統合的に脆弱性が管理できるVRが注目を集めている背景には、サイバー攻撃の高度化と多様化があります。近年、データを人質に取って身代金を要求するランサムウェアの被害は後を絶たず、企業活動や社会活動が停滞に追い込まれるケースが目立っています。その他にも、取引先企業をターゲットしたサプライチェーン攻撃により、基幹システムが止まり、メーカーから部品が納入されず工場の生産が停止するケースも頻発しています。コロナ禍以降はリモートワークの環境を狙った攻撃も増加しています。これらの多くは脆弱性が原因で被害を受けたものです。

脆弱性対応が必要なもう一つの背景は、脆弱性対策情報が攻撃可能になるまでの時間が短くなっていることです。脆弱性が公表される前に悪用される「ゼロデイ攻撃」、既知の脆弱性を悪用する「Nデイ攻撃」が増え、Cybersecurity Forecast2025によると脆弱性が公開されてから悪用されるまでの平均時間は2023年の実績で約5日間と過去最短を記録しています。

脆弱性の発見やその対応が遅れた状態でサイバー攻撃を受けると、企業の信用・事業継続・法的責任に直結します。対応の遅れは、企業が説明責任を問われる事態に発展したり、規制違反リスクに問われたりするリスクがあります。加えて、インシデント対応のコストも膨らみ、人的リソースの逼迫を招きます。

こうした背景の中、MESWは大手メーカーから脆弱性管理をVRの機能で実現するためのVRとその運用の構築を依頼され、2023年から2025年まで約3年にわたって支援してきました。

「依頼を受けた際、お客様の中ではIT資産の情報が一元管理されておらず、現状以上の頻度・スピードで脆弱性のあるIT資産の特定やその影響範囲を把握するのが難しい状況でした。IT資産の管理者にも、各所から類似した調査依頼が何件も寄せられ、混乱が生じていました。そこで、ServiceNowを活用して一元化されたIT資産情報をもとに、脆弱性管理やサーベイ機能を強化することにしました」（林氏）

VRで脆弱性対応するにあたり、お客様が抱えていた課題は以下の4点があり、MESWはそれぞれの対応を実施しました。

①脆弱性対応基準の策定
脆弱性対応基準や期限が標準化されておらず、対応が属人化しているという指摘を受けていました。そこで、脆弱性スキャナが判断した重大度、IT資産の重要度をもとに、脆弱性への対応基準、優先度、対応期限の判断基準を整備しました。

②緊急対処が必要な脆弱性の対応
緊急対応を要する脆弱性が特定のIT資産に存在し、その影響範囲について把握できていない状況でした。そこでVRを活用してIT資産に含まれるサービス、システム、ハードウェア、ソフトウエアの依存関係の実態を反映するように再調整し、脆弱性の情報からIT資産の影響範囲を特定できるようにしました。

③脆弱性診断の高頻度化、検知深度の向上
ゼロデイ攻撃/Nデイ攻撃への対応として、セキュリティ診断頻度の期間を短縮し、診断頻度を上げるように実施基準を見直しました。

④VRによる脆弱性対応管理
「③ 脆弱性診断の高頻度化と検知深度の向上」に伴い、IT資産の管理者や担当者の脆弱性対応にかかる業務負荷が増加します。この問題に対応するため、「① 脆弱性対応基準の策定」の内容をVRに実装し、要対応の脆弱性を自動的に識別します。さらに、IT資産の重要度や脆弱性の重大度に基づき、対応の優先度と期限を自動的に設定します。

「これにより、優先度が高く、期限が近い脆弱性から効率的に対応計画を立案できるようになりました。また、脆弱性検出時にはメール通知を行い、対応状況はダッシュボードで一元管理されます。未対応や対応遅延しているIT資産については、フォローアップやエスカレーションを自動化し、対応漏れを効率的に防止しています」（林氏）

今回のお客様の場合、プロジェクトの1年目は、限定した範囲でPoC（Proof of Concept：概念実証）を実施して運用の実効性を評価しました。2年目は一部の部署にVRを適用して運用状況を確認し、3年目で事業部全体に展開していきました。

VRによる脆弱性対応において発揮されたMESWの強みは、お客様を理解する力です。お客様は、当初、網羅的で最善な脆弱性対応方針の実現を目指していましたが、検討が進むにつれて要件が膨大になり難航していました。MESWはVRをお客様に理解してもらうことから始め、VR機能の範囲内で業務プロセスを提案しました。

「これはVRの特長を理解している当社だからこそできたアプローチです。お客様にとっての脆弱性対応は、通常業務に新たな業務が加わることになるため、できるだけ負担を増やしたくありません。そこに“べき論”を振りかざしても反発を招くだけです。そこで私たちは担当者の手間がかからないような運用方法を考え、VRを使っている間に自然と脆弱性対応が終わっている姿を目指しました。VRの本質を捉えようとする姿勢、お客様に共感して深く理解しようとする姿勢、“empathy”（共感）の力があることがMESWの強みです」（林氏）

お客様を理解する姿勢は、ServiceNowの導入・実装・運用を担当するチームが、外部のお客様の支援を中心としたビジネスを展開している中から生まれたカルチャーに由来しています。

「MESWのServiceNow担当チームは主に三菱電機グループ外のお客様からの案件を担当しています。私たちが企画から参画し、予算化も支援しながらプロジェクトをゴールまで導き、将来の計画までトータルで提案しています。そのため、MESWの営業部隊と一緒に活動し、事業所としての戦略も考慮しながらビジネスに取り組んでいます」（成田氏）

技術チームは若手からベテランまで幅広い年齢層で構成されています。メンバーの得意分野は様々あり、それぞれがプロフェッショナル力を存分に発揮しながらプロジェクトを進めています。

「私自身のキャリアは、製造業分野のIoTからスタートしました。その時に習得したサーバ、ネットワーク、セキュリティなどのノウハウがVRの運用に生きています。現在のチームには、ソフトウェア開発に強いエンジニアや、ITと関係のない製造部門でのプロジェクトマネジメント経験を積んできたエンジニアも所属しています。バックボーンが異なるメンバーが集まっているため、それぞれが持つ知識や経験をITに転用し、課題に対して柔軟に対処することができます。それが私たちの強みです」（林氏）

「お客様との共創を重視するため、プロジェクトは短いサイクルで機能をリリースし、評価・検証を繰り返して開発を進めるアジャイル開発を採用し、短期間に機能を実装しています。チームにはプロダクトオーナーとスクラムマスタを置き、メンバーの成長を常にサポートしています。エンジニアはスピードが求められるものの、短期間で成功体験を重ねることで確実に成長することができます。技術者向けのトレーニングコンテンツも充実しています。ServiceNowには、機能単位の資格認定制度もあり、私たちのチームでも述べ100人以上がこの資格を保有しています」（成田氏）

今後については、MESW独自の取り組みとして、システム開発の段階で脆弱性が混入しない仕組みづくりや、脆弱性対応そのものを支援する仕組みづくりを進めていく方針で、引き続き製造業を中心とした様々なお客様の課題に対処していく考えです。

「VRは脆弱性対応の全体を把握するツールですが、VR自体に脆弱性を修復する機能はありません。真の意味で脆弱性対応を支援するために、要件定義、設計、製造、テストの工程それぞれでセキュリティチェックを実施し、脆弱性がシステムに混入しない仕組みを用意する必要があります。また、AIが自動的に脆弱性を修正して自動テスト、自動リリースできる開発プロセスそのものの仕組みを構築し、ビジネスに貢献していきたいと考えています」（林氏）

商標について

• ・ServiceNowは、米国ServiceNow, Inc.の米国における登録商標または商標です。
• ・本稿に記載されているその他の会社名、製品名は、各社の商標または登録商標です。