🌐 はじめに:訓練の「やり方」にも選択肢があるって、ご存知でしたか?
標的型攻撃メールの手口は年々巧妙さを増しており、企業の規模を問わず、隙を見せれば被害に遭ってしまう。そんな時代になっています。
そんな中、「標的型攻撃メール訓練の重要性」は多くの企業で認識されていますが……
実は、”訓練の“導入形態”にもSaaS型とオンプレ型という選択肢があるということをご存じでしょうか?
本記事では、それぞれのメリット・デメリットをわかりやすくご紹介し、自社に合った選び方を考えるヒントをお届けします。
☁ SaaS型の訓練ツールとは?(クラウドでらくらく運用)
SaaS型(Software as a Service)は、インターネット上で提供されるサービスを利用する形態、簡単に言えば、Webブラウザによる操作だけで訓練が実施できるというものです。
業者が提供する訓練実施の機能をWebブラウザから操作して訓練を実施するため、自社でサーバーを構築・保有するなどの手間が不要で、IT技術者がいない企業では有力な選択肢と言えます。
✅ メリット
- 導入が早い! サーバー不要でスグに使い始められます
- コストを抑えやすい 初期費用が比較的安価
- 自動アップデート 常に最新の訓練内容に対応
- 運用サポートつき IT担当者が少なくても安心
⚠ デメリット
- インターネット接続が必須
- 自社で保持できないデータもあるため、セキュリティポリシーに合わないケースも
- カスタマイズ性が制限される場合ある
訓練メールを送信する先となるメールアドレスや、訓練実施結果レポートを作成する際に必要となる社員の氏名や所属部署、役職といった情報を業者が提供するシステムに登録する必要があるため、SaaS側のシステムにハッキングされるなどすると、全社員の情報が漏洩してしまうといったリスクも考えられます。
🖥 オンプレ型の訓練ツールとは?(社内完結でガッチリ運用)
オンプレ(オンプレミス)型は、自社で訓練実施に必要な機材(サーバー等)を用意し、自社の中で作業を完結させるやり方になります。
SaaS型と異なり、自社内に設備を構築するため、社内LANに閉じた形で訓練を実施することも可能です。また、必要なものは自社で全て用意するため、自由度が高いというのも特徴となります。
✅ メリット
- 自社環境内で完結 セキュリティポリシーに柔軟対応
- ネットワーク分離環境でも実施可能
- 他システムと連携しやすく、高度なログ分析なども可能
⚠ デメリット
- 構築に時間と手間がかかる
- 保守・アップデートは自社で対応する必要あり
- 導入費用が比較的高め
SaaS型と異なり、社員情報を外部のサーバー上に置かなくて良いというのは、セキュリティ的に安心なポイントであると言えます。但し、トラブル解決も含めて自社で全て行わなければならないため、技術的な知識が必須となる点は、企業によってはハードルが高いと感じられてしまうかもしれません。
🏭【実例紹介】製造業A社様の導入ストーリー
業種:製造業(従業員数約300名)
課題:標的型攻撃メールが多く、訓練を導入したいが、IT部門の人員が限られていた
A社様では、はじめオンプレ型も検討されていましたが、「スピード導入」と「運用負担の少なさ」を重視し、SaaS型訓練ツールをご選定。
導入後わずか2週間で初回訓練を実施し、驚きの結果が…
- 訓練メールに騙されてリンクをクリックした社員は、全体の17%
- しかし、訓練後のセキュリティ教育動画視聴と復習テストで理解が深まり、
- 2回目以降のクリック率は7%まで減少!
経営層の方からは「数字で“人の意識変化”が見えるのが非常に良い」と評価されました。
🏢【実例紹介】官公庁系システムを受託するB社様の導入ストーリー
業種:システム開発(官公庁系案件を多数担当)
従業員数:約500名(情報セキュリティ要件が非常に厳しい)
課題:社外クラウド利用に制限があり、SaaS型サービスの導入が不可
B社様は、主に自治体や省庁向けのシステムを開発・運用している企業。
セキュリティ基準が非常に厳しく、社外クラウドに一切の業務データを出すことが許可されていないという環境でした。
そのため、SaaS型の訓練サービスは利用できず、オンプレミス型の訓練ツールを導入。
🔧 運用時の工夫ポイント:
- 社内の検証用サーバーに訓練環境を構築
- 年に2回、全社員対象で訓練メールを送信
- 本番に近いシナリオ(業務に即した文面)を使用
- メール開封・クリックのログを収集し、セキュリティ統括部門で分析
📈 効果と評価:
- 初回訓練では約20%の社員がリンクをクリック
- その後、部門単位でフィードバック会議を実施
- 2年目にはクリック率が6%まで改善
また、B社様では訓練ログを社内のSIEMと連携し、定期的にレポート化することで経営層にも成果が可視化されるようになりました。
🔍 どちらを選ぶ?導入形態を決めるポイント
| 観点 | SaaS型が向いているケース | オンプレ型が向いているケース |
|---|---|---|
| 企業規模・IT体制 | 小~中規模企業、IT人員が少ない場合 | IT部門が整備されている大企業 |
| セキュリティポリシー | クラウド利用が許容されている場合 | 社内データを外に出せない場合 |
| スピード・コスト | 早く始めたい、費用を抑えたい場合 | 時間・費用をかけてでも柔軟に構築したい場合 |
| カスタマイズ性 | シンプルな訓練でOK | 社内システム連携や高度な分析が必要 |
上記だけ見ると、SaaS型とオンプレ型のどちらかの選択のように見えますが、実際には双方の良いところをうまく活用する「ハイブリッド型」もあります。
例えば、
・訓練メールの送信はSaaS型を使うが、クリック率の集計などは自社でサーバーを用意して自社で集計を行う。
・訓練メールの送信は自社のメールサーバを使うが、集計はSaaS型を利用する。
など、自社の要件に応じて使い分けをするというのも一つの方法です。
自社でサーバーを用意すると言っても、必ずしも機材を購入する必要は無く、レンタルサーバサービスを利用するという方法もありますので、SaaSとオンプレをどのように活用するかは、各企業の考え方次第と言えるでしょう。
📝 まとめ:訓練の「手段」よりも「目的」を見失わない
導入形態をどうするかは、あくまで**“手段”**です。
💡 本当に大切なのは、「社員一人ひとりのセキュリティ意識をどう育てるか」。
SaaS型でもオンプレ型でも、適切な訓練と教育を継続的に行うことで、被害リスクを大きく減らすことができます。
訓練を実施するのが初めてであれば、まずは手軽に始められるSaaS型を使って実施してみて、使い勝手などを確認した後、SaaS型では自社の要望を満たすことができないようなら、オンプレ型での実施も検討してみるといったことでも良いと思います。
逆に、訓練自体はPC1台あればできますから、まずはお金を一切かけずに、自分のPCを使ったオンプレ型で小さく訓練をやってみるというのも一つの方法です。
どちらが正解というよりは、まずはできることから始めてみる。これこそが大事なのことなのだと思います。
ちなみに、弊社が提供している「標的型攻撃メール対応訓練実施キット」は、SaaS型とオンプレ型のどちらにも対応していますので、自社で機材を持たずに訓練を実施したい企業様はもちろん、自社内に閉じた形で訓練を実施したい企業様も、キットを活用いただくことで、自社で実施したいと考える訓練を実施することが可能です。
📩 SaaS型とオンプレ型、どちらが良いか迷われている場合はお気軽にご相談ください!
👉 お問い合わせはこちら
