社会インフラを支える鉄道事業を中核としながら、多岐にわたる事業を展開するJR西日本グループ。同社は2025年に開催された大阪・関西万博において、会期中に重大なセキュリティインシデントを発生させることなく乗り切った実績を持つ。その裏には、経営トップから現場の社員に至るまで、グループ全体で取り組んできた「組織」「人」「技術」の三位一体のセキュリティ施策があった。

6月8日に開催されたWebセミナー「TECH+フォーラム IT×OTセキュリティDays 2026 Jun. 事業を止めないセキュリティ ITセキュリティDay - 制度と技術の統合対策 -」において、西日本旅客鉄道(JR西日本) 共創ソリューション本部 システムマネジメント部 情報セキュリティ室 セキュリティ技術 兼 企画戦略ガバナンスの西澤優里氏が、同社の取り組みについて紹介した。

万博を支えるJR西日本、グループ75社・550人のCSIRT体制

JR西日本グループは、北陸、中国、そして福岡県の一部にまで及ぶ広大な西日本エリアをカバーするモビリティ事業に加え、流通業、不動産業、ホテル・旅行業などの非鉄道事業も幅広く展開している。

ネット予約サービス「e5489」や公式アプリ「WESTER」といった既存のデジタルサービスに加え、2025年には国内鉄道事業者で初となるコード決済サービス「Wesmo!」を開始するなど、積極的なDXを推進。こうした取り組みが評価され、2026年にはDX銘柄にも選定された。

「事業の多様性はお客さまの利便性を高める強みである一方、守るべきITシステムやサービスが多岐にわたるため、セキュリティ設計の難しさにも直結しています」(西澤氏)

サイバーセキュリティの重要性がかつてなく高まるなか、同グループはCISOを委員長とする情報セキュリティ委員会を設置し、その下部組織として「重要インフラ部会」と「JR西日本グループCSIRT(JRW-CSIRT)」を運営している。JRW-CSIRTは、グループ75社から集められた約550名の対象窓口となるメンバーと、各箇所に配置される約2100名のサポートメンバーで構成される大規模な組織だ。平時はセキュリティ情報の共有や教育による意識醸成を行い、有事には迅速な初動対応をサポートする。

また、IT人材が不足しがちなグループ各社に対しては、「グループセキュリティアドバイザー(GSA)」と呼ばれる専門メンバーが伴走し、課題の可視化から実効性ある対策の実行までを支援している。さらに、JR西日本グループとして大阪・関西万博期間中においては、国家サイバー統括室(NCO)や国土交通省、警察機関、博覧会協会など外部機関とも密接に連携し、有事に向けた「顔の見える関係」を構築した。

  • 大阪・関西万博期間中の対応体制

    大阪・関西万博期間中の対応体制

「開いてしまった」より「報告してくれた」を評価する文化

JR西日本グループのセキュリティ対策のなかで特に注目すべきは、「人」にフォーカスしたアプローチだ。

グループでは約5万名の全役員・社員を対象に、年4回の標的型攻撃メール訓練を実施している。この訓練において同グループが最も重視しているのは、「速やかに報告してくれたことに『ありがとう』と言う文化」である。

「セキュリティインシデントにおいては、自分自身がミスをして不審なメールを開いてしまうことは起こり得ます。重要なのは、いかに早くCSIRTに報告・相談してもらえるかであり、それが復旧の肝になります。私たちは、開けてしまったことをとがめるのではなく、報告してくれたことにまず『ありがとう』と伝える文化の醸成を大事にしています」(西澤氏)

この方針は大きな成果を上げている。年々訓練メールの文面を巧妙化させているため開封率自体は上がっているものの、開封時に報告をする割合は84.6%へと向上。さらに、「開封したのに報告しない(未報告者率)」の割合は、KPIとしていた「1%未満」を大きく下回る0.6%を達成した。公式マスコットキャラクター「にし〜さ〜」を活用した啓発ポスターやステッカーの配布なども、親しみやすいセキュリティ文化の浸透に一役買っているという。

  • 公式マスコットキャラクターを用いた啓発活動の例

    公式マスコットキャラクターを用いた啓発活動の例

また、情報セキュリティ業務に取り組む社員のモチベーション向上を目的とした「情報セキュリティリーダ認定制度」を導入し、情報処理安全確保支援士や情報セキュリティマネジメント試験といった国家資格の取得を推進。実践的な対応力を養うために内製開発したCTF(Capture The Flag)環境を用いた演習も実施しており、これにはCISO自らも参加している。

経営トップ全員がインシデント対応を疑似体験

組織的な対策の要となるのが、インシデント対応訓練の徹底である。JRW-CSIRT加盟の全103組織において、保有する重要システムの停止や機密情報漏えいを想定した訓練を毎年実施。この訓練の最大の特徴は、各組織の経営トップが必ず参加することだ。

「『システムが利用できない』という第一報から始まり、初動対応、社外への公表内容の検討、原因調査、そして復旧・再開の判断まで、インシデント対応の6つのステップをなぞります。これにより、どのグループ会社で有事が発生しても、トップがインシデント対応の経営判断を経験している状態を維持しています」(西澤氏)

訓練を終えた経営層からは「体系的になぞることで、万一の際に慌てずに済む」「自分ごと化できた」といった声が寄せられている。

  • インシデント対応訓練の6つのステップ

    インシデント対応訓練の6つのステップ

アタックサーフェス管理と生成AIガバナンスへの対応

高度化するサイバー攻撃からIT資産を守るための技術的対策も抜かりない。JR西日本は、アタックサーフェス管理(ASM)ツールを導入し、インターネット上に公開されている自社のデジタル資産を攻撃者の視点で常時監視・分析している。見つかった脆弱性情報はCSIRTを通じて迅速に共有・対処する仕組みを構築した。

また、近年脅威を増しているWebサイトやメールへの攻撃対策として、主要WebサイトへのクラウドWAF/CDNの導入のほか、グループ会社向けのセキュアな「公開Webサイト基盤サービス」をITシェアードサービスとして提供。さらに、なりすましメールから顧客を守るため、DMARCポリシーを厳格化するとともに、送信元メールに自社ロゴを表示させる技術を実装することで、真正性を担保する取り組みも始めている。

急速に普及する生成AIについても、「生成AI規程」および「利用・開発ガイドライン」をいち早く整備。専門部署と連携したガバナンス体制を敷くことで、業務効率化などの「攻め」と、安全確保の「守り」の両立を図っている。

「何も起きなかった」のではなく、「日々の備えで防いだ」

多岐にわたるセキュリティ施策が実を結んだ証左が、2025年の大阪・関西万博期間中の「重大インシデントゼロ」という実績だ。

西澤氏はこの成果について、「単に『何も起きなかった』わけではない。実際には小さな事象はあったが、それらを初期段階で検知し、日々の備えと訓練の成果によって早期に潰すことができたため、重大なインシデントに発展させなかった」と胸を張る。

近年、鉄道事業法改正や安全管理規程の改訂により、鉄道分野においてサイバーセキュリティは輸送の安全を支える重要な要素として明確に位置付けられた。JR西日本グループにおいても、これら制度改正の趣旨を踏まえ、運行管理システムや電力設備、ICOCAシステムといった社会インフラを支える重要システムを対象とした管理・運用体制をより一層強化している。

「私たちは今後も、お客さまの安全を最優先に考え、最新のセキュリティ技術を積極的に導入しながら、安心してご利用いただけるサービスの提供に努めてまいります」(西澤氏)

巨大な社会インフラを支えるJR西日本グループのセキュリティ対策は、徹底したルール化と最新技術の導入にとどまらず、現場の一人ひとりに「ありがとう」と寄り添う温かな企業文化によって、より強固なものへと進化し続けている。