2024/11/08
事例から学ぶ
セキュリティーとBCPを磨け 立ち向かうサイバー攻撃(1)
エネルギープラント建設の日揮グループは、サイバーセキュリティーを組織文化として根付かせようと取り組んでいる。持ち株会社の日揮ホールディングス(神奈川県横浜市、佐藤雅之CEO)がITの運用ルールやセキュリティー活動を統括し、グループ全体にガバナンスを効かせる体制。守るべき情報と共有すべき情報が重なる建設業の特性を念頭に置き、人の意識に焦点をあてた対策を推し進める。
日揮ホールディングス
神奈川県
❶グループ全体にガバナンスを効かせる
・IT部門の活動から全社的な活動へ、セキュリティーの推進体制を根本から変革。HDのトップが指揮するグループ横断組織により、取り組みにガバナンスを効かせる。
❷自分たちは何者で何を守るべきかを知る
・プラント建設にかかる膨大な図書は、守るべき情報資産であると同時に共有すべき情報資産。カギをかけられないがゆえの「ゆるさ」があることを直視して対策を実施する。
❸セキュリティーを組織文化にする
・セキュリティーも労働安全と同様、リスクゼロにはできない。危険な環境にあることを自覚し、教育や訓練を繰り返し継続実施することで、一人一人の「自分事」にする。
サイバーセキュリティー強化の背景
日揮グループは2023年、グループ情報セキュリティー委員会を設置した。グループ各社の管理部門長らがメンバーとなり、ホールディングス(HD)の代表が委員長を務める。サイバー攻撃や情報漏えいなどの事案にガバナンスを効かせて対策を徹底していこうという経営の意思のあらわれだ。
「それ以前もセキュリティーの意識はあった。ただ、推進体制はある意味脆弱で、あくまでIT部門が活動の一つとして取り組んでいた。これを根本から変え、グループ横断の推進組織を創設。かつ、HDのトップを委員長に据えたことで、セキュリティーの重みが格段に高まった」
委員会の事務局を務める日揮HDデジタル戦略・IT統括ユニット部長の井上胤康氏はそう話す。
自社のビジネス領域にサイバー攻撃の脅威が押し寄せてきたことが背景にある。中東のエネルギー関連企業をはじめ、主要取引先で2010年頃からマルウェア感染が頻発。同社も社員が詐欺メールによりID・パスワードを詐取され、そこからフィッシングメールがばらまかれたことで取引先からメールの送受信を完全遮断される憂き目に遭った。
同グループは、石油や液化天然ガスなどのエネルギープラントやそれらを原料とする化学プラントの建設が主軸だ。グローバルで事業展開し、規模数百億~数千億、期間数年~十数年といった巨大プロジェクトを手がけることも少なくない。サイバー攻撃が常態化する昨今、セキュリティーはプロジェクト参画の絶対条件だ。
自分が何者かを知らないと守れない
インターネット空間に安全な場所はないという考えのもと、グループ全体のセキュリティー対策を推し進める。デジタル戦略・IT統括ユニットがIT の運用ルールやセキュリティー活動の計画を練り、全社のバックオフィス業務を担う日揮コーポレートソリューションズが実働部隊となって動く体制だ。
●日揮グループ組織図
技術的には、多要素認証による本人確認、社外からの不審なインターネット接続を監視するクラウドプロキシ、悪意あるプログラムを識別し不法侵入を警告する振る舞い検知など、定石とされる対策をひととおり実施。井上氏は「効果はもちろんある」としたうえで「ただ、技術的対策は犯罪者とのいたちごっこ。際限がないのも事実」と話す。
際限なきループに陥らないためには、業務内容や人員構成など自社の特性に合致した対策を見極めることが必要だ。その見極めがないと、ハード対策の導入自体が目的化し、早晩、セキュリティーに穴が開く。「正面玄関にカギをかけても裏口が開いていたら意味がない。監視カメラをつけても監視要員がいなければ効果はない」
このことを突き詰めれば、自分たちとは何者か、自分たちが守るべきものは何か、そのときの脅威は何かに行き着くと井上氏はいう。
- keyword
- サイバーセキュリティ
- 情報セキュリティ
- セキュリティ教育
- 日揮ホールディングス
事例から学ぶの他の記事
- ランサム攻撃訓練の高度化でBCPを磨き上げる
- セキュリティーを労働安全のごとく組織に根付かせる
- 海外工場の労働環境を把握 課題を明らかに
- 大規模災害時に従業員が安心して滞在できる備え
- 震災被害を経て伝統を受け継ぐ熊本の料亭店主から能登へのメッセージ
おすすめ記事
-
リスク対策.com編集長が斬る!今週のニュース解説
毎週火曜日(平日のみ)朝9時~、リスク対策.com編集長 中澤幸介と兵庫県立大学教授 木村玲欧氏(心理学・危機管理学)が今週注目のニュースを短く、わかりやすく解説します。
2024/12/03
-
パリ2024のテロ対策期間中の計画を阻止した点では成功
2024年最大のイベントだったパリオリンピック。ロシアのウクライナ侵略や激化する中東情勢など、世界的に不安定な時期での開催だった。パリ大会のテロ対策は成功だったのか、危機管理が専門で日本大学危機管理学部教授である福田充氏とともにパリオリンピックを振り返った。
2024/11/29
-
-
-
なぜ製品・サービスの根幹に関わる不正が相次ぐのか?
企業不正が後を絶たない。特に自動車業界が目立つ。燃費や排ガス検査に関連する不正は、2016年以降だけでも三菱自動車とスズキ、SUBARU、日産、マツダで発覚。2023年のダイハツに続き、今年の6月からのトヨタ、マツダ、ホンダ、スズキの認証不正が明らかになった。なぜ、企業は不正を犯すのか。経営学が専門の立命館大学准教授の中原翔氏に聞いた。
2024/11/20
-
-
ランサム攻撃訓練の高度化でBCPを磨き上げる
大手生命保険会社の明治安田生命保険は、全社的サイバー訓練を強化・定期実施しています。ランサムウェア攻撃で引き起こされるシチュエーションを想定して課題を洗い出し、継続的な改善を行ってセキュリティー対策とBCPをブラッシュアップ。システムとネットワークが止まっても重要業務を継続できる態勢と仕組みの構築を目指します。
2024/11/17
-
-
セキュリティーを労働安全のごとく組織に根付かせる
エネルギープラント建設の日揮グループは、サイバーセキュリティーを組織文化に根付かせようと取り組んでいます。持ち株会社の日揮ホールディングスがITの運用ルールやセキュリティー活動を統括し、グループ全体にガバナンスを効かせる体制。守るべき情報と共有すべき情報が重なる建設業の特性を念頭に置き、人の意識に焦点をあてた対策を推し進めます。
2024/11/08
-
※スパム投稿防止のためコメントは編集部の承認制となっておりますが、いただいたコメントは原則、すべて掲載いたします。
※個人情報は入力しないようご注意ください。
» パスワードをお忘れの方