2025年上半期から「Security Awareness Service」を国内提供開始、買収以後のビジネス拡大戦略も説明

社員へのサイバー攻撃訓練を自動化、Vadeが継続的な意識向上につなげる新サービス

2024年10月09日 11時15分更新

文● 大塚昭彦／TECH.ASCII.jp

　フランスのメールセキュリティベンダー、Vade（ヴェイド）の日本法人であるVade Japanは2024年10月8日、高度な“疑似攻撃メール”も用いながら、企業社員に対して継続的なセキュリティトレーニングを自動提供するクラウドサービス「Security Awareness Service」を、2025年上半期から日本市場で提供することを発表した。希望小売価格は1ユーザーあたり月額351円（税抜）から。

　Vadeは今年3月、ドイツに本拠を置くHornetsecurity（ホーネットセキュリティ）グループに参画した。Security Awareness ServiceはHornetsecurityが開発するサービスであり、日本市場ではVade Japanが提供する。これを皮切りとして、Hornetsecurityが有する幅広いセキュリティ製品群を日本市場に展開し、ビジネスを拡大していく方針だ。

　記者説明会ではVade Japanカントリーマネージャーの伊藤利昭氏が、Security Awareness Serviceの特徴や、日本市場における今後のビジネス拡大方針について説明した。

「Security Awareness Service」ではAI技術も駆使して“4つの要素”を実現しているとアピールした

Vade Japanカントリーマネージャーの伊藤利昭氏

「現実的、定量的、効率的、効果的」なセキュリティトレーニング製品

　Security Awareness Serviceは、企業向けのセキュリティトレーニングサービスだ。社員に対してスピアフィッシング攻撃を模した“疑似詐欺メール”を送信し、正しい対応を取れるかどうかで社員個々人のセキュリティ意識をチェックする。誤った対応を取った社員には注意喚起を行い、短い啓蒙ビデオの視聴などを勧める。セキュリティ管理者に対しては、個々の社員／グループ／会社全体のトレーニング進捗状況やセキュリティ意識レベル（スコア）を可視化して、セキュリティ意識とリテラシーの確実な向上につなげていくというものだ。

　疑似攻撃メールを使ったトレーニングサービスはすでに存在するが、伊藤氏は「Security Awareness Serviceは『現実的、定量的、効率的、効果的』の4要素」を備える点が大きく違うと強調する。

　1つめの「現実的」は、本物のスピアフィッシング攻撃のような、特定個人をターゲットとした疑似攻撃を行うことを指している。独自の「スピアフィッシングエンジン」が、社員や組織に関する情報（ユーザーディレクトリ）、メールボックス内の情報などに基づいて、それぞれの社員に“最適化”された詐欺メールを自動生成する。疑似メールの送信タイミングも、全社員一斉ではないという。

　「たとえば人事担当者に対して、『あなたの同僚（実在する社員名）と話をして、貴社が募集しているポジションにぜひ応募したいと思った』と、書類をダウンロードさせる詐欺メールを生成する。ほかにも『未読のメッセージがあるので開封してください』というシステムメッセージを装うメール、企業トップからの組織変更発表を装ったメールなど、AIがさまざまな攻撃メールを生成して送ってくる」（伊藤氏）

スピアフィッシングエンジンは、本物の攻撃と同様に、収集した社内情報を使って特定個人を狙う詐欺メールを自動生成する

　こうした疑似フィッシングメールを受け取った社員が、だまされてリンクをクリックしてしまうと、誤った対応と判断して注意喚起のランディングページが開き、トレーニングコンテンツの視聴が促される仕組みだ。巧妙な内容にもだまされず、不審なメールと判断してセキュリティ管理者への「報告ボタン」をクリックするのが“正解”の対応となる。

だまされてリンクをクリックすると注意喚起が表示され、トレーニングコンテンツの受講が求められる

　2つめの「定量的」については、「ESI（従業員セキュリティ指数）」という独自スコアを用いて、トレーニングの効果を定量的に分析できるようにしている。このスコアは社員個人／グループ（部署や拠点ごと）／会社全体といった単位で見ることができ、「スコアが90を超えれば模範的レベル、70を下回ると危険なレベル」とセキュリティ意識の実情をシンプルに評価できる。ESIは標準化されたスコアなので、トレーニングを継続しながらその成果（変化）を見たり、一般的な企業（全体の平均）と自社のスコアを比較したりすることも可能だ。

従業員のセキュリティ意識を定量化する「ESI」で、トレーニングの成果を測る

管理者の手間を増やさず、継続的／繰り返しトレーニングを自動実行

　3つめの「効率的」は、セキュリティ管理者に手間がかからないかたちで、トレーニングが完全に自動実行できることを指す。Security Awareness Serviceのトレーニングエンジンは、ESIを参照して特にスコアの低下しているユーザーやグループを自動的に選出し、トレーニングを自動実行する。管理者の手をわずらわせないため、上述のESIスコアを一定以上に維持するよう、社員全員に対する継続的なトレーニングが実現できる。

　「これまでのソリューションでは、管理者がいちいちトレーニング内容を計画して、『いつ、何をやる』と設定をしたり、集合型教育を行ったりと手間のかかるものが多かった。一方で、Security Awareness Serviceは完全に自動化されている。トレーニングが必要かどうかも人やグループごとに異なるので、たとえばトレーニングを受けてくれない人はどんどん頻度が上がる、スコアが高い優秀な人はしばらくトレーニングを実行しない、といった調整も自動的に行う」

トレーニング対象社員の選定、疑似攻撃メールの生成、トレーニング頻度の調整などはすべて自動的に行うことができる

　最後の「効果的」については、社員自身がゲーム感覚で楽しみながら、自主的に学びを進められる学習環境を提供していると述べた。社員自身の状況（評価）が確認できるユーザーパネルを提供しており、自発的にトレーニングコンテンツへアクセスすることも可能だ。

　なお、トレーニングコンテンツは多言語対応（20言語以上）となっており、日本語にも対応する。

社員が自主的に、楽しんでトレーニングを進められる環境を用意する

　伊藤氏は、Security Awareness Serviceを提供する背景として、「サイバーセキュリティインシデントの95％は、人為的ミスによって引き起こされる」という世界経済フォーラムの調査結果を挙げた。ランサムウェア対策のためにさまざまなセキュリティ対策を導入する企業は多いが、その数が増えれば人的／コスト的な負担も大きくなる。さらには、すべての攻撃が技術的な対策強化だけで防げるわけではない。「まずは従業員が“最初のファイアウォール”となって、攻撃の侵入を許さないようなレベルアップを行う必要がある」（伊藤氏）と指摘する。

　なお販売ターゲットについては、大規模な企業だけでなく、MSP／MSPP（マネージドサービスプロバイダー／マネージドセキュリティサービスプロバイダー）を通じて中小規模の企業も含めて提供していく方針だ。伊藤氏は、日本におけるこれまでのVadeの事業経験から、幅広い企業層に対してスピーディに普及させるために「（MSP／MSPPを通じた）サービス化」に注力していきたいと述べた。

Microsoft 365向けの包括セキュリティなども日本への展開を計画

　2009年にメールセキュリティ専業ベンダーとして設立されたVadeは、携帯電話キャリア／ISP向けのメールセキュリティソリューション、企業向けのMicrosoft 365メールセキュリティ（Vade for M365）といった製品やサービスを通じて、現在は世界14億個以上のメールボックスを保護している。

　日本でも2014年からビジネスを開始し（日本法人設立は2016年）、NTTドコモ、au（KDDI）、Softbankを始めとする通信事業者やISP、NTT PCコミュニケーションズやGMOインターネット、さくらインターネットなどのホスティングサービス事業者が、メールセキュリティ対策にVadeのソリューションを採用。日本では1億5000万個のメールボックスを保護しているという。

　「一般的にSaaSビジネスでは、90％以上の契約更新率（継続率）があれば健全なビジネスだと言われる。Vadeはグローバルで95％以上、日本市場ではほぼ100％の更新率を達成している。その数字を落とさないように、日本でもサポート体制などを強化してきており、日本語の問い合わせに日本語で答える、日本の顧客からの意見を製品に反映させるといった取り組みに注力してきた」（伊藤氏）

　一方、Hornetsecurityは2007年にドイツで設立されたセキュリティベンダーだ。ヨーロッパを中心にビジネスを展開する一方で、現在までに多くのセキュリティベンダーを買収してグループ傘下に収めており、Vadeも今年3月、同グループに加わった。