【採用事例】京浜急行電鉄株式会社さま ~第三者目線の評価を取り入れ、対策を最適解~(リスクアセスメント)
SOMPO CYBER SECURITYでは、セキュリティ対策の第一歩であるリスクの可視化による現状把握、それに続く効果的な対策計画の立案をサポートするサイバーリスクアセスメントサービスを提供しています。今回は、サイバーリスクアセスメントサービスを3年連続でご利用いただき、セキュリティ態勢の改善を実感しておられる京浜急行電鉄株式会社さまにお話をうかがいました。
左から グループ統括部 グループICT推進担当 課長 川口貴光氏、グループ統括部 グループICT推進担当 課長補佐 大橋貴之氏
京浜急行電鉄株式会社のご紹介
その赤い車体が沿線住民に親しまれ、京急の呼び名で知られる京浜急行電鉄株式会社の前身である大師電気鉄道株式会社の創立は1898年。以来、社会や人々の暮らしの変化に寄り添い、東京・神奈川を中心に、交通事業をはじめ不動産、レジャー・サービス、流通事業などを行う都市生活創造企業へと変貌を遂げた京急グループの成長の背景には、地域の方々との密接な連携の積み重ねがあります。この先も持続的な成長を図り、社会の発展に貢献し続けるために、グループ理念のもと、変わりゆく事業環境と向き合いながらビジネスモデルを進化させ続け、お客さまに真に選ばれるサービスや沿線を提供する企業を目指します。
重要インフラを担う責任
東京2020オリンピック・パラリンピック競技大会の開催国として、日本へのサイバー攻撃が増加するのではないかというのはSOMPO CYBER SECURITYでも当時危惧していた事態です。標的となり、攻撃された場合、甚大な被害に繋がりかねないのが重要インフラであり、今回、インタビューさせて頂いた京浜急行電鉄株式会社が担う鉄道事業も重要インフラに該当します。東京大会がサイバーセキュリティの重要性を再認識するよい契機になったと語るのは、京浜急行電鉄株式会社のグループ統括部でグループICT推進担当を務める川口 貴光氏です。
2019年より3年連続で当社が提供するサイバーリスクアセスメントを実施しており、グループ全体でのセキュリティの底上げのための課題の可視化と体制強化を着々と進めている京浜急行電鉄、今回はその推進の原動力であるICT推進担当を務める川口 貴光課長と大橋 貴之課長補佐にアセスメント実施の背景やその効果などのお話をうかがいました。
利用背景・課題
i. ここ10年ほどの鉄道関連産業を取り巻く環境の変化は?また、それに伴う貴社の役割の変化は?
内閣サイバーセキュリティセンター(通称:NISC)が定める重要インフラのサイバーセキュリティに係る行動計画では、重要インフラとして14分野が特定されており、その中の一つが我々が従事する「鉄道」です。オリンピック・パラリンピック競技大会の東京での開催が、サイバーセキュリティの重要性を再認識する良い契機になったのではないかと思っています。過去の開催国の状況から見ても、大会期間中は開催国である日本で大規模なサイバー攻撃を受けることは容易に推測できたこともあり、まずは、大会の開催・運営を支える重要サービスにおけるサイバーセキュリティの確保を目的としたリスクアセスメントの取り組みが2016年に政府主導でスタートし、2020年には国土交通省の支援で交通ISACが発足するなど、官民が一体となった取り組みが行われてきました。
実際に当社でも、情報システム部門がIT系インフラを中心に進めていたサイバーセキュリティ対策を、鉄道事業を支えるOT系インフラまで拡大し、鉄道部門と一体となってサイバーセキュリティ上の安全性の向上に取り組んできました。
組織委員会の発表によれば、大会期間中のサイバー攻撃は4.5億回(ロンドン大会の2倍以上)に達したと報道がありましたが、当社も含めて、大会運営に影響を与えるような被害はなかったと総括されています。
大会終了後も、交通ISACでは前向きな取り組みを継続していますし、国土交通省から出されている「情報セキュリティガイドライン」や「情報セキュリティ対策のチェックリスト」なども参考にしつつ、当社もたくさんの刺激を受けながら、自社のサイバーセキュリティ対策の参考にさせていただいています。
ii. 前出の環境の変化、業務への影響により、どのような苦労や課題があったか?
交通・運輸サービスは、ヒトとモノの円滑な移動を実現することで、国民生活や社会経済活動の維持・発展に必要不可欠な役割を担っています。当社も重要インフラ分野に指定されておりますので、安全安心なサービス提供を確保していくため、サイバー攻撃からの防護はもちろんですが、万一に備えた初動や対処体制を構築しておくことが、とても重要であると考えています。当社では、私たちメンバーを中心としてインシデントレスポンスとSOCの役割を併せ持ったチームを運営しており、メールやインターネット利用などの外部ネットワークとの結節点を常時監視し、攻撃予兆分析やインシデント発生時の初動と対処を担っています。私自身が着任したのは2017年頃でしたが、当時から仕組みとしては出来上がっていましたので、外部機関などに話をうかがいながら、実効力のある組織として体系化し、整備していくということを行ってきました。
最近では、Emotet(エモテット)などのマルウェア感染を狙った非常に巧妙な標的型攻撃メールや公式Webサイトを狙った多くのサイバー攻撃を検知しており、常にサイバーセキュリティ対策の見直しと改善に迫られていると実感しています。このような課題に対して、例えば、メール環境やインターネットプロキシ環境と付帯するセキュリティ対策をクラウド化することで高度な検閲を可能にしたほか、公式Webサイトにクラウド型WAFを適用するなど、オンプレミス環境では限界のあった対策もクラウドサービスを有効活用することで、着実に成果をあげてきていると実感しています。
利用経緯・理由
i. アセスメントを実施しようと思ったきっかけは?
サイバー攻撃の手口は、日々、多様化・高度化しており、その被害も甚大化しているのが現状です。
サイバーセキュリティ対策は、自組織が自らの責任において実施するものではありますが、当社にはサイバーセキュリティに精通した人材がいるわけではありませんので、東京大会を迎えるにあたって一抹の不安を抱えておりました。
重要インフラを担う事業者としての社会的責任を背景に、本領域に精通した専門家にお力添えいただき、最新の攻撃手法の潮流や技術動向に鑑みても、私たちの取り組みが適切なサイバーセキュリティ対策として機能しているのか?抜け漏れはないか?今すぐに改善すべき箇所はないか?など、第三者目線でしっかりと評価していただく必要があると考えたのがきっかけです。具体的には、2019年から外部の第三者評価の取り組みを開始し、2020年からはSOMPO CYBER SECURITYのサービスを利用させていただいています。
ii. 当社のアセスメントサービスを知ったきっかけは?至った決め手は?
京急グループでサイバー保険を見直す機会があり、損保ジャパン社からセキュリティ対策の一助になるのではないかとアセスメントの打診を受けて、紹介されたのがきっかけとなります。これまでも内部チェックは行っていましたが、さらに、第三者目線で評価いただくことで、新たな気づきや有効な対策事例などの知見を深めることができ、今後のグループ全体でのセキュリティ強化に繋がるのではという思いもあって、サイバー保険の加入と併せて実施させていただきました。
アセスメント前に心がけていること
i. アセスメントされる側として特に注意していることは?
適切に評価いただくためには、不都合な箇所こそ、情報を提示することが重要と考えています。
当社では技術的な対策が取られていても、グループ全体でみれば対策ができていないところやガバナンスが徹底できていないところがあります。当社で統合環境と呼んでいる、外部との結節点にある環境はグループ共通で利用する方針を掲げて進めてきましたが、統合環境をまだ利用していないグループ会社のセキュリティ対策やリスク管理が十分でないという実態もありました。もちろん、リスクアセスメントでも実際にご指摘を受けています。リスクや改善の余地がある部分の洗い出しを行い、そのような箇所を改めて認知したうえで、改善に取り組んでいくことこそが、リスクアセスメントの目的だと思いますので、可能な限りの情報提示を心がけています。
利用の所感や効果、今後の展開・展望
*実際の導入効果や今後の展望を含めた詳細はPDF版からご覧いただけます。
サイバーリスクアセスメントのご紹介
SOMPO CYBER SECURITYでは、セキュリティ対策の第一歩であるリスクの可視化による現状把握、それに続く効果的な対策計画の立案をサポートするサイバーリスクアセスメント コンサルティングサービスを提供しています。
今回は代表的なリスクアセスメントサービスを事例として紹介していますが、サイバーリスクアセスメント コンサルティングサービスでは、他にもペネトレーションテストなど、各組織のニーズと予算に合わせた組み合わせでご利用いただけるよう、豊富なオプションをご用意しています。
SOMPO CYBER SECURITYでは、コラムやお役立ち資料、セミナー情報などを随時メールマガジンにて配信しています。ご登録がまだの方は下記のボタンより是非ご登録ください。
