じて継続的に改善できる体制へ
【製造業の事例】標的型メール訓練・セキュリティ教育でリスク可視化・運用改善
公開日: 2026.07.01
HCSNewsLetter 第261号
取材協力
情報システム部
製造業 H社様について
[所在地]
石川県金沢市
[事業概要]
製造・販売業。
製造業において、標的型メール訓練サービスの導入により、ものづくりを支える情報セキュリティ意識向上と、継続的な改善サイクルの確立を実現した事例をご紹介します。
製造現場から品質保証・生産管理など各部門でIT リテラシーのばらつきがあり、個人の判断に依存した対応が課題となっていました。そこで『標的型メール訓練サービス』を導入し、訓練結果の可視化によりリスク実態を把握。全社的なセキュリティ対策のリテラシー標準化を進め、継続的な改善活動の定着を実現しました。
- 課題
- (1)個人の判断に左右されないメールセキュリティ対策の強化
(2)訓練 / 教育 / 改善を継続的に回せる運用
- 効果
- (1)不審メールの判断ポイント整理により対応のばらつき改善へ
(2)メール開封率30%でリスク実態を把握!リスク対策の方向性が明確に
目次
メールセキュリティリスクの強化を実現するための「3つの課題」
-検討のきっかけを教えてください-
メール訓練を単発で終わらせず、教育や改善までつなげる取り組みの必要性を感じ、利用サービスの見直しを検討していました。
当社では、全社員にPCとメールアドレスを支給し、IT環境を整備していることから、メールは重要なコミュニケーション手段となっています。一方で、従業員の平均年齢が高く、ITリテラシーにばらつきがあることから、セキュリティ対策において人的要因への対応が重要なテーマに。不審メールへの対応についても個人差が見られ、組織全体としての底上げが求められていました。
過去に実施したメール訓練では、結果把握にとどまり、具体的な改善や教育につながりにくいという課題もありました。
-どのような課題をお持ちでしたか?-
課題1:個人の判断に左右されないメールセキュリティ対策の強化
社員のITリテラシーに大きな差があり、それに伴いメール対応の判断にもばらつきやセキュリティ理解・定着に課題を抱えていました。バックオフィス部門ではメール利用が日常的である一方、製造現場では利用機会が限られ、基本操作に不慣れな社員も見られました。
また、セキュリティ用語や警告表示の意味が十分に理解できない場面もあり、「サイバー攻撃の危険性は認識しているが、具体的にメールのどこを意識して注意すればよいのか判断できない」といった現場の声もよく耳にしていました。情報システム部側も、メールでのサイバー攻撃は年々巧妙化しており、業務に関連した内容やタイムリーなテーマを装ったものは、見分けが難しいケースが増えていると感じていました。
最近だと、「社長名義でLINEグループに誘導する」などのメールが頻繁に来ることがあり、社員が「業務上必要な対応」と判断して開封する危険性も高い状況に。迷惑メールや不審メールのフィルタリングなど、システム側での対策は十分にしていましたが、最終的なメール開封やクリックなどは個人の判断に依存する部分が大きいです。実務と密接に結びつく内容ほどリスクが高く、技術面の対策だけでは防ぎきれないと感じていました。
課題2:訓練 / 教育 / 改善を継続的に回せる運用
これまでの実施した他社のメール訓練では、「実施して終わり」という結果の把握にとどまり、訓練後の分析や改善、対策に十分つなげられていない点が課題でした。「どの部門に課題があるのか」「なぜ開封してしまったのか」といった原因の特定や、傾向の整理ができず、次回訓練や実際のメールセキュリティ対策改善の方向性が不明確に。
訓練後の教育は、Webでのオンライン学習がメインだったので、自主的に学習が必要でした。そのため、個人の学習に差が生まれ、継続的な学習や振り返りの仕組みが不足。結果として、訓練を実施しても行動の変化につながりにくく、組織としてセキュリティレベルを段階的に向上させるサイクルを実現できていませんでした。
「3つの課題」を解決する『標的型攻撃メール訓練サービス』
-採用の決め手を教えてください-
メール訓練を単発で終わらせず、継続的な改善や教育につなげられる点です。訓練後の取り組みまで見据えて運用できるかどうかを重要な判断基準としていました。またサービス内容と費用のバランスも含めて総合的に判断し、導入を決めました。
HCSさんのサービスは、訓練の進め方や内容について専門SEと相談しながら進められる環境が整っており、自社だけで抱え込まずに進められる点も安心材料に。地域に根差した企業として、気軽に相談できる距離感でサポートを受けられる点も、選定の後押しとなりました。
導入効果・メリット
-取り組みの効果はいかがでしたか?-
効果1:不審メールの判断ポイント整理により対応のばらつき改善へ
社員ごとにばらつきがあったメール対応について、フォロー講習会を通じて判断ポイントが整理され、「どこを確認すべきか」という具体的な基準を理解できる状態に近づきました。
HCSの専門SEが講師となり、訓練に引っかかってしまった社員を対象にフォロー講習会を開催。差出人やドメインの確認、警告表示の見方について、実例を交えて説明してもらったことで、これまで曖昧だった判断が具体的な行動としてイメージできるようになりました。用語の解説だけでなく、実際の画面をもとに不審メールの見分け方を教えてもらい、業務上必要」と感じて安易に開封してしまうリスクに対しても注意すべきポイントを意識できるようになったと思います。
従来は個人の感覚に任せていた判断が、共通の視点で整理されたことで、理解度の差による対応のばらつきを抑え、会社全体でメールセキュリティレベルを揃えていくための基盤が整ってきたと感じています。
効果2:メール開封率30%でリスク実態を把握!リスク対策の方向性が明確に
今回の訓練では、開封率約30%という具体的な数値で改めてリスクを把握できたことで、これまで曖昧だった「社員が注意すべきメールの特徴」「判断を誤りやすいケース」を具体的に認識できるように。業務に関連する内容(社内手続きや身近なテーマを装ったメール)ほど開封されやすい傾向があることも分かりました。
また、以前は訓練をやって終わりとなっていましたが、今回はHCSさんの支援でフォロー講習会を実施。訓練結果をそのまま教育に反映する流れを実現できました。社員が「なぜ開封してしまったのか」を分析し、次の施策につなげられるようになり、導入効果を実感しています。
訓練実施にあたっては、メールの文面や訓練の進め方についてHCSの営業や専門SEに随時相談。環境構築や運用面の支援も受けられることで、社内負担を抑えられる環境が整っています。訓練・教育・改善を一連の流れとして回していく仕組みができたことで、今後は段階的なレベル向上につなげていけると期待しています。
今後の展望
-今後、取り組みたいことを教えてください-
メールを起点としたセキュリティリスクの低減に向け、訓練と教育を今後も継続していく方針です。
また、新入社員教育や日常的な情報共有を通じて、セキュリティ意識の底上げを図りたいと考えています。技術対策と人的対策の両面で運用を強化し、より安全なIT環境の実現を目指していきます。
-インタビューにご協力いただきありがとうございました-

メルマガでお届け!北陸企業のIT活用事例から、課題解決のヒントが見つかる!!
(1)毎月、最新の事例をご紹介
(2)お客さまのIT活用成功事例を「事例集」として配信
(3)その他、コラムやイベント情報などをお知らせ
関連導入事例
社内PCの一元管理で対策レベルUP!運用はおまかせで、安心の環境を実現
- 導入サービス:マネージド・エンドポイントセキュリティ
- 課題
- (1)セキュリティ対策の状態把握と一元管理
(2)未知の脅威に対応するセキュリティの導入
(3)社員 / 担当者に負担のない管理
- 効果
- (1)PCの状態を見える化、いつでも確認可能
(2)対策レベルの強化で安心の環境に!
(3)セキュリティに関する問合せゼロを実現
セキュリティ/ BCP対策で信頼性UP!安心・安全な環境で対策レベル強化
- 導入サービス:セキュリティ / BCP対策支援サービス
- 課題
- (1)セキュリティ / BCP対策レベルの強化
(2)安心してお任せできるパートナーの模索
(3)未知の脅威への対応
- 効果
- (1)運用改善と「3-2-1 ルール」の実現で対策レベル向上!
(2)サポート面でも不安のない環境に
(3)お客さまとの信頼性向上を実現!
短期間で異動のある組織が、セキュリティ対策を強固にする方法とは?
- 導入サービス:マネージド・エンドポイントセキュリティサービス
- 課題
- (1)セキュリティ対策レベルの引き上げ
(2)限られた予算で内情に合うサービスの選定
(3)個人に左右されないセキュリティ体制
- 効果
- (1)公的機関へ説明できる対策レベルに
(2)月額数百円で手に入れられる安心感
(3)2年毎の担当変更でも管理負担ゼロに


