エネルギー大手のJERAは、ITシステムにおける脆弱(ぜいじゃく)性管理の取り組みを強化し、セキュリティリスクの低減を図っている。その経緯や効果などについて、同社デジタルインフラサービス部 サイバーセキュリティサービスユニット長の山川哲司氏に聞いた。
JERAは、2015年に東京電力と中部電力の合弁会社として発足し、国内火力発電容量の約半数を占める発電事業と、液化天然ガス取扱量が世界最大規模という燃料事業を中核としている。山川氏が所属するデジタルインフラサービス部は、同社のグローバルビジネスをデジタルで推進する重要な役割を担い、重要インフラ事業者としての立場からもサイバーセキュリティは極めて重要な取り組みになる。
山川氏によると、同社では2019年からITシステムのフルクラウド化を推進しており、現在では、戦略的パートナーシップを締結している米Microsoftを含めたマルチクラウド環境でITシステムを運用。IaaS上で稼働する仮想サーバーは400台以上の規模という。
脆弱性管理の取り組みは、以前には外部の協力企業による脆弱性評価を年1~2回の頻度で実施していたが、近年に脆弱性を悪用するサイバー攻撃による被害が国内外で多発し、同社のITシステムの規模も拡大していることから、脆弱性管理の取り組みを強化すべく、2024年にTenable Network Security Japanの脆弱性管理プラットフォーム「Tenable Vulnerability Management」を導入した。
脆弱性評価から対応までの期間を7割短縮
JERA デジタルインフラサービス部 サイバーセキュリティサービスユニット長の山川哲司氏
山川氏によれば、以前の脆弱性管理では、評価の実施頻度が年1~2回にとどまっていたことに加え、評価の実施から各システムの担当者への対応依頼までに少なくとも10日程度を要していたことも課題だった。
「以前は、脆弱性評価の結果を表計算シートに取りまとめて、システムごとの対応の優先度などを検討した上で、(サイバーセキュリティサービスユニットから)各システムの担当者に対して、文章で具体的な修正対応などの作業を依頼していました。しかし、脆弱性を悪用したサイバー攻撃のリスクが高まっており、システムの規模が拡大するにつれて作業量も増えていたことから、脆弱性管理の自動化や効率化を図る必要がありました」(山川氏)
同社では、以前にTenableの脆弱性管理ツール「Tenable Nessus」を活用しており、脆弱性管理の強化では、その経験や習熟のしやすさといった点を評価して、Tenable Vulnerability Managementを選定したという。
その導入は、Tenable Network Security Japanの支援を活用しながら2023年下期に検討に着手し、同12月~2024年1月に検証、同3~5月に監視対象システムやシステム担当者の権限などの設定、評価実施のスケジュール調整、トレーニング、マニュアルの準備などを行い、同6月に本格的な利用を開始した。
現在では、同社およびシステム環境を共有しているグループ各社のシステムを対象として、脆弱性の評価を毎月実施している。評価結果は、Tenable Vulnerability Managementのダッシュボードを通じて、検出された脆弱性の内容やリスク、対応の優先度といった情報がシステム担当者に提示され、優先度の高いものを迅速に修正したり、低いものを適切に管理してリスクの顕在化に備えたりといったことができるようになった。
これによって約10日を要していた期間も3日程度に大幅短縮され、サイバーセキュリティサービスユニットや各システム担当者の作業も大きく効率化されたという。「以前であれば、脆弱性の存在を把握するまで最長で1年かかってしまっていたところ、現在ではより短い期間で対応できるようになりました」(山川氏)
同社は、経営レベルからサイバーセキュリティを推進しており、今回の脆弱性管理の強化も重要な取り組みの1つとなる。これまでにセキュリティインシデントは発生していないとのことだが、山川氏は、重要インフラ事業者としてサイバーセキュリティのさらなる推進に務めていくと述べる。
「例えば、2024年頃から生成AIの活用やセキュリティのリスクが注目されており、当社でもその活用はもちろん、情報漏えいや悪用攻撃などへのリスクに率先して対応していくなど、脆弱性管理の高度化を含めセキュリティレベルの向上を図っていきたいと考えています」(山川氏)
