JR九州システムソリューションズ株式会社 さま
JR九州グループのIT戦略を担う
JR九州システムソリューションズに訊く
セキュリティ対策の秘訣と時代を見据えた
デジタル人材育成への道
- 導入サービス
資料請求
導入をご検討中の方のために
サービス詳細資料をご用意しております
JR九州システムソリューションズは、JR九州とそのグループ全体のシステムの開発や運用・保守、ITコンサルティングなどのサービス提供を目的として2003年に設立。グループ全体のIT戦略を担っており、サイバー攻撃に備えセキュリティ管理の強化に取り組んでいる。社長の香月裕司氏に、同社のセキュリティ対策やデジタル人材育成、新規事業への挑戦について伺った。
サイバー攻撃の早期発見と社員の意識向上がセキュリティの要
香月 裕司氏
運輸、駅ビル、流通など多様な業種の36社からなるJR九州グループ。JR九州システムソリューションズは、JR九州の交通系電子マネーSUGOCAやJR九州Web会員など同グループの各種システムを開発・運用しており、管理する個人情報の数は約800万件にものぼる。同社のセキユリティ対策について、香月氏は「どれだけ対策をしても完全に防御することが難しいため、いかに早くサイバー攻撃を発見するかを重視している」とその方針を語る。社内にはSOCやCSIRTに準ずるセキュリティ対策チームがあり、常時4名の社員が専任でJR九州グループ全体のサイバー攻撃の検知や対応をしているという。
2012年、それまで主管部門ごとにバラバラに存在していたシステムを統合。その背景には、さまざまな事業を展開するJR九州のサーバ統合によるコスト削減がある。
2016年にはグループ全体のセキュリティ基盤を構築。特産品のネット販売など顧客向けのシステムは増えているが、各社がそれぞれ開発したシステムのセキュリティレベルには格差があったため、これを是正して巧妙化しているサイバー攻撃に備える必要があったのだ。Webサイトを制作する際には脆弱性診断を義務付けるなど、グループ共通のセキュリティポリシーも設けられており、年々セキュリティレベルは上がっている。「サイバー攻撃は防御力の弱いところを踏み台にして行われるため、グループ全体のセキュリティレベルを上げる必要があった」と香月氏。
IT基盤を統合したことで、技術面のセキュリティは向上した。一方で、社員のセキュリティ意識の向上が喫緊の課題だ。香月氏は「2019年秋にQTnetの標的型メール訓練を実施し、疑似の標的型メールを全社員に送したところ、うっかりメールを開いてしまう社員が大勢いたことに目を疑った。このことからも標的型メール訓練は非常に効果が高いと感じている」と明かす。こうした年数回の情報セキュリティ教育に加え、一部の社員は九州大学の情報セキュリティプロ人材育成短期集中プログラム(ProSec-IT)を受講している。
また香月氏は、社員のセキュリティ意識について「サイバー攻撃を受けてもすばやく対応して被害を最小化する。そのためには、常に全社員がセキュリティ意識をしっかりと持たなければならない」とその重要性を説いた。
香月 裕司氏
運輸、駅ビル、流通など多様な業種の36社からなるJR九州グループ。JR九州システムソリューションズは、JR九州の交通系電子マネーSUGOCAやJR九州Web会員など同グループの各種システムを開発・運用しており、管理する個人情報の数は約800万件にものぼる。同社のセキユリティ対策について、香月氏は「どれだけ対策をしても完全に防御することが難しいため、いかに早くサイバー攻撃を発見するかを重視している」とその方針を語る。社内にはSOCやCSIRTに準ずるセキュリティ対策チームがあり、常時4名の社員が専任でJR九州グループ全体のサイバー攻撃の検知や対応をしているという。
2012年、それまで主管部門ごとにバラバラに存在していたシステムを統合。その背景には、さまざまな事業を展開するJR九州のサーバ統合によるコスト削減がある。
2016年にはグループ全体のセキュリティ基盤を構築。特産品のネット販売など顧客向けのシステムは増えているが、各社がそれぞれ開発したシステムのセキュリティレベルには格差があったため、これを是正して巧妙化しているサイバー攻撃に備える必要があったのだ。Webサイトを制作する際には脆弱性診断を義務付けるなど、グループ共通のセキュリティポリシーも設けられており、年々セキュリティレベルは上がっている。「サイバー攻撃は防御力の弱いところを踏み台にして行われるため、グループ全体のセキュリティレベルを上げる必要があった」と香月氏。
IT基盤を統合したことで、技術面のセキュリティは向上した。一方で、社員のセキュリティ意識の向上が喫緊の課題だ。香月氏は「2019年秋にQTnetの標的型メール訓練を実施し、疑似の標的型メールを全社員に送したところ、うっかりメールを開いてしまう社員が大勢いたことに目を疑った。このことからも標的型メール訓練は非常に効果が高いと感じている」と明かす。こうした年数回の情報セキュリティ教育に加え、一部の社員は九州大学の情報セキュリティプロ人材育成短期集中プログラム(ProSec-IT)を受講している。
また香月氏は、社員のセキュリティ意識について「サイバー攻撃を受けてもすばやく対応して被害を最小化する。そのためには、常に全社員がセキュリティ意識をしっかりと持たなければならない」とその重要性を説いた。
DXやAIなど先端技術事業に挑戦
次長代理 末永 剛氏
こうしたセキュアな体制をもとに、同社は新たな挑戦を始めている。まずはグループ全体で推進するデジタルトランスフォーメーショ(DX)対応だ。集計や入力作業を口ボットが代行するRPAツールをグループ全体に導入するなど、業務のRPA推進に注力している。
さらに2030年に向けた中期経営計画を作成し、「既存価値の向上」と「新しい価値の創造」を二本柱に大幅な売上増を目指す。そのために、2022年までに、コンタクトセンター、デリバリーセンター、R&Dセンターの立ち上げを予定しており、香月氏は「まず、現在はEC事業のみ対応しているコンタクトセンターを多言語対応やAIの活用で高度化し、数年以内にJR九州グループ全体の問合せ窓口にすることを目指す」と目標を語る。
2020年4月には、デリバリーセンターを設立。株式会社NSDと資本業務提携し、「これまでは外注していたシステム開発を、今後はデリバリーセンターで開発し、内製化していくことで業績アップも見込める。2025年までに70名規模の体制を目指す」と成長への意欲を燃やす。また、DX対応を目標にするR&Dセンタ一の立ち上げも決定しているという。この他に、子ども向けプログラミング教室運営にも乗り出し、関東や関西で人気の教室「プログラボ」を九州で初めて2020年4月に開校。「今後は福岡市近郊で10校の展開を目指す。地域に貢献しつつ次世代を担う人材を育てたい」と意気込んだ。
次長代理 末永 剛氏
こうしたセキュアな体制をもとに、同社は新たな挑戦を始めている。まずはグループ全体で推進するデジタルトランスフォーメーショ(DX)対応だ。集計や入力作業を口ボットが代行するRPAツールをグループ全体に導入するなど、業務のRPA推進に注力している。
さらに2030年に向けた中期経営計画を作成し、「既存価値の向上」と「新しい価値の創造」を二本柱に大幅な売上増を目指す。そのために、2022年までに、コンタクトセンター、デリバリーセンター、R&Dセンターの立ち上げを予定しており、香月氏は「まず、現在はEC事業のみ対応しているコンタクトセンターを多言語対応やAIの活用で高度化し、数年以内にJR九州グループ全体の問合せ窓口にすることを目指す」と目標を語る。
2020年4月には、デリバリーセンターを設立。株式会社NSDと資本業務提携し、「これまでは外注していたシステム開発を、今後はデリバリーセンターで開発し、内製化していくことで業績アップも見込める。2025年までに70名規模の体制を目指す」と成長への意欲を燃やす。また、DX対応を目標にするR&Dセンタ一の立ち上げも決定しているという。この他に、子ども向けプログラミング教室運営にも乗り出し、関東や関西で人気の教室「プログラボ」を九州で初めて2020年4月に開校。「今後は福岡市近郊で10校の展開を目指す。地域に貢献しつつ次世代を担う人材を育てたい」と意気込んだ。
ワークスタイル変革でデジタル人材を育成
新規事業への挑戦に欠かせないのが、DXに対応できるデジタル人材の育成だと香月氏。「当社ではアメリカのGAFA、中国のBATHが取り組んでいるような『革新的サービスの創出』をDXと定義し、AIに強い株式会社NSD先端技術研究所と連携し、データアナリティクス、Al、アジャイル、デザインシンキングなどの学びを推進している。また動画説明会を利用して採用エリアを広げるなどして、2025年までに50名の新卒を採用し、事業拡大を目指す」と構想を明かした。
また、ただ採用数を増やすだけではなく、同時に働きやすい環境をつくり、業務効率化や人材定着を目指している。香月氏が社長に就任した2016年頃は残業が非常に多く常態化していたが、定時退勤を徹底した結果、残業時間を月平均3時間にまで削減した。「当初、社員からかなり抵抗されたが、残業時間の削減で得た利益を社員へ還元することで風向きが変わった。定時に帰ると決めることで効率的に働き、生産性がとても上がった。残業を極力減らさなければ、新しいことに取り組む余力が生まれず、人材も集まらない」。
香月氏自身も残業をせず、子どもが保育園に通っていた時期は頻繁に送り迎えをしていたという。「どんなに忙しくとも定時であがり、保育園に走った。小1の壁を経験して、子育て中の共働き家庭は会社が応援しなければならないとの実感もあって、残業ゼロを徹底した」と打ち明ける。
他にもオフィスのリニューアルや有給休暇の取得推進、フリーアドレス制を採用して部署を超えた横の繋がりも強化されたという。社員のセキュリティ意識の改革や働き方改革の推進は容易ではない。そうした中セキュリティ対策を整え、労働環境を整え、新価値創造に邁進する同社の今後に目が離せない。
新規事業への挑戦に欠かせないのが、DXに対応できるデジタル人材の育成だと香月氏。「当社ではアメリカのGAFA、中国のBATHが取り組んでいるような『革新的サービスの創出』をDXと定義し、AIに強い株式会社NSD先端技術研究所と連携し、データアナリティクス、Al、アジャイル、デザインシンキングなどの学びを推進している。また動画説明会を利用して採用エリアを広げるなどして、2025年までに50名の新卒を採用し、事業拡大を目指す」と構想を明かした。
また、ただ採用数を増やすだけではなく、同時に働きやすい環境をつくり、業務効率化や人材定着を目指している。香月氏が社長に就任した2016年頃は残業が非常に多く常態化していたが、定時退勤を徹底した結果、残業時間を月平均3時間にまで削減した。「当初、社員からかなり抵抗されたが、残業時間の削減で得た利益を社員へ還元することで風向きが変わった。定時に帰ると決めることで効率的に働き、生産性がとても上がった。残業を極力減らさなければ、新しいことに取り組む余力が生まれず、人材も集まらない」。
香月氏自身も残業をせず、子どもが保育園に通っていた時期は頻繁に送り迎えをしていたという。「どんなに忙しくとも定時であがり、保育園に走った。小1の壁を経験して、子育て中の共働き家庭は会社が応援しなければならないとの実感もあって、残業ゼロを徹底した」と打ち明ける。
他にもオフィスのリニューアルや有給休暇の取得推進、フリーアドレス制を採用して部署を超えた横の繋がりも強化されたという。社員のセキュリティ意識の改革や働き方改革の推進は容易ではない。そうした中セキュリティ対策を整え、労働環境を整え、新価値創造に邁進する同社の今後に目が離せない。
体験型セキュリティ教育で効果を実感!
『QT PRO 標的型メール訓練サービス』を選んだ理由
JR九州グループが保有する数百万件の個人情報を管理するJR九州システムソリューションズ。重要な情報をサイバー攻撃から守るために、社員のセキュリティ教育は欠かせない。疑似の標的型メールを社員に送る「QT PRO 標的型メール訓練サービス」を実施した経緯から驚きの結果、その効果とは。
全社員に疑似の標的型メールを送、結果はいかに!?
セキュリティ教育を担する管理部の末永剛氏は「社はISMSを取得しているため、毎年セキュリティ研修を行っている。これまで行ってきた研修では危機感が足りないと思っていた折、QTnetの標的型メール訓練サービスの存在を知って試したいと思った」と導入のきっかけを語る。
導入決定から実施まで非常にスムーズに進んだと未永氏。
「全社員をテスト対象とするため、社長と管理部長の3名だけで計画した。社内決裁やQTnetとの打合せなど、社員に気づかれないように検討する必要があり、訓練実施までの期間は気を遣った」。訓練メールの内容は「インフルエンザ」と「年末調整」と誰にでも当てはまるものとし、文面を管理部からのメールに似せる工夫をして、疑似の標的型メールを全社員に2回送信。
気になる結果は、1回目のURLリンク型メールの開封率が30%、20日後に行った2回目の添付ファイル型メールの開封率は41%にのぼったという。「かなり開封率が高いと感じた。リテラシーの高いエンジニアでもメールを開けてしまっており、意外な人ほどひっかかっていた傾向がある」と未永氏。
セキュリティ教育を担する管理部の末永剛氏は「社はISMSを取得しているため、毎年セキュリティ研修を行っている。これまで行ってきた研修では危機感が足りないと思っていた折、QTnetの標的型メール訓練サービスの存在を知って試したいと思った」と導入のきっかけを語る。
導入決定から実施まで非常にスムーズに進んだと未永氏。
「全社員をテスト対象とするため、社長と管理部長の3名だけで計画した。社内決裁やQTnetとの打合せなど、社員に気づかれないように検討する必要があり、訓練実施までの期間は気を遣った」。訓練メールの内容は「インフルエンザ」と「年末調整」と誰にでも当てはまるものとし、文面を管理部からのメールに似せる工夫をして、疑似の標的型メールを全社員に2回送信。
気になる結果は、1回目のURLリンク型メールの開封率が30%、20日後に行った2回目の添付ファイル型メールの開封率は41%にのぼったという。「かなり開封率が高いと感じた。リテラシーの高いエンジニアでもメールを開けてしまっており、意外な人ほどひっかかっていた傾向がある」と未永氏。
受け身のセキュリティ観が変化!
想像以上の効果あり
訓練を受けた社員からは「やられた!自分もうっかり開けてしまうんだ、と意識が変わった」との声が多く聞かれたという。訓練後に研修を行ったところ、以前より真剣に受講する社員が増え、「怪しいメールが届いているが大丈夫か」という報告も増えた。「自分はひっかからないと思っていた社員も、今後もし標的型メールを開いたらどうすべきかという点に意識を向けるようになった。実際に体験することで危機感が醸成されており、想像以上の効果を感じている」と未永氏。
Solution
QT PRO 標的型メール訓練サービスが選ばれた4つの決め手
- 2回実施で1回目と比較検証。繰り返すことで従業員の意識向上にも有効
- 全社、部署別、役職別などで集計して数値化、弱点や傾向を把握
- 結果をもとに詳細な報告会を実施。最新の事例や攻撃の特徴、傾向も提示
- 九州密着のサービス展開で、柔軟なプラン設定が可能
今後も導入したいのは体験型セキュリティ教育
セキュリティ対策に力を入れる同社だが、課題は多くあるという。「2019年にテレワークを試したところ、セキュリティ面での課題が多くあった。会社のPCを社外に持ち出すための暗号化など、自宅から安全に社内ネットワークに接続する方法をクリアできれば、テレワークはもちろんサテライトオフィスにもつながるので、整備していきたい」。
セキュリティ教育においても「セキュリティ教育の選定が難しい。講義する側と受講する側のセキュリティリテラシーに差がある場合、講義の意義が薄れてしまう。そのためミスマッチをなくして必要な人に必要な知識を届けたい」と未永氏。「今後も体験型のセキュリティ訓練を実施したい。社内で受けられる体験型研修や、受講者のレベルに応じたセキュリティ教育サービスを望んでいる」と今後の期待を語った。
担当者からのメッセージ
標的型メール攻撃は18年連続で増加(警視庁が2019年に発表)しています。情報を盗み出すために送られてくる攻撃メールは「本物のビジネスメール」と見分けがつきません。事前に攻撃型メールの特徴や見分け方を知っておくことで、実際に攻撃メールが届いた場合でも冷静に対応できるようになります。企業の情報を守るため、そして情報えいによる社会的信用を失うリスク回避として、訓練サービスの実施を検討されてはいかがでしょうか。サービスの詳細や料金など、お気軽にお問合せください。
JR九州システムソリューションズ株式会社
- 所在地: 福岡県福岡市博多区吉塚本町13番79号
- TEL: 092-626-7552
JR九州グループのIT戦略を担うシステム会社として、ITコンサルテイング、システム開発の運用、保守にいたるまでシステムライフサイクル全般のソリューションを提供し、お客様のビジネス成功に貢献します