JERAが“脆弱性管理”に本気の理由 手作業の業務をどう変革したか？

エネルギー企業JERAはDX推進の一環としてセキュリティ対策を強化している。同社は従来手作業で実施していた脆弱性管理をどのように効率化したのか。脆弱性管理を実施する上でのスタンスや具体的なソリューション導入のポイントを聞いた。

[宮田健，ITmedia]

　デジタルトランスフォーメーション（DX）戦略において、セキュリティは重要な役割を担っている。エネルギー会社のJERAは、クラウド化を推進する中で、安全安心な利用環境を構築するために、外部脅威へのセキュリティ対策やサイバーセキュリティリスクへの対策を強化してきた。

　近年、特に脆弱（ぜいじゃく）性を悪用したサイバー攻撃が顕著になっていることを受け、脆弱性診断の仕組みを導入し、システムの脆弱性管理体制を高度化させている。

　本稿は、JERAの山川哲司氏（デジタルインフラサービス部　サイバーセキュリティサービスユニット　ユニット長）に同社におけるDX推進におけるセキュリティの役割や脆弱性対策の取り組み、今後のセキュリティ戦略について聞いた。

DX推進の中にセキュリティを組み込む

――JERAの事業概要を教えていただけますか。

山川氏：　JERAは日本に国際競争力のあるエネルギー企業を創出することを目指し、2015年4月に東京電力と中部電力により設立されました。段階的に両者の燃料・火力事業を経営統合し、2019年4月から本格的に事業をスタートしています。

JERAの山川哲司氏（デジタルインフラサービス部　サイバーセキュリティサービスユニット　ユニット長）（JERA提供）

　ミッションは「世界のエネルギー問題に最先端のソリューションを提供する」です。再生可能エネルギーと低炭素火力を組み合わせたクリーンエネルギー供給基盤を提供することで、アジアを中心とした世界の健全な成長と発展に貢献することをビジョンとし、2050年には再生可能エネルギーとゼロエミッション火力でCO2排出量をゼロとする「JERAゼロエミッション2050」を掲げています。

　2025年5月現在、約5000人の従業員で燃料の上流から発電、卸売まで、燃料・火力事業のバリューチェーン全体を保有し、日本の発電電力量の約3割を担っています。

――JERAのDX推進の取り組みをお聞かせください。それらの取り組みの中でセキュリティが果たす役割や、セキュリティ対策を強化するに至った背景と取り組みの変遷はどうだったのでしょうか。

山川氏：　JERAは脱炭素社会の実現に向け、最先端のテクノロジーやデータ利活用を通じて業務の効率化や高度化、新しい事業価値の創造を進め、日本発のグローバルエネルギー企業を目指しています。

　デジタル戦略では、JERAのグローバル事業拡大戦略を実現するためのビジネスプラットフォームにより、事業バリューチェーンの効率化や発電所のデジタル化、ワークプレースのデジタル化などを進めています。これにより、全ての業務上でデータトリブン経営が執行されるグローバル基盤を構築しています。

　この実現に向けて当社はクラウド化を推進しており、2019年から脱オンプレミスに向けてクラウドのインフラ構築を開始、2020年からクラウドの利用を開始しました。これに併せて安全安心に利用できるようにセキュリティ面でも対策に取り組んでいます。

　近年増加している脆弱性を悪用した脅威へのセキュリティリスク対策の一つとしてTenableの脆弱性管理ソリューション「Tenable Vulnerability Management」による、システムへの脆弱性診断の仕組みを取り入れました。

――DX推進の流れの中に、セキュリティをしっかりと組み込んでいたということでしょうか。

山川氏：　その通りです。やはりクラウドを利用し、さらにはそれをグローバルで利用できる環境へと強化するためには、セキュリティに対してもしっかりとした取り組みを継続する必要があると考えています。

知らなければ対処もできない――「脆弱性」の姿を捉えるために

――セキュリティの中でも、脆弱性対策にはどのような意識で取り組んできたのでしょうか。

山川氏：　ここ数年のサイバー攻撃の多くが脆弱性を悪用したものです。脆弱性の報告件数自体も年々増加している中、脆弱性情報の収集から対処までを素早く実施することが、これからのセキュリティ対策として重要だと考えています。そして自社で利用しているシステムにどのような脆弱性があるのかを知るためには、定期的な診断をする必要があります。

　Tenable Vulnerability Managementを導入する以前は年に1、2回、外部のベンダーに脆弱性診断を委託していました。ただ、これが非常に大変で、クラウドに数百台あるシステムに対して検査を依頼し、脆弱性の内容を見て優先度を付け、各システムに内容を振り分け、スプレッドシートで送って返答して……という一連の作業を手作業で実施していました。そういった事情もあり、自動化によって一層効率化したいというニーズを解決するソリューションを探していました。

――脆弱性管理は手間がかかりますよね。

山川氏：　しかし脆弱性を放置するわけにはいきません。そのため脆弱性検査の頻度を高め、修復するタイミングを早めることが重要だと考えていました。Tenable Vulnerability Managementを導入後は、月に1回の定期的な診断を実施できています。

――効果はいかがでしょうか。

　これまで手作業で実施していた業務を自動化でき、従来10日ほどかかっていた工数が、3日まで短縮できました。また、システム担当者とセキュリティ担当者が脆弱性管理の対応状況を単一のダッシュボードで確認できるため、コミュニケーションの活性化にも役立っています。

――最近では、未知の脆弱性による「ゼロデイ攻撃」に加え、脆弱性が公開されてから、パッチ適用までに攻撃を受けてしまう「Nデイ攻撃」への対策も重要となっています。

山川氏：　Nデイ攻撃は喫緊の課題であるため、脆弱性への対処は短くすればするほどセキュアであると考えています。年に1回のペースでは全く対応できません。その意味でも、検査の頻度を高めることは重要です。

　当社ではクラウドにある仮想マシンが約400台以上あり、日々対象となるシステムは増加しています。Tenable Vulnerability Managementによる脆弱性検査は自動スキャンの仕組みもあるので、申告されていないシステムが万が一あったとしても、自動で検出して対象として検査が可能な仕組みにしています。

――脆弱性検査ソリューションを選択する上で、どのような機能に着目していたのでしょうか。

山川氏：　脆弱性診断製品を選定する上では、やはり自動的なスケジューリングが可能で、さらにその結果が統一の仕組みで、担当者が見られるという点に着目しています。

　その中で、脆弱性のリスクの高さもシステム上で自動的に判別される点、さらにその後の対処に関しても例示され、単一のシステムで一元管理できるという点を評価しました。

　この他、検査の結果を見ると、細かな脆弱性もしっかりと診断できる点もポイントです。例えば「暗号化の強度が弱い」というものが出てきますが、他の安全策が施されている場所であれば、リスクは非常に小さいと判断できます。

　現場からはこの選別が少々手間だと言われますが、セキュリティ担当者として重要なのは「知る」ことです。問題の洗い出しが最初のステップであり、知らなければ対策もできません。次にリスクの重要度を把握し、対処すべきものを対処する、そうでないと判断できるものはいったん置いておく――こういった判断ができる仕組みがあるのが大事だと思っています。

――導入のスケジュールなども教えていただけますか。

山川氏：　2023年12月に検証を開始し、2024年3〜5月に構築、同年6月から運用を開始しました。現時点で1年弱運用しています。検証時はエージェントとして動くPCの性能が低く時間がかかったという問題がありましたが、スペックを上げることで解消しました。導入に際して特に大きな課題はありませんでした。

CISOを設置、足元のセキュリティ人材不足をどう考えるか

――セキュリティ施策に対する、経営層の理解はいかがですか。

山川氏：　経営層も、昨今のランサム事件の発生を理解し、セキュリティに対する感度は高いと考えています。

　JERAでは2024年4月から、CISO（最高情報セキュリティ責任者）を役員として設置しました。内部ではこれまでもセキュリティ責任者はいましたが、それを役員の中に組み入れる動きです。ここからも、経営層とセキュリティがつながっていると考えています。

――セキュリティ人材の不足が叫ばれています。

山川氏：　組織における課題として、生成AIの活用におけるセキュリティがますます重要になると考えています。社内から生成AIを利用することで情報漏えいをしないようにするために、社内で生成AIの活用ガイドを、私たちセキュリティ部門が配布しています。

　一方で攻撃側も、生成AIを活用した攻撃事例が増えてきていると感じています。これにより、スキルを持たない攻撃者でも攻撃が可能となり、裾野が広がっていきます。攻撃側が生成AIで自動化してくるのに対し、守る側は手動では間に合いません。それを含め、対策が重要となります。

　セキュリティにおいても、自動化、生成AIの活用は重要です。加えて、日本では労働人口減少がこれからやってきます。人に頼らない自動化や外部リソースの活用など、さまざまな取り組みを検討していく必要があると考えています。セキュリティにおける生成AIに関しては、正しい判断を求めるというよりもサジェスチョン、提案として活用するものだと理解しています。現時点では、最後は人間が決めるわけですが、より早く決断できるようになるというのが生成AIの利点だと考えています。

――本日はありがとうございました。