JERA、Tenable活用でクラウド基幹システムの脆弱性管理を高度化

　JERAは、クラウド上の基幹システムにおけるセキュリティ強化を目的に「Tenable Vulnerability Management」を採用した。Tenable Network Security Japanが5月7日に発表した。

　JERAは、国内最大の発電容量と世界有数の燃料取扱量を持つエネルギー企業として、安定したエネルギー供給と脱炭素社会の実現に取り組んでいる。重要インフラ事業者としてサイバー攻撃の脅威に常にさらされており、情報セキュリティ体制の強化が急務となっていた。近年はランサムウェアやシステム侵入などの攻撃が増加し、重要インフラの安全確保が社会的責務となっていることから、JERAはグループ全体のセキュリティ方針を策定し、CSIRT組織「JERA-SIRT」を設置するなど、体制整備を進めてきた。

　従来、JERAではクラウド環境における脆弱性診断を外部ベンダーへの委託や「Nessus Professional」の活用で年に数回実施していた。しかし、診断からレポート作成、システム担当者への依頼までに10日以上を要し、対応の優先順位付けや管理も手作業で非効率だった。診断頻度の低さも課題であり、重大な脆弱性が長期間放置されるリスクがあった。

　こうした背景から、JERAは脆弱性診断の自動化と管理の一元化を実現するため、Tenable Vulnerability Managementの導入を決めた。定期的なスキャンの自動実施、診断結果のリアルタイム可視化、優先度付けの容易さ、マルチクラウド環境の一元管理、各システム担当者が自らリスク状況を把握できる点などを評価した。

　2023年から複数ソリューションを比較検討し、同年12月にTenable Vulnerability ManagementのPoC（概念実証）を実施。2024年3月にはクラウド上の400台を超える仮想マシンを対象に本格導入した。

　導入により脆弱性診断の実施頻度が年1～2回から毎月に増加し、潜在的な脆弱性のリスク発生期間を約7割短縮した。レポート作成や修正依頼までの所要時間も10日から約3日に短縮され、WordやExcelによる煩雑な管理から脱却できた。さらに、ダッシュボード上で検知された脆弱性の内容やリスク、対応の優先度がシステム担当者に明確に提示されることで、迅速かつ的確な対応が可能となった。

　JERAは、Tenable Vulnerability Managementの導入により、クラウド環境全体の脆弱性評価プロセスを合理化し、重要インフラ資産の保護を強化した。今後は、グループ各社や海外拠点にも同ソリューションの展開を拡大し、サイバーセキュリティ対策の継続的な見直しと高度化に取り組む方針だ。

ニュースリリース

#CyberSecurity #VulnerabilityManagement #CloudSecurity #CriticalInfrastructure #JERA #Tenable