セキュリティは「コスト」から「投資」へ。専門部署の立ち上げとITリスク可視化が、社内の空気を変える

いま、あらゆる業種の企業でキーワードとなっているのが「DX推進」だ。特に建設・建築業界では人材の高齢化や人手不足が問題となり、これまで以上のスピードでの効率化が求められている。AIやデジタル技術の活用、そしてそれを支えるシステムのサイバーセキュリティ対策は喫緊の課題となっている。創立から80年以上の歴史を持ち、2025年10月に九電工から社名を変更した総合設備業、株式会社クラフティア（以下クラフティア）も例外ではなかった。2020年に設立された社内DXを推進する「DX推進部」でも、社内インフラや情報システムの刷新と同時にセキュリティを強化する必要があった。

セキュリティ対策のひとつとして同社が選択したのは、EASM（ASM）によるITリスクの可視化と把握、WAFによる外部からの攻撃に対する防御だった。今回はDX推進部 サイバーセキュリティ室 サイバーセキュリティ課長の右田和寛氏と同課の坂田萌恵子氏に、セキュアスカイ・テクノロジーの国産EASM（ASM）サービス「Dredger（ドレッジャー）」およびクラウド型WAF「Scutum（スキュータム）」の導入経緯と活用状況について話をうかがった。

 

 

サイバーセキュリティ専門部署の立ち上げが、セキュリティに対する意識改革の起点に

同社のサイバーセキュリティ室は、2024年5月にDX推進部内の組織として設立された、セキュリティ人材を集めたサイバーセキュリティを専門で扱うセクションだ。右田氏は課長としてサイバーセキュリティ室のマネジメントや社内調整・渉外活動など全体的な業務を担当。坂田氏はSOC（Security Operation Center）と連携したインシデント発生時の対応や、社員向けのセキュリティ教育や訓練を担当している。2025年度は新たなサイバーセキュリティ室の取り組みとして、ランサムウエア感染を想定した大規模な訓練を、現場だけでなく経営層や総務などの部門を交えて実施したという。

DX推進部が立ち上がる以前は、セキュリティを含めたIT投資はコストとして認識されがちだったが、DX推進部及びサイバーセキュリティ室の設立により社内システムのセキュリティ対策を積極的に推進する体制が確立できたと、右田氏は語る。サイバーセキュリティ室としてまず迫られたのは、社内のITリスクの洗い出しだった。

「感覚的に脆弱性の存在は把握していたものの、どの箇所にどの程度の緊急性が高い脆弱性があるかを正確に把握し、どのような優先度で対策を行っていくべきかを見極める必要がありました。そのためには、個々の脆弱性を確認する前提として、まず外部に公開されている社内システムやドメインを含めた、アセット全体の状況を把握することが重要だと考えました。サイバーセキュリティ室の設立直後からその準備を進め、2024年7月に『Dredger』をトライアル導入しました。対象となる、九電工（※クラフティアの旧社名）および関連会社のドメイン数は40〜50ほどありましたので、網羅的に調査しました」（右田氏）

「Dredger」導入の目的は、未把握分も含めた現状のIT資産の洗い出しとIT資産に潜むITリスクの可視化だ。「Dredger」は、外部と接続されている自社のIT資産すべてに対し、セキュリティリスクを特定するためのスキャンを行い、その結果をダッシュボードで可視化できる。外部に接続されているExternal Attack Surface（外部攻撃対象領域）の状況を把握して初めて、具体的な対処が検討できるようになるのだ。

「セキュリティ投資が欠かせないことを、経営層に訴えようにも、現状を可視化しなくてはその必要性を正しく伝えられません。『Dredger』の導入目的には、攻撃を受けやすい箇所やその件数を定量化して可視化することに加えて、社内に危機感を正しく認識してもらいたいという意図もありました。そのプロセスは、今後のセキュリティ対策として必要な具体的な対策とその予算の根拠にもなりました。実際に『Dredger』を運用したことで経営層の理解も得られましたし、システム開発チームとも脆弱性の有無や対策優先度などを共有できるようになり、セキュリティ対策についてのコミュニケーションが活性化しました」（右田氏）

「『Dredger』は1年くらい、ユーザーヒアリングも含めて積極的に活用していました。『Dredger』を開発されているセキュアスカイのエンジニアともコミュニケーションを取りながら、その1年の間にも、新たな脆弱性の検出に対応したり、チェック対象となる範囲が広がるなど、防御技術のアップデートを積極的に行っているとも感じました。またこちらの要望をサービスメニューに反映してもらえたことで、セキュアスカイのユーザーサポート力の高さを感じていました」（坂田氏）

「Dredger」でITリスクの可視化を行い、「Scutum」で最新の脆弱性を防御

DX推進部の立ち上げ、サイバーセキュリティ室の設立、そして「Dredger」の運用開始により、同社のセキュリティ対策は新たな軌道へと乗り始めた。しかし、DX推進部およびサイバーセキュリティ室のリソースにも限りがあり、社内システムに対する外部攻撃の対処だけに専念するのは難しい。可用性を求められるシステムもあり、改修のためのシステム停止に対するリスクも生じる。「システムを止めずに、防御する」対策として選んだのがWAF「Scutum」だったという。WAF導入・選定に当たっては「九州電力出身で、セキュリティ部門に所属していた折にWAFの性能比較を行った経験を持つメンバーがいたので、その情報を参考にしました」と右田氏は語る。

 

 

「加えて、セキュアスカイからのWAF比較レポートでは、他のWAF製品と比較したときの防御性能の高さや、その裏付けとなる技術に対する評価などがまとめられていました。営業資料にありがちな誇張などもなく、エンジニア目線でも納得ができましたので、『Scutum』であれば問題ないと感じました」（右田氏）

「『Scutum』についても、ユーザーサポートの対応に非常に満足しています。また、『Scutum』の月次レポートからは、リアルタイムの攻撃方法のトレンドや、今後増加が懸念される攻撃なども見られます。レポート結果は監視運用に活用していく予定です。クラフティアの社内システムや、提供しているソリューションも含めた全体に対する攻撃数などを経営層や全社員向けに報告する機会にも、レポートが活用できると考えています」（坂田氏）

「四半期に1度、経営層へセキュリティ状況を報告する機会が設けられていることもあり、危機感を正しく伝えるのは、非常に重要だと感じています。サプライチェーン攻撃や、企業の情報漏洩被害の報道は日々目に入りますし、ひと事ではありません。先日、経営層と一緒に大規模サイバー攻撃の対処訓練を実施したときは、大手企業へのサイバー攻撃で物流が止まったタイミングが重なり、危機感の感度が高くなっているなかで訓練に臨みました。これだけ一般的にサイバー攻撃が増えている現状で、『うちの会社だけ大丈夫』といえる根拠はありませんので、日々アンテナの感度を高められるようにしています」（右田氏）

 

ITリスクの可視化から始まる、社内のセキュリティ意識向上への取り組み

同社のセキュリティ対策は「Dredger」「Scutum」の導入・運用だけにとどまらない。特に力を入れているのが社員へのセキュリティ教育だ。エンジニアはもちろん、経営層からすべての社員に至るまで、セキュリティ意識の向上は欠かせない。加えて、セキュリティ管理の司令塔となるサイバーセキュリティ室の役割も大きくなるため、セキュリティ人材の社内育成と業務効率化との両立が鍵になってくると右田氏と坂田氏は語る。

「経営層向け、全社員向け、エンジニア向けと、対象者や職種によって内容は変わりますが、いま伝えなければならない、最新のセキュリティをテーマに、外部講師などによるセミナーを実施しています。今後も定期的なセキュリティ教育は必須だと考えています。特に重要なのは、セキュリティ意識の底上げです。技術者であればシステムを導入するうえで持っておくべきセキュリティであるとか、社員向けなら危険なメールは開かない、といった話ですとか。自社以外の関連企業やパートナー企業も含めて教育を行っています」（右田氏）

「当社のサイバーセキュリティ室のなかでの効率化も、課題だと考えています。SOCとしての作業を自動化するSOARツールの導入を活用して、限られた人的リソースで効果的な監視と対応を実現したいです。また、セキュリティ人材の社内での育成も検討しています。現状はさまざまな部門からセキュリティ室に異動した人材が実務を通じてセキュリティスキルを身に付けている状態ですが、今後は、セキュリティ人材を継続的に育成するためのロードマップを整備し、計画的な人材育成を進める必要があると考えています」（坂田氏）

 

 

2025年度からの5年間にわたる同社の中期経営計画では、「機密情報漏洩0件」というかたちで、セキュリティについての目標も示されている。セキュリティの司令塔となるサイバーセキュリティ室では、社員全体の意識向上とともに、セキュリティサービスの導入や設備の更新、将来的なゼロトラストアーキテクチャへの移行など、全方位で対策を進めているという。そのなかで相互理解への変化の手応えも感じていると右田氏らは語ってくれた。

「セキュリティ対策の運用は、現場の実情と乖離しないよう、バランスが求められますね。セキュリティの強化と利便性の向上は表裏一体であり、どちらか一方に偏ると、形骸化や業務効率の低下を招きかねません。そのため、PCやスマホの業務活用においては、利便性と安全性の両立を意識し、対策の目的を共有しながら継続的に見直していく姿勢が求められると感じています。」（坂田氏）

「昨年度よりも今年度のほうが、セキュリティに関する話をする機会が増えています。例えば、支店や技術部門の管理職が集まる会議などで、セキュリティの話をしてほしいという声が、社内から上がるようになってきたのはいい傾向だと感じています。そのニーズに応えられるよう、系統立てた話にしたり、セミナーをアーカイブ化したりすることを考えています」（右田氏）

セキュリティ意識を継続的に高めるための、専門家によるコミュニケーションサポートに期待

「Dredger」および「Scutum」の導入により、新たに見えてきた課題もある。「Dredger」による管理は継続性が求められ、社内および社外への情報共有の必要度合いも高まっている。右田氏、坂田氏それぞれの立場から「Dredger」「Scutum」への、そしてセキュアスカイのサポートに対する今後の期待をうかがった。

「私の役割はどちらかといえば管理側になるので、複数のFQDNの管理情報や管理要素を1つの画面でチェックできるような機能が『Scutum』にあるとうれしいです。また、経営層へ報告しやすくなるよう、攻撃トレンドや防御状況の可視化が月次・四半期レポートで実現できると助かります。また、セキュアスカイの教育サービスも利用していまして、直近では、DX推進部とシステム開発子会社の技術者を対象とした『開発者・サイト運営者向けセミナー』を実施する予定です」（右田氏）

「『Dredger』で指摘された脆弱性の改修を、関連会社へ依頼する際の情報共有が課題と感じています。関連会社の窓口担当が総務部門になっているケースも多く、『Dredger』の報告書だけでは、問題の大きさや危機感が伝えきれないこともあります。そもそも『脆弱性とは』とか『CVEとは』というところから説明を要するケースや、『これは絶対に修正しなければならないのでしょうか？』という質問に対応することもありますので、システム担当以外の方への伝え方には工夫が必要だなと感じています」（坂田氏）