信頼性向上のためにセキュリティレベルを統一
JR東日本情報システム(以下、JEIS)は、JR 東日本グループの情報システム会社として、グループ全体におけるシステム開発と運用を担当しています。Suica 技術を利用した駅サービスに関するシステムや、鉄道運行や設備管理、列車管理に欠かせないシステムなど、鉄道に関連する幅広い分野で200 以上のシステムを開発し運用しています。
2019 年に設立30 周年を迎えた同社では、2022 年度までの4 年間を対象とした「JEIS X(Transformation)~中期経営計画2022 ~」を策定しました。この中期経営計画では、DX(デジタルトランスフォーメーション)による豊かさの創造を目指すとともに、社員を活かす施策を推進し、「信頼」というブランドの向上に取り組んでいます。
その一環として、JR 東日本グループ全体のサプライチェーンを保護するセキュリティの強化にも注力。それまで各グループ会社が独自に行っていたセキュリティ対策をグループ全体で底上げし、セキュリティレベルを統一することになりました。
上級エキスパート
グループ各社から寄せられるセキュリティ情報の集約へ
JEIS では、グループ各社でセキュリティに問題が発生した場合、連絡を受けて対応を支援しています。その際の連絡方法は、これまで電話やFax、メールなどさまざまであり、統一されていませんでした。JR東日本情報システム セキュリティ対策室 セキュリティマネジメントグループ 上級エキスパートの萩谷文氏は当時の状況をこう振り返ります。
「最初は電話で対応していたものを、途中でメールに変更するといったこともありました。以前はその断片化した情報をオフィス内のホワイトボードにまとめながら対処にあたっていましたが、コロナの影響で離れた場所で勤務するようになると、うまく情報が共有できません。また、電話にてインシデントと判断した経緯や対応内容が、その後参考にできるような情報としてまとまっていなかったことも問題でした」
さらに、セキュリティ対策室 セキュリティレスポンスグループ 上級エキスパートの米津 宏太郎 氏も、「グループ全体のアセットを管理する仕組みもありませんでした。例えば脆弱性を狙った攻撃が発生した場合、パッチが当たっているかどうかで対応が異なりますが、その情報も一元化されていません。パッチの適用情報があれば5 分で終わるインシデント対応が、その情報がないために何日も時間がかかってしまうこともあります」と話します。こうしたことから、同社では脆弱性情報の収集・管理とその対応を効率化できる仕組みが必要とされていました。
問い合わせ窓口の一元化と手作業を排除した対応を目指す
そこでJEIS では、グループ会社とのコミュニケーションを効率化するべく、受け付けた問い合わせをチケットとして管理して対応できるようなソリューションを検討しました。すでに社内で利用しているシステムをグループ全体で利用することも考えましたが、外部からアクセスすることを前提に設計されていなかった点と、オンプレミスのサーバーのメンテナンス負荷がかかる点を考慮し、新たにクラウドサービスを導入することを優先的に検討しました。
特に重視したのは窓口の一元化であり、これまで電話やメールなど、さまざまな手段で行っていた問い合わせ対応フローの整流化を目指しました。さらに、セキュリティインシデントを正しく見える化するとともに、手作業で行っていたセキュリティレポートをシステムから自動で作成できるような仕組みを検討しました。
このほかに、自社内のナレッジやユーザーに提供するナレッジを集約するほか、自動化の仕組みを取り入れることも検討しました。これまで管理が分断されサイロ化していた情報を自動でつなぎ、特定のアラートが上がった場合は自動的に定型化した対応ができるよう、システム運用や問い合わせ対応と結びついた自動化基盤を構築することを目指したのです。
こうして複数のソリューションを検討した結果、同社が選定したのがServiceNow でした。グループ会社対応のワークフローとしてCustomer Service Management(CSM)を、セキュリティイベントの運用効率化のソリューションとしてSecurity Operations(SecOps)が選ばれました。
「例えばチケット管理など、特定の領域だけであれば、単一機能の製品も多数世の中に存在しますが、求めている機能ごとに個別製品を導入すると管理も大変です。必要な機能の全領域を比較的高いレベルでカバーしていたのがServiceNow でした」と米津氏は振り返ります。
情報の一元管理と対応の効率化を実現
こうして導入が決定したのは2021 年6 月のこと。構築期間を経て、2022 年4 月にはサービスを開始し、同6 月にグループ会社に展開しています。最終的にはグループ会社100 社・監視対象のエンドポイントは6 万台までカバーすることを目指しており、8 月末時点では25 社に対応。年度内には50 社・4 万台までカバーすることを想定しています。
導入効果として、「以前はメールやFax などで来ていた問い合わせを、ServiceNow に集約できるようになりました。今も以前の方法で問い合わせが来ることはありますが、ServiceNow を介してもらうようにしているため、一元管理が実現しつつあります」とセキュリティ対策室 セキュリティソリューショングループの広瀬惇史氏は話します。
「これまでは、同じインシデントに関する電話が複数の人からかかってくることもよくありました。それが、ServiceNow で情報共有することにより、報告が1 本化されて対応状況も把握しやすくなりました。運用が簡素化され、電話の数が目に見えて少なくなりましたし、こちらから何度も確認の電話をすることもなくなりました」(広瀬氏)
また、導入前は対応ノウハウのある人に作業負担が偏ることもありましたが、情報を全体で共有することで、「定型的に対応できるものは、全員で対応できるようになっています」と広瀬氏は話します。
改善に向けた「定量化・可視化」が大きな成果
グループ各社で発生したインシデントは、これまで発生都度JEIS に報告する必要がありました。ただ、企業によってはその報告が数カ月後になることもあったほか、対処が済んでいるかどうか把握できないケースもありました。そうした悩みも解消されています。
「今回、エンドポイントなどのセキュリティ製品のアラートをServiceNowと連携させたため、細かいイベントを見逃さないようになり、インシデントの記録もすぐに把握できるようになりました。グループ会社も、報告書を記載し提出する必要がなくなりました」(米津氏)
現在では、例えば月数百件といったセキュリティイベントの数がServiceNow により明らかになっています。「これまでの体制であれば、これほどの件数に対応することは不可能でしたが、ServiceNow によって業務がスリム化されたため、今までとあまり変わらない人数で対応できています」と萩谷氏は語ります。
このように、これまで計測できていなかったインシデントの件数が手間を掛けず数値化できるようになったことが大きな効果だと米津氏は語ります。
「業務改善はデータを正しく計測するところから始まります。しかし、以前はその計測が不完全でした。セキュリティの状況を管理する仕組みを全体最適かつ合理的な形で実現できる土台を築けたことが一番の効果だと感じています。計測データは親会社のJR 東日本も確認できるので、今後その効果はより大きくなるでしょう」(米津氏)
ナレッジの有効活用や脆弱性対応機能の活用も視野に
現在は新システムを運用しつつ、日々の対応をナレッジとしてまとめている段階のJEIS ですが、今後はそのナレッジを各グループ会社自身が活用して対応できるような仕組みも検討しているといいます。グループ会社へのサービス提供のみならず、JEIS 社内の運用業務の効率化にも引き続き取り組んでいこうとしています。
また、ServiceNow のSecOps が提供する「Vulnerability Response」の機能を活用して、今後脆弱性対応もさらに発展させていく考えです。
「そのためには、グループ会社に脆弱性管理の概念を理解してもらうところから始めなくてはなりませんが、その上でインシデント対応の初期判断に必要な情報をServiceNow に集約し、さまざまな人が状況判断できるよう、SecOps を活用していきたいと思います」と米津氏は語り、JR 東日本グループのセキュリティ強化に向けてさらなる歩みを進めようとしています。