西日本鉄道がEASM（ASM）で実現したグループ企業のITリスクの“可視化”と管理の“効率化”

西日本鉄道株式会社【事例インタビュー】

企業のWebサイトやクラウドサービスの利用が急速に拡大する中、自社の管理下にあるIT資産（Webサイトやサーバー、ルーター等）を可視化し、継続的にセキュリティリスクを評価する「EASM（ASM)  *1」への関心が高まっている。2023年5月には経済産業省からASMの導入ガイダンス *2が発表され、企業のセキュリティ対策における重要性が注目されている。

九州で110年以上の歴史を持つ運輸・物流企業の西日本鉄道株式会社（以下、西鉄）も、EASM（ASM）の導入に積極的に取り組む企業の一つだ。同社が中核となる西鉄グループでは、国内外合わせて200以上のWebサイトと100を超えるドメインを運用している。DX推進に伴いクラウドサービスの利用が拡大する中、外部に公開されたIT資産の把握と継続的な脆弱性管理が課題となっていた。今回は、西鉄のDX・ICT推進部でセキュリティとネットワークの管理を担当する藤木亮介氏と、西鉄情報システム株式会社のプラットフォームサービス部でセキュリティチームに所属する原田祐輔氏に、セキュアスカイ・テクノロジーの国産EASMサービス「Dredger（ドレッジャー）」の導入経緯と活用状況について話を伺った。

 

*1：ASM（Attack Surface Management）：「Attack Surface」とは、インターネットからサイバー攻撃を受ける可能性がある領域を指し「攻撃面」や「攻撃対象領域」などとも呼ばれます。Webサーバー、ネットワーク機器、PCなどのエンドポイント端末、メールなど、対象は多岐にわたります。「Attack Surface Management」は、インターネットから攻撃可能な領域を把握し、それらに存在する脆弱性などのリスクを継続的に検出・評価する⼀連のプロセスを指します。

EASM（External Attack Surface Management）：インターネットから攻撃可能な領域を管理する技術やソリューションです。Attack SurfaceのなかでもWebサーバやネットワーク機器等のインターネットから攻撃可能な部分に着目します。経済産業省から発表されている「ASM（Attack Surface Management）導入ガイダンス」内では、 「ASM」と「EASM」は同じ意味として取り扱われています。

*2：経済産業省「ASM（Attack Surface Management）導入ガイダンス～外部から把握出来る情報を用いて自組織のIT資産を発見し管理する～」（https://www.meti.go.jp/press/2023/05/20230529001/20230529001.html)

 

ITリスクの管理と脆弱性対応における課題とは

西鉄グループでは、「ICT規程」と「情報セキュリティ規則」に基づいた情報セキュリティ管理体制を構築し、グループ全体で順守している。特に海外拠点を含めたガバナンス強化を重点戦略の一つに掲げており、情報セキュリティ環境の整備を進めている。また従業員への情報セキュリティ教育にも注力しており、海外拠点を含む全従業員を対象としたe-ラーニングや、標的型攻撃メールへの対応訓練を定期的に実施するなど、組織全体でセキュリティ意識の向上に取り組んでいる。

藤木氏は西鉄グループ全体のセキュリティとネットワークの管理を担当している。グループのネットワークの運用については西鉄情報システムと連携して進めており、グループ全体のセキュリティ管理を統括する立場にある。原田氏は実務面でのセキュリティ対策の実装と運用を担当している。今回導入したDredgerについては、β版の段階から実際に利用して機能検証を行い、現在は本格導入後の運用も手がけている。

同社が抱えていたというITリスク管理についての課題と、その要因および実情はどのようなものだったのだろうか。藤木氏によればグループ企業のWebサイトが増加し、状況把握に多大な手間がかかっていたという。

「グループ全体で見ると、Webサイトが徐々に増えていき、特にクラウドサービスやシステムなど、外部に置かれるものが増加していました。Webサイトを含むシステム導入時には検討段階で私たちDX・ICT推進部に伝えてもらうルールがあったものの、把握できていないものもありました」（藤木氏）

 

 

原田氏は脆弱性対応を迅速に行うためにも、IT資産管理が必要だったと語る。各システムの担当者へ個別にヒアリングをかけたり、集めた情報をExcelでリスト化する必要があったりと、状況把握に非常に手間がかかっていた。そこで、これらのIT資産を一元管理でき、可能な限り自動収集ができるツールが必要だと考えていた。

「脆弱性の情報が出たときの対応が大きな課題でした。例えばLog4jの脆弱性が発見された際は、影響の有無を確認するためにグループ会社の担当者全員に調査をお願いしなければならず、かなりの工数がかかってしまい、影響を把握するまでに多大な時間を要しました。また、あらかじめ報告のないクラウド上のサイトは把握できないという問題もありました。特に海外では現地法人が独自にサイトを立ち上げるケースもあり、把握しきれていないものも存在していました。さらに、開発段階のテストサイトなども、申請があまり上がってこない傾向にありました。そのため、グループ全体のIT資産を網羅的に把握し、迅速にリスク対応できる体制が必要だと感じていました」

Dredgerのβ版からの機能検証で実現した、理想的なEASM（ASM）の導入

そこで同社が導入を検討したのが、外部からアクセス可能なIT資産を把握し、攻撃面の可視化と管理を実現するEASM（ASM）ソリューションだ。セキュアスカイ・テクノロジーの「Dredger」をβ版から利用し、導入を決定した経緯と理由を、藤木氏と原田氏は次のように語る。

 

 

「導入を検討し始めた2023年頃は、経済産業省からASMの導入ガイダンスが出されたタイミングで、さまざまなベンダーからアプローチがありました。当時はASMツールを提供している企業はまだ少なく、多くは人手を介したサービスが主流でした。そういったサービスは費用が高額な上、自分たちの好きなタイミングで調査できないという課題がありました。そんな中、九州サイバーセキュリティシンポジウム（KYUSEC）を通じてセキュアスカイ・テクノロジーと出会い、β版から利用する機会を得ました」（藤木氏）

「『Dredger』はβ版の段階から使わせてもらい、私たちからセキュアスカイ・テクノロジーへいろいろな機能要望を出しました。例えば、当初はアセットに登録できるのはFQDN（WebサイトのURLにあたる情報）のみでしたが、IPアドレスでも登録できるように要望したところ、迅速に対応してくれました。また、アセットに管理用のタグを付与できる機能や、放置されているサイトや、サーバ会社の変更による意図しない設定変更、キャンペーンサイトの管理など、私たちが課題として感じていた部分への対応が『Dredger』で可能になることを確かめられました」（原田氏）

ネットワーク運用等の実務を担当する、グループ会社の西鉄情報システムで試用した結果、Dredgerの導入が決定された。導入によりグループ内のWebサイトの把握が自動的に行えるようになり、課題だった継続的なIT資産管理が実現したと藤木氏と原田氏は語る。

「導入前はグループ全体のIT資産の把握が大きな課題でしたが、『Dredger』の導入によってオンプレミス環境にあるIT資産だけでなく、クラウド上のシステムについても把握できるようになりました。また、導入後のセキュリティチェックについても継続的な監視や把握が容易になりました」（藤木氏）

「社内での『Dredger』運用の流れは、まず新しいWebサイトの開設申請があったときや、新しいFQDNを把握した時点で、該当するドメインを初期シード *3として『Dredger』に登録するところから始まります。私たちのチームではネットワーク管理も担当しているため、当社が管理しているDNSサーバを利用する際には、利用開始と同時に管理対象にできる仕組みになっています。また『Dredger』で、定期的なアセットディスカバリー *4やリスクスキャンを実施しており、新たに作成されたサブドメインも含めて自動で検出できます。そのため、申請が漏れていた場合でも、ディスカバリー結果をもとに私たちのチームで管理リストに追加できるようになったほか、脆弱性などのリスクもいち早く検出できるようになりました」（原田氏）

 

 

また、原田氏が導入効果としてあげたのが、セキュリティ面だ。新たな脆弱性が第三者機関から公表された際、対象となるサイトの管理者のみに対策を依頼できるようになり、効率が大幅に高まった。加えて、過去に使用していたドメインの管理という想定外の活用もDredgerで行えるようになったという。

「脆弱性の調査についても、以前は全グループ会社に確認をかける必要がありましたが、今は影響を受ける可能性のあるサイトを特定して、該当する管理者にのみ連絡できるようになっています。これにより、開発者側の負担も大きく軽減されました」（原田氏）

 

*3：初期シード：「Dredger」における「初期シード」の正確な定義は、 eTLD+1 (Effective Top Level Domain + 1) です。ご利用のお客様にご登録いただく「お客様が保有しているドメインのうちトップレベルにあたるもの（サブドメインを除いたもの）」です。

*4：アセットディスカバリー：「Dredger」における「アセットディスカバリー」とは、お客様の組織に関連する可能性があるIT資産（アセット）を自動的に探索・発見する機能です。

ITリスクの可視化・把握から、サイト管理者の自律運用を実現できる体制を目指す

企業のデジタルトランスフォーメーション（DX）が加速する中、クラウドサービスの活用やWebサイトの構築など、外部に公開されるIT資産は増加の一途をたどっている。その一方で、Log4jの脆弱性問題に代表されるように、新たなセキュリティリスクも次々と発見されており、企業にとってIT資産の把握と継続的な脆弱性管理の重要性は一層高まっている。

西鉄グループでは、EASMサービス「Dredger」の導入により、外部公開されたIT資産の可視化と脆弱性への対応に取り組んできた。しかし、セキュリティ人材の不足や、グループ各社における意識・知識レベルの違いなど、新たな課題も見えてきている。こうした状況を踏まえ、今後の同社に求められる役割、そしてセキュアスカイ・テクノロジーのようなセキュリティベンダーに求められる役割について、見解を語ってくれた。

「私たちの理想としては、『Dredger』で検知・収集した情報をもとに、サイト管理者が自身で状況を確認し、判断できるようになることです。ただ、IT企業ならまだしも、事業会社にはさまざまな方がいますし、業界全体としてセキュリティ人材が不足していますので、これはすぐには実現できるかといったら難しいでしょう。それを踏まえた『Dredger』の機能面での要望としては、レポートの充実ですね。現状でも脆弱性の種類や緊急度、対象となるシステムのバージョンなどがレポートで提供されていますが、レポート結果をそのまま渡しても、開発者側が読み取れない可能性があるかなと感じています。私たちのほうで脆弱性への対策や具体的なリスクを書き加えた、カスタマイズしたレポート結果を提供しています。EASM（ASM）での対応が可能か、妥当かという検討は必要になりますが、IPAやJPCERTが発表するリリースと合わせて、脆弱性への対策方法もレポートに載るようになると、緊急時に役立ちますし、サイト管理者が自律的に対応できるようになっていくと思います」（原田氏）