JR九州、本気のセキュリティ対策 「“秘伝のタレ”状態のIT資産台帳」を解き明かすまで：事業を支えるデジタル活用の裏側

「対策を講じなければ被害に遭う」――高い危機感を持ってセキュリティ対策に取り組んでいるJR九州。「IT資産の台帳が“秘伝のタレ”状態」だったという同社が、サーバ600台以上、端末約1万台の資産把握を効率化した方法とは。

PR／ITmedia

PR

JR九州の長崎 剛氏（執行役員　総合企画本部　デジタル変革推進部長）

　IT資産の台帳があっても“秘伝のタレ”のような状態で、正しいかどうか誰にも証明できなかった――過去のIT環境をこう振り返るのは、九州旅客鉄道（JR九州）でデジタル変革を担う担当者だ。国鉄民営化から約35年が経ち、同社は新たな価値の創出や業務改善に向けて「デジタル技術の活用」に注力。その中でIT資産の管理とセキュリティ対策が課題になった。

　特に警戒したのがランサムウェアだ。被害に遭えば事業停止どころか倒産のリスクがある。JR九州の長崎^※ 剛氏は「『ランサムウェアが怖くて夜も眠れない』というのは言い過ぎですが、対策の必要性を強く感じていました」と話す。
※「崎」は、正しくはつくりが「立」に「可」の“たつさき”

　JR九州はどのようにデジタル技術の活用を推進し、その裏側でセキュリティ対策をどう講じたのか。キーパーソンを取材すると、そこには同社を突き動かした強烈な危機感があった。

「人流が止まれば事業に影響」　地方を支える事業をデジタルで後押し

　鉄道を祖業とするJR九州グループは、観光列車など独自の価値を付加した事業を実施。近年は、地域を支えて未来を守るために、不動産やホテル、流通、外食などの事業を多角的に展開している。営業収益の約65％を鉄道事業以外が占めるようになった。

　「地方は鉄道事業だけで売り上げを立てるのが厳しく、コロナ禍でそれに拍車が掛かりました。人流が止まれば事業全体に影響する可能性があります。事業の多角化を推し進めてシナジー効果を向上することがわれわれにとってはもちろん、地域を支えるためにも必要でした」（長崎氏）

　多角的なビジネスを支えるのがデジタル技術だ。JR九州グループは2022年に「JR九州グループDX戦略」を策定。次の3つの柱を推進すべく、IT基盤、人材、組織体制の整備に取り組んでいる。

• チケットレスサービスやポイントを活用したCRMなどを推進する「顧客体験価値の向上」
• 先進技術を活用した自動運転などによる「オペレーション・メンテナンス改革」
• ローコード開発で現場の課題を解決する「働き方改革・生産性向上」

JR九州グループDX戦略の全容（提供：JR九州）

　DXの主役は、現場の課題をその場で解決する「ヒーロー」たちだ。デジタルツールで業務を改善した従業員にバッジを付与して表彰する「デジタルヒーロー認定制度」というユニークな制度を設けて、ITリテラシーの向上や市民開発の浸透を狙っている。業務改善の成果に応じて3種類のバッジを用意。車両整備や運行管理、工務など現場を中心に、2025年2月時点でヒーロー9人、リーダー28人、チャレンジャー127人が活躍している。

　「デジタルヒーロー制度は単なる資格ではなく、アプリケーションを内製して業務課題を解決するなどの実績を挙げた従業員を表彰しています。人事制度とも連携させることで『実』のある制度にし、参加者が年々増えています」（長崎氏）

不正アクセス被害に遭って気付いた「対策の近道」

　JR九州グループは、DX推進と並行して強化を続けているのがセキュリティ対策だ。鉄道という地域の重要インフラを担う事業者として「セキュリティのリスクは企業経営における重要な課題の一つ」だと長崎氏。2016年の株式上場に当たって「グループ情報セキュリティ基盤」（JQS3）を構築し、グループ全体で外部脅威と内部脅威に備える体制を整えた。

　そんな折に事件が起きる。JR九州グループのWebサイトが不正アクセスの被害に遭い、さらにECサイトからの情報漏えいが発生してしまった。長崎氏らはセキュリティ体制の見直しと強化に奔走。セキュリティ対応チーム「JRQ-CSIRT」を立ち上げて、定期的な脆弱（ぜいじゃく）性診断を徹底した。

　「手を抜いていたわけではないのですが、不正アクセスを受けて『きちんと対策を講じなければ被害は起きてしまう』と痛感しました。何か特別なことをするのではなく、目の前の脅威にしっかりと対策をする以外に近道はないと思っています」（長崎氏）

ランサムウェア対策は喫緊の課題　属人的なIT資産管理から脱却せよ

JR九州の三嶋利治氏（総合企画本部　デジタル変革推進部　副課長）

　セキュリティ対策を巡る苦い経験から、JR九州グループはセキュリティリスクにより敏感になった。喫緊の課題として挙げるのがランサムウェア攻撃だ。JR九州の三嶋利治氏は「ランサムウェアがいつ自社を襲うか分からない現状を踏まえると、もう一段階上のセキュリティ対策が必要だという考えに至りました」と述べる。

　複数のランサムウェア対策を検討する中で、脅威の検知や対処、復旧についてはEDR（Endpoint Detection and Response）の導入で対処することにした。三嶋氏を悩ませたのは「IT資産の特定や可視化、脆弱性の対応」だ。ちょうど「Apache Log4j」の脆弱性が大きな問題になった時期で、各社は影響を受けるシステムの特定に追われていた。

　JR九州はそれまで、IT資産管理サービスと不正端末検知サービスを組み合わせ、それぞれの台帳データを比較することで600台以上のサーバと9200台以上の端末の把握及び脆弱性に対応していた。

　「資産管理は手作業かつ属人化した状態で、“秘伝のタレ”のような運用だったため、管理情報が本当に正しいのかどうか確証が持てませんでした。この運用では、深刻な脆弱性が新たに判明して各システムの担当者に調査を依頼しても、そこから協力ベンダーに問い合わせる必要があり、結果を集約するだけで2〜3週間かかることもありました」（三嶋氏）

　この状況を打破するために同社が注目したのが、システム構成や脆弱性、端末設定などをリアルタイムで管理し、動的にIT環境の健全性を確保する「サイバーハイジーン」という考え方だ。

　社内でのサイバーハイジーンの認知は高くなかったものの、その重要性を認識した同社はセキュリティツール「Tanium」を導入した。TaniumはIT資産全般を即時かつ一元的に可視化して制御し、脆弱性がある場合はそれを修復するXEM（コンバージドエンドポイント管理）製品だ。端末とセキュリティを統合管理することでサイバーハイジーンを実現する。

　「以前から利用してきた資産管理サービスと同様に、月例パッチやWindows Feature Updateの配信や適用を適切に実行でき、ログを取得できる点も重要なポイントでした。導入展開の容易さや脆弱性情報の迅速な収集が可能であることをPoCで確認し、導入に至りました」（三嶋氏）

JR九州システムソリューションズの末永 剛氏（基盤本部　第2部　部長）

　JR九州の情報システム子会社として同グループのセキュリティ対策に取り組むJR九州システムソリューションズの末永 剛氏は「Taniumはエージェントがインストールされていない端末、いわゆる『野良端末』もしっかり拾い上げて全体を把握できます。単なるIT資産管理にとどまらず、高い脆弱性管理機能を備えているのでセキュリティレベルの向上に寄与できると判断しました」と振り返る。

「受け身だったあの頃とは違う」　自分たちで能動的にリスク管理

　JR九州は2022年度からTaniumを導入した。第1段階としてJR九州及びグループ会社内の標準端末にTaniumを展開し、全体把握と状態把握を実施。導入から運用までをサポートするエンタープライズサービスチームと週次でミーティングしながら運用体制を設計し、運用体制が固まってから第2段階としてサーバや事業部などが独自に導入している端末にもTaniumを導入した。

JR九州グループが取り組んだTaniumの導入ステップ（提供：JR九州）

　末永氏は「高機能ゆえに専門的な知識を要することから、Taniumのユーザーインタフェースを使いこなすまでに最初は時間がかかりました」と率直な感想を述べる。しかし、同氏はこれを「自分たちのスキルを高める絶好の機会」ととらえ、Taniumのエンタープライズサービスチームによる運用設計の支援を受けて疑問点を解決し、スキルの取得に至ったという。「現在は外部に頼らずに自分たちで運用できており、大きな自信につながりました」（末永氏）

　Tanium導入後は複数のシステムを見比べながら台帳管理をする手間がなくなり、ダッシュボードでの端末の全数管理が可能になった。新たな脆弱性が公表されたときや不具合が発生したときも、端末情報をリアルタイムに確認できるので問題解決までの工数削減に寄与している。

　「以前は脆弱性に関する調査に数週間かかるケースもありました。しかし今はスピーディーに脆弱性対応の可否が把握できるのですぐに回答が返ってきます」（長崎氏）

　JR九州システムソリューションズも運用のメリットを感じている。Tanium導入前は、オンプレミスの資産管理サービスを運用しており、報告資料を一つ作るにしてもデータを表計算ソフトで加工するなどの手間がかかっていた。今では関係者がTaniumのダッシュボードを見て、リアルタイムに情報共有しながらどう対処すべきかを議論できるようになっている。

　情報収集の迅速性に加え、正確性に信頼を置けるようになったのもポイントだろう。「『Tanium Discover』を使えば未管理の端末を検知できます。以前は担当者の自己申告に基づいていた脆弱性管理についても、本当にパッチが適用されたかどうかをTaniumでリアルタイムに把握でき、正確性が上がったと感じています」（末永氏）

　可視化によっていろいろな「アラ」が見えてくるので、企業にとってある意味不都合かもしれない。JR九州は、Taniumによって管理すべき資産や脆弱性が想像以上に多いことが分かったという。

　「ある程度は想定していましたが、Taniumによって予想以上の脆弱性が見つかったときは驚きました。特にインターネットの表層からは見えない社内にある脆弱性が課題だと改めて認識しました。今は脆弱性を可視化できているので、どれに優先的に対処するかを選び、実行するという能動的な動きへと変化しています」（末永氏）

　これまで受け身で対処していた状態から、危機感を持って自分たちでリスクを管理できるようになった効果は大きい。見えていない端末や脆弱性をきっかけに不意打ちの攻撃を食らうような状態とは雲泥の差だ。

ランサムウェアにもうおびえない　JR九州の次なる一手

　「当社はこれまでランサムウェア攻撃に対して漠然と恐怖を抱えていました。しかし自社のセキュリティ対策にサイバーハイジーンの考え方およびTaniumを組み込み、『穴を完璧にふさいでも無菌状態にはできない』ということを理解しつつ、脅威を可視化することで適切に怖がることができるようになりました」（長崎氏）

　JR九州グループはサイバーハイジーンの実現に確実に近づいている。今後はTaniumで可視化したものに対して効果的に手を打ち、可視化と是正のサイクルを効率的に回せるように運用をアップデートする必要があると三嶋氏は考えている。

　パッチ適用にせよ設定変更にせよ、是正はボタンを一度押せば終わるものではない。動作に影響がないかどうか、再起動が必要な場合はいつ実施するかといった細かな確認や調整が必須だ。ビジネス部門との連携体制の強化も含め、是正ルールやプロセスの整備を進める計画だ。これにはIT部門自体が力を持って物事を前に進めるある種の強制力も必要となるだろう。

　三嶋氏は「DX推進とセキュリティ対策は両輪です。セキュリティ状況の把握と対策ができたことで、より攻めたDX戦略の足場を作れているという実感があります」と語る。IT戦略とセキュリティ対策という強固な土台の上で事業の多角化を推し進めてビジネスを成長させ、さらにそれを地域の活性化につなげようと挑むJR九州の挑戦は続いていく。

JR九州が挑むビジネス改革

JR九州は、「安全・安心なモビリティサービスを軸に地域の特性を活かしたまちづくりを通じて九州の持続的な発展に貢献する」という長期ビジョンを掲げている。デジタル技術を活用した新たなビジネス変革として、「JRキューポ」の活用やMaaS推進を軸とした「お客さま体験価値の向上」、鉄道車両の自動運転や鉄道メンテナンスのCBM（Condition Based Maintenance）転換推進といった「オペレーション・メンテナンス改革」などに取り組んでいる他、持続可能な社会の実現にも注力。同社の今後の発展に目が離せない。

野良端末と脆弱性を撲滅せよ

野良端末や脆弱性の管理における“真の課題”を明らかにしつつ、「サイバーハイジーン」の概要やメリット、最新の事例などを解説した特設サイトを公開中。万が一の事態が起きた際に重要な「サイバーレジリエンス」の実践にもつながるサイバーハイジーンについてチェックしてほしい

関連記事

「野良端末の撲滅に取り組んでいます」という企業の“根本的な誤解”
「当社は“野良端末”の撲滅に取り組んでいます」――こう胸を張る企業の中には「やったつもりになっている」だけのケースがある。サイバー攻撃の起点になる野良端末の対処にありがちな“根本的な誤解”を解き明かすと、有効な対策が見えてくる。

「リアルタイムの端末管理」は理想論ではない――「Tanium」のテクノロジーと特許技術を解き明かす
非管理端末（野良端末）の状態をリアルタイムで把握して健全性を維持する「サイバーハイジーン」は重要な考え方だが、実現するのは難しい。「そんなテクノロジーはない」という声も聞こえてくるが、端末管理とセキュリティ管理を一元化できるソリューションはもう既に存在している。それをどう使うかにかかっているのだ。