株式会社荏原製作所
グローバル対応を支える脆弱性管理の統一基準
脆弱性対応の状況をグループ全体で共有・見える化
ポンプやコンプレッサーなど産業機械の専業メーカーであり、世界各地にグループ企業を展開する株式会社荏原製作所(以下、荏原製作所)。同社は、海外子会社がランサムウェア攻撃を受けたことを契機に、グローバル全体のセキュリティ強化に着手しました。緊急対応から始まり、セキュリティ管理体制の構築、ソリューション導入のロードマップ策定と実装、そして継続的な脆弱性管理まで、本社主導でセキュリティ体制の強化を推進しました。
本稿では、2025年6月開催の「TCS Cybersecurity Forum 2025」にて行われた荏原製作所 ITアーキテクト部 ITセキュリティ管理課長 木村 太郎 氏の講演を基に、同社の取り組みをご紹介します。
| 実施前の課題 | 実施後の成果 |
|---|---|
| グループ全体の迅速かつ網羅的なセキュリティ強化 | セキュリティ強化のロードマップを作成し、CIS Controls IG2のベースラインを3年で構築 |
| 海外拠点・グループ会社のセキュリティ施策の展開状況を十分に把握できていない | 包括的な脆弱性管理体制の確立とリスクの可視化をグローバルで実現 |
背景・課題
2025年に創業113年目を迎えた荏原製作所は、建築・産業、エネルギー、インフラ、環境、精密・電子の5つの事業分野で、世界111社のグループ企業を展開しています。同社の製品は、ラスベガスの湖水の取水ポンプ、シンガポールのマーライオン噴水システム、ローマのコロッセオの外壁清掃機器などにも採用されており、世界各地のインフラを支える重要な役割を担っています。
2021年、同社の海外子会社が大規模なランサムウェア攻撃を受けました。工場のメールシステムやサーバが攻撃を受け、多数のPCやサーバが暗号化される深刻な被害が発生。復旧には約3か月を要する事態となりました。「このインシデントを受け、荏原グループ全体のセキュリティレベルを迅速に向上させるための緊急対策を開始しました」と木村氏は当時を振り返ります。
同社は、本社IT部門主導でセキュリティ体制を強化するため、グループ全体で統一されたセキュリティ方針の策定と実行を急務とし、日本タタ・コンサルタンシー・サービシズ株式会社(以下、日本TCS)をプライムベンダーとして取り組みを開始しました。日本TCSが選ばれた背景には、グローバル企業のセキュリティ体制構築を支援してきた実績から、海外拠点へのサポートを迅速に展開できるという期待があったといいます。
取り組み
ランサムウェア攻撃後、荏原製作所は緊急対策として、まずEmailのWeb化、ローカルファイルサーバの排除、クラウドID管理基盤の整備、EDR導入、CSIRT構築などを実施し、セキュリティ体制の基礎構築に着手しました。
日本TCSは、グローバル子会社に対して一斉調査を行い、緊急対策として導入した各種ソリューションの展開を進めました。まず、CIS Controls IG2(Implementation Group 2)基準をベースとした点検項目を策定し、すぐに点検可能な部分と対策が必要な部分を洗い出して2021年末までに点検を完了しました。
続いて、2022年にはセキュリティ対策の網羅性を確保するため、ISMSやCIS Controlsといったセキュリティフレームワークに基づいた取り組みを開始。ISMSとは組織が情報セキュリティリスクを管理していくための仕組みで、CIS Controlsとは米国の非営利団体CISが公開している、セキュリティ強化で行うべき技術的な対策をまとめたガイドラインを指します。これらのフレームワークを活用し、管理面、ソリューション面のそれぞれの側面から、継続的なセキュリティレベルを向上していくことを目的としています。
荏原製作所と日本TCSは、同年初頭に全体的なセキュリティ強化のロードマップを作成し、3年間でCIS Controls IG2のベースラインを構築することを目標に設定しました。その内容は、アクセス制御、ログ監視、インシデント対応などの具体的なセキュリティ対策を実装し、より高度な脅威に対応できる体制を構築するというものです。中でも、荏原製作所にとって重要な取り組みが、IT資産の可視化と脆弱性管理の強化でした。
「IT資産の可視化と脆弱性管理は、サイバーセキュリティの基本であり非常に重要な施策ですが、セキュリティ担当者だけでなく、脆弱性に対応するIT担当者にも負担が大きく、現在も試行錯誤しています」(木村氏)
同社は、2021年に実施したIT資産の可視化から段階的にサイバー衛生管理の機能を拡張。2023年にはデバイスの脆弱性検査を、2024年には外部公開機器および外部公開Webの脆弱性検査を追加した管理体制を構築し、グローバルに展開しました。
技術面では、迅速な導入を目指し、既に緊急対策として導入していたエンドポイント管理・セキュリティプラットフォームの「Tanium」の拡張機能を活用し、社内端末やサーバの脆弱性検査と修復対応を実施。Taniumをインストールできない内部システムにはサテライトスキャン機能を活用し、外部公開Webサイトやネットワーク機器にはTenableなどのクラウド型脆弱性管理ツールと自律型AIペネトレーションテストツールを導入しました。
運用面では、社内・外部公開システムの脆弱性検査結果をもとに月次通知レポートを作成し、脆弱性通知や検査・診断レポートをクラウドストレージ経由で各拠点に定期配信する体制を構築しました。
効果
これらの取り組みにより、荏原グループ全社で統一されたセキュリティ基準による脆弱性管理が実現しました。月次通知レポートを通じて社内システムと外部公開システムの両方について定期的な脆弱性情報の共有が行われ、グローバル全体でシステムの脆弱性に関わるリスクが可視化されています。
「運用を始めて1年ほど経ちますが、月次通知レポートでは改善を重ねるなど、大変な部分は少なくありません。日本TCSに伴走してもらいながら検証を繰り返しています」(木村氏)
現在、脆弱性は導入当初に比べ大幅に減少し、グループ全体のセキュリティレベルの底上げが実現。セキュリティアーキテクチャマップ、ISMSヒートマップ、CIS Controlsヒートマップといった可視化ツールにより、グローバルセキュリティ施策の展開状況を全体で確認できる体制も整備されました。各拠点のリスクアセスメントやポリシーの整備状況、CIS Controlsの実装レベルを関係者間で共有し、組織全体のセキュリティ対策を俯瞰的に把握しています。
日本TCSは、各グループ会社で脆弱性を管理できるよう各社ごとのレポートを提出。今後は、レポート配布を自動化するダッシュボードの構築も検討されています。
“脆弱性管理を展開したことで、グローバル全体でリスクが可視化されました。日本TCSが伴走してくれていることで、全社的なセキュリティレベル向上を実現できています
株式会社荏原製作所 木村 太郎 氏
今後の展望
木村氏は今後のグローバルセキュリティ強化について、3つの展望を示しました。
第1に、顧客要求への対応とサプライチェーンセキュリティの強化です。セキュリティのリスクスコアリングやアタックサーフェスマネジメントの導入・運用により、外部公開システムの管理対象資産の把握精度の向上を図ります。
第2に、欧州サイバーレジリエンス法(CRA)などのグローバル法規制への対応です。ソフトウェア部品表(SBOM)による構成要素の可視化、セキュアコーディング、脆弱性診断、製品セキュリティインシデント対応チーム(PSIRT)の構築、産業用制御システムのサイバーセキュリティ国際規格のIEC62443対応など、製品にソフトウェアや制御システムが組み込まれた製造業特有の要件に対応していきます。
第3に、セキュリティ対策及び運用状況に関わる可視性の向上です。セキュリティ情報イベント管理(SIEM)やガバナンス・リスク・コンプライアンス(GRC)管理ツールなどを活用したダッシュボードの構築により、セキュリティインシデントの統合監視とリスク・コンプライアンス状況の一元管理を通じて、さらなる運用効率化を目指します。
「法整備によって求められるレベルが底上げされる動きに合わせて、企業全体としてセキュリティ水準を上げていく必要があります。製造業としては多くのセキュリティ人材を抱えることは難しいため、取り組むべきコアなセキュリティ部分を突き詰め、グローバルで協力関係を作って人材を確保していく構想を描いています」(木村氏)
今回のプロジェクトにより、グループ全体で均一なベースラインのもとセキュリティを底上げする体制が整備されました。今後、日本TCSは重要なシステムに対して防御をさらに強化するなどメリハリをつけた対策を講じながら、引き続き荏原製作所の戦略的パートナーとして、同社のグローバルなサイバーセキュリティ施策を支援していく方針です。
“荏原製作所さまのように徹底して脆弱性管理に取り組んでいる日本企業はまだ少なく、グループ全体で継続的な管理を実現できている理想的なケースといえます
日本TCS サイバーセキュリティ統括本部 副統括本部長 兼 サイバーセキュリティソリューション本部 本部長 酒寄 孝側
※本事例の内容は2025年9月現在のものです。
※記載されている会社名・サービス名・製品名などは、各社の商標または登録商標です。