富国生命保険相互会社様　導入事例

お客さま情報

• 有事の際に何をすべきか学ぶ機会がない

• CSIRTメンバーのスキルを向上させたい

• ヒアリングをもとに、実態に即した教育プログラムを提供

• 実践的なスキルを体系的に学習できる教育プログラムを提供

導入の背景・課題

CSIRTメンバーと経営陣が一緒に学べるセキュリティ教育を検討

当社ではサイバーセキュリティを経営の重要課題と位置づけ、管理体制の整備・強化に取り組んでいます。これまでCSIRTメンバーはセキュリティベンダーが主催する各種セミナーやインシデント対応演習などに参加し、スキルアップを図ってきました。また、経営陣はCSIRTメンバーからの報告に加え、外部講師によるサイバーセキュリティ研修に定期的に参加することで、サイバー攻撃の最新動向や必要な対策を学んでいます。
また、当社ではCSIRTメンバーによる定例会議を月2回の頻度で開催し、情報共有や対応計画の進捗状況の確認などを行っており、四半期に1回は担当役員や部長クラスを加えた拡大会議として開催しています。この拡大会議を活用して、役員を含む出席メンバーが一緒にサイバーセキュリティを学ぶ機会を作れないか検討していました。

CSIRTメンバーの役割や経験に応じて段階的に学べる教育プログラムを模索

当社では人事異動に伴い、毎年数名のCSIRTメンバーの入れ替えが発生しています。システム開発経験やセキュリティに関する知識に乏しいメンバーが加入することもあります。以前から全役職員を対象としたeラーニングや標的型メール攻撃訓練によるセキュリティ教育は実施していましたが、いずれも役職員のセキュリティ意識向上を目的としたもので、CSIRTメンバーの専門知識の修得を目的とした教育はほとんど実施できていませんでした。このような状況から、CSIRTメンバーがその役割や経験などに応じて段階的に学べる教育プログラムを模索していました。

採用に至ったポイント

経営層から実務担当者まで、階層別に最適化された研修プログラム

金融機関の実態に即した柔軟なカスタマイズ性

日立ソリューションズ・クリエイトが持つ金融業界への深い知見と実績は、選定における重要な要素でした。長年のシステム運用で培われた業界特有のセキュリティ要件や規制への精通は、パートナーとしての信頼につながりました。
さらに、当社の組織体制を丁寧にヒアリングした上で研修内容を最適化していただける、その柔軟なカスタマイズ性も高く評価したポイントです。

セキュリティ脅威の疑似体験と実機演習による高い習得効果

導入効果

経営層と現場の目線が一致、組織一体でのレベルアップを実現

今回の研修では、経営層にその役割や責任について学んでもらうと同時に、CSIRTメンバーがそれを知ることで日頃から経営陣にどのような報告や情報提供をすればよいかを学ぶ機会になりました。経営層とCSIRTメンバーが一緒に学ぶことで双方の目線がそろい、組織として一体感のあるレベルアップが図れたと実感しています。
また、国内外で実際に発生したサイバーインシデントを題材としたケーススタディにより事例をもとに、初動対応から対外公表といった各フェーズにおいて、「経営層が決断すべき領域」と「現場に委ねる領域」の線引きを明確化できました。

通常の研修では得られない「生きた知見」が、CSIRTメンバーの成長を後押し

サイバーセキュリティに関する知識が限られていたメンバーも、基礎から体系的に学習することで、段階的に学習を進められました。
特に、ホワイトハットハッカーと専門家による対談形式の講義は、非常に有益でした。実際のインシデント対応における判断のポイントや、攻撃者の思考プロセスといった、通常の研修では得られない「生きた知見」に触れることで、メンバーの実務対応能力を大きく引き上げる一助になったと感じています。

• 本事例中に記載の内容は掲載当時のものであり、変更されている可能性があります。
• 本文は特定のお客さまでの事例であり、全てのお客さまについて同様の効果が得られるわけではありません。