森氏：JR西日本グループでは、人・技術・組織の各側面から、多角的なセキュリティ強化に取り組んできました。最高情報セキュリティ責任者（CISO）を委員長とする情報セキュリティ委員会を設置し、その下部組織として「重要インフラ部会」と「JR西日本グループCSIRT（JRW-CSIRT）」を運営しています。現在では連結子会社を中心に約80社がJRW-CSIRTに参画しています。各部門・各社の窓口を担うCSIRTメンバー約550名に加え、現場を支えるサポートメンバー約2,100名が参加し、多くの社員を巻き込んだ組織へと発展しました。さらに、加盟会社の全役員・社員約5万人を対象に、セキュリティ教育や標的型攻撃メール訓練を継続的に実施し、グループ全体のセキュリティ成熟度はこの数年で着実に高まっています。一方で、2024年頃には、翌年に大阪・関西万博開催を控えていたため、社会的な注目の高まりに伴うサイバー攻撃リスクの増大に備えて、より高度な対策が必要だと感じていました。

森氏：PoCの際、ある程度の脆弱性が検出されることは想定していましたが、設定ミスによって本来公開すべきではないポートや検証用サイト、CMSの管理画面などが外部から閲覧可能な状態になっているケースなど、従来のソフトウェアを対象とした管理ツールでは把握しきれなかったリスクを浮き彫りにすることができました。 また、インターネット上で当社の名前を語ったなりすましサイト等が存在している実態も判明しました。直接的な情報漏洩ではなかったものの、さまざまなリスクを事実確認できたことで、脅威インテリジェンス分析とアタックサーフェスマネジメントを組み合わせて実施する重要性を改めて強く認識しました。

森氏：現在は、年1回のペースで対象サービスやドメインの棚卸しを行い、四半期ごとに診断を実施する運用を定着させています。脆弱性が検出された際は、緊急度の高いものは即時対応し、それ以外についても改善計画を策定して原則3カ月以内に対応するというサイクルを実施しています。 グループ全体では日々、新しいサイトやサービスが立ち上がり、未知の脆弱性も次々と発生するため、リスクを完全にゼロにすることは容易ではありません。しかし、こうした取り組みを継続的に行った結果、自社のセキュリティ対策状況を可視化するサービス「Secure SketCH」での評価結果も大きく向上させることができました。

森氏：日々、脆弱性やサイバー攻撃に関する膨大な情報が入ってきますが、現場の担当者にとっては、それが自分たちの業務や組織にどう直結しているのかを具体的にイメージしにくい面がありました。その結果、これまではセキュリティ対応において、一方的な「やらされ感」や作業負担を感じる場面も少なくなかったと思います。しかし、今回の取り組みでは、現場が気付いていなかった自分たちのリスクや脆弱性をピンポイントで指摘してもらえるため、自分たちにとって有益な情報として受け止められているようです。実際のやり取りでも感謝や主体的な言動が増えており、非常に心強い変化だと感じています。現在は本件以外にも、セキュリティポリシーの見直しなど多岐にわたるテーマでNRIセキュアに相談しています。セキュリティに関する最も身近な相談役としてお力添えいただきながら、今後も継続的に連携を深めていきたいと考えています。