JR西日本｢財務畑出身のCISO｣→しがらみのない改革､標的型メール訓練KPI｢報告率｣でお礼?高度IT資格取得で月1万円手当､"不合格でも受験料補助"

このうち情報セキュリティ委員会は、 JR西日本グループの主要なカンパニー会社の社長も参加してグループ全体のセキュリティの方針を決める機関となっている。

JR西日本グループのセキュリティ体制（出所：「IT Report2025」 09情報セキュリティガバナンスより）

甲斐康弘（かい・やすひろ）／西日本旅客鉄道株式会社 最高情報セキュリティ責任者（CISO）（写真：JR西日本提供）

甲斐氏は2019年7月、50歳でシステムマネジメント部に着任。財務畑の出身で、ITは全くの異分野だった。この時期、IT部門のトップとNo.2が同じタイミングで異なる事業部門から異動してきたという。

「平常時であれば、軋轢が起きたのかもしれません。しかし、未曽有の経営危機に陥るという異常事態の中で危機感の共有が進みました。新設したデジタルソリューション本部の本部長に社長自らが就き、グループ全体にIT・デジタルを最大限に活用して変革に挑戦するという強いトップメッセージを発信したことで、これまでやりたくてもできなかった取り組みも、一緒に進められたと思います」

標的型攻撃メール訓練のKPIを、｢開封率｣→｢報告率｣に

もちろん、専門部署が体制を整えただけでは不十分だ。従業員一人ひとりの意識改革も不可欠となる。同社では、従業員のセキュリティリテラシーを向上させる取り組みも積極的に実施している。グループ全体5万人を対象にした標的型攻撃メールの訓練では、3年前からKPIを「開封率」から「報告率」に変更した。

その背景には攻撃メールの巧妙化がある。従来は訓練メールをどれだけの人が開いてしまったかを重視していたが、近年は攻撃メールの文面作成に生成AIが使われるようになり、「文面の怪しさ」で攻撃メールを見分けることが困難になってきた。

「開いてしまうのは仕方ありません。それより、その後の初動のほうが重要なので、しっかり報告してもらうことを重視する方向に舵を切りました。開封を報告してきた社員にはお礼を伝え、隠さず報告できる風土を醸成しています」

グループ会社を含む社内での情報システムの自主点検には40項目におよぶチェックリストを使用。グループ全体では多数のシステムが存在するため、それらを掛け合わせると点検項目数が膨大になるという。ただし、すべての項目が同等の重要性を持つわけではないため、それぞれの業務における重要な項目に焦点を当てて確認する形をとっている。

自主点検に基づく継続的な改善の取り組みについて（出所：「IT Report2025」 09情報セキュリティガバナンスより）