旧SOCの母体はもともとグループのインフラを保守・運用していたメンバーで構成されていた組織でした。つまりメンバーの本職はあくまでもインフラ保守・運用であり、ますます高度化するサイバーセキュリティ対策に関しては、どうしても知見や経験が専門外の部分が生じていました。

さらに、パーソルグループのIT基盤がゼロトラストネットワークを前提とした構成へ移行することになり、これを機に外注先の入れ替えを含めたSOC体制の強化に取り組むことになりました。

24時間、365日体制でネットワークを監視しサイバー攻撃の検知に努める、SOC本来の機能に加え、インシデント発生後の対応に特化したCSIRT（Computer Security Incident Response Team）の機能を併せ持っている点が挙げられます。

ふたつの機能を持っているのは、組織の縦割りによる弊害を防ぐためです。SOC再編以降もこの方針を堅持し、SOCとCSIRTの両機能を強化した新体制を目指しました。

旧SOCが長年にわたりインフラの保守・運用と兼務した結果、ドキュメントの不備や一部業務が属人化、ブラックボックス化という問題が顕在化していました。また、サイバー攻撃が高度化、巧妙化するなか、SOC再編の必要性や費用対効果を経営陣に正しく理解してもらうのも大きな課題でした。セキュリティ対策は問題が生じてはじめてその真価が問われるものだからです。

現場でも知見や対応力の不足によるリスクを認識しつつも、打開に向けた動きが十分に取り切れていなかったのが実情でした。

セキュリティ対応の属人化、ブラックボックス化については、業務の棚卸しからはじめてから、最新のセキュリティ知見に基づいた業務フローの再構築に着手し、仕様の取りまとめや新たな協力会社の選定しながら、対応を進めていきました。

経営陣にSOC再編を価値ある投資と認めてもらうための試みとしては、直近の国内大手企業に対するサイバー攻撃事例を参考に、同等の攻撃がパーソルグループに行われた場合の被害想定を割り出しました。株価への影響は160億円を超えるなどの実数字と共に投資対効果を可視化し、理解を求めました。ここ数年、大企業を対象にした大規模なサイバー攻撃が続いています。

こうした環境の変化もプロジェクト立ち上げの後押しになりました。

2024年度の上期から構想を開始し、そこから上場企業のSOCにふさわしいケイパビリティを割り出し、要件定義や体制設計を進める傍ら、ベンダーやグループ各社へのヒアリングやベンダー選定を行い、予算審議を経て、2025年度の4月に旧SOCから新SOCへの引き継ぎをはじめました。新体制への移行を終えたのが6月末なので、ゴーサインが出てから新SOC体制がスタートするまでの期間は、実質3カ月ほどです。

冒頭にもお伝えした通り、一般的なSOCは、脅威の監視・検知・分析を通じてインシデントの予防に注力するのに対し、弊社のSOCは、インシデント発生後の対応、復旧、再発防止にまで踏み込みます。そのためカバーすべき領域がかなり広く、プロジェクトの立ち上げから実質3カ月間で、新体制を築くのは簡単ではありませんでした。

実際、属人化、ブラックボックス化したプロセスを解きほぐすのにかなり時間と手間を要しました。移行に向けた下準備が一段落し、いよいよ旧SOCから新SOCへの引き継ぎをはじめるという段階で、把握し切れていなかった業務プロセスが明らかになり、急ぎ状況把握に努め、対応に動いたこともありました。

急ぎ対応すべき項目と、運用がはじまってからでも間に合う項目を分け、対応に濃淡をつけることでなんとか立て直しましたが、プロジェクトに費やせる期間は限られています。本当に間に合うかどうかギリギリまで確信が持てず、かなり肝を冷やしました。移行後、さらに精度を上げて取り組まなければならない課題がまだまだ残されていますから、その点については今後の課題です。

現状をいち早く把握するため、アラートやセキュリティ対策の状況や進捗を表示するダッシュボードの内製を通じて、情報の「見える化」に取り組みました。また、SOC再編に当たって調査した内容やナレッジは、ドキュメント化して残すだけでなく、AIに情報を読み込ませ、いつでも必要なタイミングで引き出せる仕組みづくりにも取り組んでいます。

特定のメンバーにしか分からない情報を極力なくし、誰でも一定以上の水準で対応できる体制を整備するためです。

定期的にグループ各社の関係者にアンケートを取るようになったのも、新SOC体制に移行してからはじめた取り組みです。攻撃の手口もますます巧妙化しているので、現場の声を踏まえて継続的に対策の高度化に取り組んでいきたいと考えています。

現行の組織は、統括するわれわれサイバーセキュリティ室のメンバーに加え、サイバーセキュリティへの知見を持つ社外パートナーのエンジニアを合わせ、10名ほどの体制で対応に当たっています。この新SOC体制により、サイバー攻撃が疑われるアラートが検知された場合の対応力はかなり向上したと自負しています。

アンケートを取ったところ、以前よりも対応すべきポイントが分かりやすくなったなど、前向きな評価をいただいています。また当初目標として初動対応時間の40％削減を掲げていたのですが、実際には目標を上回る60％向上を実現するなど、幸先のよいスタートが切れました。

各務　旧SOCから新SOC体制に代わって、インシデント対応力の強化が実現し、ゼロトラストネットワークやクラウド上で稼働するコンテナ環境への対応も可能になりました。

以前よりも、われわれはもちろん、グループ各社のシステム担当者のみなさんも新しい知見に触れる機会が増えたこともあり、着実にサービス品質が上がっているという話をよく耳にするようになりました。協力会社のみなさんもパーソルグループの状況や事情に通じていただいているので、以前にも増して先進的な提案が増えてきました。SOCの存在価値がますます高まっているのを感じます。

はい。日本デジタルトランスフォーメーション推進協会が選定する日本セキュリティ大賞2025において「セキュリティ対策・運用部門 奨励賞」を受賞しました。さらに社内でも25年度の上期優秀案件に選出されています。

どちらも、効果が見えづらいサイバーセキュリティ領域において説明責任を果たし、定量的な成果を残した点や、短期間でレポーティングやモニタリング体制を整備し「見える化」したことを評価していただきました。

われわれの仕事は、普段なかなか光が当たらない領域なので、受賞の知らせを聞いたときはとても嬉しかったですね。

そうですね。普段スポットが当たりづらい領域なので、努力と成果をきちんと評価していただき、とても励みになりました。新SOCの一員である協力会社のみなさんはもちろん、グループ各社のセキュリティ担当者も喜んでくださっています。

すでに上場企業として、一定のセキュリティ対策はできているものの、運用面で改善の余地がありました。今回の体制刷新によって、より高度な取り組みに乗り出す土台が整いました。来年度はより高度な分析と対応が可能になるよう運用品質を高めるとともに、ランサムウェア対策のさらなる強化など、サイバーセキュリティ対策の深化に取り組みたいと思っています。

個人的には生成AIを活用した横断的なログ解析を実施する体制を整え、対策や対応の高度化と効率化を両立させたいと思っています。
これからも、PDCAサイクルをしっかり回しながら、みなさんにパーソルグループが提供する各種サービスを安心して利用していただくのはもちろん、社員や取引先、株主のみなさんのご期待に応えられるよう、攻めの姿勢で守りを固める所存です。