サイバーセキュリティ室は、グループ全体のネットワークやサーバーに対するサイバー攻撃を監視するSOC（セキュリティオペレーションセンター）を所管する組織です。平常時はアラート発生に備えた準備を行い、いざ攻撃が検知されれば初期対応にあたることを主な任務としています。

ただ、サイバー攻撃の巧妙化と高度化が急速に進むにつれ、これまでの取り組みでは防ぎきれない脅威にも備える必要がありました。そこで、攻撃者に先駆けて外部に公開されている情報資産をスキャンし、脆弱性の解消につなげる「ASM（アタックサーフェス管理）」に取り組むことになりました。

社会構造の変化が一因です。システム環境がオンプレミスからクラウドへの移行が進む一方、COVID-19を経てリモートワークが当たり前になり、インターネットを経由した通信が爆発的に増えました。どこからでも情報にアクセスできるようになることは、企業情報や個人情報を狙う攻撃者にもメリットをもたらします。外部との接点が増えればおのずと「侵入経路」も増えるからです。

パーソルグループでは、以前から脆弱性管理は行っていたものの、自らの情報資産を常時監視し、その動向を定量的に可視化するまでには至っていませんでした。そこで社会情勢の大きな変化に対応するため、2023年12月、本格的にASM導入プロジェクトを始動させることにしたんです。

まずはASMツールを使い、DNSレコードやサーバー設定、ポート公開状況などを徹底的に可視化していきました。限られたリソースで最大の成果を出すため、「SSL設定不備」など、ランサムウェア被害と相関が強いリスクから対策を講じる計画を立て、グループ各社へ改善の働きかけを進めていったのですが、当初はなかなか思うようにいきませんでした。

グループ会社にはそれぞれ異なる事情があり、取り組むべき対策はASMだけに限りません。われわれの依頼に割く時間や対応に必要な知見が限られており、なかなか計画通りには進みませんでした。そこでプロジェクトの2年目からは、ASMの意義を説明するだけでなく、グループ各社が揃う会議に何度も足を運び「ASM体制の構築は、単なる技術的な取り組みではなく、事業成長に直接影響を与える経営課題」と伝え、同業他社との比較など、具体的な数値を挙げて説明するようにしたんです。

対応が遅れれば「ブランド価値の毀損」や「失注リスク」「取引停止」につながると訴え続けたことが、ひとつの転換点になりました。

プロジェクト発足当初は、われわれからの依頼をどこまで優先的に扱うべきか、判断しかねていたようです。しかし経営層の理解が進むにつれて、現場にも「キーマン」と呼べるような協力者が現れはじめました。こうした方々との連携を深めたことが、結果的にプロジェクトの進捗に大きな変化をもたらしたように思います。

Win−Winな関係を築くことですね。「脆弱性の解消」と一口にいっても、現場で対応を進めるにはたくさんの技術領域をカバーしなければなりません。プロジェクト初年度の経験で、単に「脆弱性を発見したので対処してください」と伝えるだけでは、忙しい現場は動かせないことがわかったので、一律的な対応で終わらせず、それぞれの状況や事情を踏まえ、実情に合った支援を心がけました。

「受託側」と「依頼側」という関係ではなく、「当事者」と「伴走者」の関係性を強く意識しながら、進捗に遅れが目立つグループ会社に対しては、より密にコミュニケーションを取り、現場へのコミットを深めたのがよかったのだと思います。

プロジェクトの1年目の2024年度は、まず状況の可視化と対応プロセスの整備からスタートしたこともあり、脆弱性に対する各社の対応率が49％に留まりましたが、2年目の2025年度は91％と大幅に増やすことができました。その結果、セキュリティスコアも大幅に伸ばせました。

サイバー保険の利率算定や、債券等の企業格付にも利用されるBitsight社のレーティングによると、プロジェクト開始からまもない2025年2月の時点で640ポイントだったのに対し、10カ月後の12月には当初目標の700ポイントを上回る730ポイントを獲得できました。これは当時のHR業界ではNo.1となるハイスコアです。

吉松さんをはじめ、グループ各社の担当者の努力なくしては、ここまでの成果は残せなかったと思います。

いいえ。730ポイントを獲得した直後、レーティングを落とす予想外のトラブルに見舞われたことがありました。

調査を進めたところ、ある部署が利用していたSaaSに関連する脆弱性が検知され、それが「パーソルの資産」として判定されていたことがわかりました。ただし当該SaaSは外部事業者が提供・管理するものであり、当社が直接コントロールできる範囲外にあるものでした。

そのため、先方にはIT主管部署を通じて対応を要請しましたが最終的に調整がつかず、リスク低減の観点からSaaS自体を切り替える決断をしました。

ASMによる可視化を進める中で、脆弱と判断され得る資産のドメインやIPアドレスから、管理責任を持つグループ会社の特定が必ずしも容易ではないケースがあることがわかりました。背景には、度重なるM&Aや組織改編の影響により、どのグループ会社の資産か判別しづらい状況があることが挙げられます。そのため、関係のありそうな各社にヒアリングを行いながら、一つひとつ整理していきました。

このほかにも、過去に開設されていたサイトの一部がグループドメイン上に残存していたり、手放したドメインが第三者に取得され、意図しない用途で利用されていたりしたケースもありました。

どれも本来は防ぐべき事象ですが、組織が拡大する過程では、管理の網から外れてしまうリスクも内在しています。今回のプロジェクトによってこうした課題を可視化・解消できただけでなく、グループ全体に「自分たちの情報資産は自分たちの手で守る」という意識を広げられたことは、大きな成果だったと捉えています。

はい。浮上した問題をひとつひとつ丁寧に潰していく一方、これまであまり接点がなかったAPAC（アジア太平洋）地域の拠点にも協力を仰いだこともあり、約3カ月後の4月には、もとの730ポイントまで回復させることができました。その後レーティングはさらに改善され、2026年5月末現在で740ポイントに達し、いまも安定して高ポイントを維持しています。

社内では、グループIT本部の2025年度下期優秀案件に選ばれ、社外でも日本IT団体連盟主催の「サイバーインデックス企業調査2025」では、3年連続「星一つ」の獲得に貢献することができました。今後も引き続き対応を進めていき、より大きな評価を得られるよう努力を重ねていければと思っています。

ASMプロジェクトを通じて、潜在的なリスクを明らかにし解決に導くことができました。その上、パーソルグループ全体での取り組みとして高く評価していただけたのでとてもうれしかったです。いい成果を残せて本当によかったと思います。

いま、われわれがもっとも注視しているのは、AIがセキュリティ領域に与える破壊的な影響です。とくに高度なAIモデルは、サイバーセキュリティ上の脆弱性発見にも人間を凌ぐ優れた能力を発揮します。AIが持つ巨大な力は防御にも攻撃にも活かせるため、変化し続ける脅威に向き合いながら、われわれ自身も進化を続けなければなりません。

今後、サイバーセキュリティ室としては、AIを最大限に活用し、膨大なデータのなかから「真に危険なアタックパス」を見つけ出し、いち早く対策を打ち出せるような体制整備を進めていきます。

これまでは、WHOISなどの公開情報をもとに、ASMツールが自動判定した「当社帰属」のアセットのみを管理してきましたが、今年度以降は、これまでの経験を踏まえ、管理対象を他社IP利用資産にまで拡大し、AIによる自動調査と人間による戦略的判断を組み合わせた、より高度なガバナンス体制を構築していく計画です。

なかでも今回のプロジェクトを機に関係が深まったAPACとの連携をさらに強めていきながら、国内外が一体となったサイバーセキュリティ体制の強化を目指します。

サイバーセキュリティ対策が高度化するにつれ、どうしてもグループ各社の負担も増えていきます。管掌範囲が異なるセキュリティ部門やガバナンス部門から同時に依頼を受けた場合、どちらから先に対応すべきか分からないケースも増えていくでしょう。攻撃が巧妙化するなかで、対応が後手に回ってしまうと命取りになりかねません。

今後はビジネスやサービス開発の現場にサイバーセキュリティの意識を浸透させるのと並行して、サイバーセキュリティ関連の窓口一本化など、体制の見直しにも挑戦できたらと思っています。

また、2026年度末に経済産業省とIPA主導ではじまる「サプライチェーン強化に向けたセキュリティ対策評価制度（SCS評価制度）」への対応など、大きな制度変更に伴う全社変革を推進していく予定です。引き続きサイバーセキュリティ体制の強化を通じて、事業成長に貢献していきたいですね。