JR西日本｢財務畑出身のCISO｣→しがらみのない改革､標的型メール訓練KPI｢報告率｣でお礼?高度IT資格取得で月1万円手当､"不合格でも受験料補助"

「自組織の事業継続上どのシステムが重要なのか、個人情報を含む機密情報を含んでいるのかどうかといった点を見分けたうえで点検をすることが重要です。ただし点検作業は負荷が大きいので、JR西日本の本社側で一定のリソースを確保し、グループ会社への包括的な支援を行っています」

鉄道という重要インフラを担う企業だからこその体制づくりも重要になる。それを担うのが、鉄道の運行管理システムや電力管理システムなどに特化した「重要インフラ部会」だ。JR西日本グループ全体のセキュリティ責任者だけでなく、鉄道事業部門の中でも専門性の高い担当者や各部門の部門長が参画し、取り組みを進めている。

また、グループ内の横の連携はCSIRTの取り組みの中で図られている。特徴的なのは、グループ会社の規模に関わらずセキュリティ施策に統一の基準を適用している点だ。「サイバー攻撃はセキュリティの弱いところから入ってくる」という認識から、小規模なグループ会社であっても同様にCISOを配置し、グループ共通のガイドラインに基づいた対策を徹底している。

EDRや脆弱性管理ツール、脅威インテリジェンスサービスなどもJR西日本側で統一したものを用意し、展開や導入の支援も一元的に実施している。他社ではグループ会社がそれぞれ個別対応するケースも多いが、同社ではコーポレート機能として統一した取り組みを進めているのが特徴的だ。

また、今年の大阪・関西万博の開催にあたっても特別な体制で臨んできたという。この数年での人員拡充に加え、DDoS攻撃対策の強化や関係機関との連携強化、各事業部門合同でのインシデント対応訓練などを実施し、体制に磨きをかけてきた。

「万博期間中は海外からのアクセスが増加することに加え、ナショナルデーなどの開催に伴い、地政学的な要因がサイバー攻撃リスクに影響することも考慮し、通常とは異なる観点でセキュリティ対策を設計してきました」

セキュリティは、“ブレーキではなくガードレール”

同社では、グループ全体のデジタル戦略として「安全が確保できないサービスはローンチしない」という基本方針をとっている。これは鉄道の安全にこだわる企業文化から生まれたものだ。新しいデジタルサービスを展開する際も、利用する一般顧客の安全がしっかり確保できるシステムになっているか徹底的に確認し、状況によってはローンチ延期の判断を取るという強い姿勢を持っている。

では、デジタル戦略としての「攻め」と、「守り」であるセキュリティのバランスはどうとっているのだろうか？

「実は、守りという言い方はあまり好きではありません。セキュリティは“ブレーキ”ではなく、戦略という“アクセル”を安心して踏み込むためのガードレールのようなものだと考えています。セキュリティが担保されているからこそ、攻めの戦略を取ることができるのです」

グループ全体として取り組みを浸透させていくには、経営層の理解が不可欠だ。同社では経営層に対して年4回のトップ研修を実施し、セキュリティに対する感度の向上を継続的に図っている。

「JR西日本の社長、役員、部門長に加えてグループ会社の社長、CISOらが参加し、技術的な話だけでなく社外の弁護士などの講演も交えて、情報セキュリティが経営課題であることを認識してもらう取り組みを行っています。その結果、トップ自らグループ全体の社長会でセキュリティを話題にするなどの変化が生じています」