デジタル変革とさまざまなセキュリティ対策を両立し、継続的に改善を続ける竹中工務店:ITmedia エグゼクティブセミナーリポート(2/2 ページ)
IaaSのセキュリティガバナンスでは、基盤をAWSに統合した上で、システム部門が構築してセキュリティを確保する「基本機能タイプ」と、知識を持った上で自由なアプリ開発を許容する「高度機能タイプ」という2つのひな形を用意することで、一定の水準を保つようにした。さらに、過去に発生したセキュリティ事故の経験を踏まえてCSPMを導入し、IaaS上の各種設定が適切か、脆弱性はないかを可視化するようにしている。
業務情報の不正な持ち出しに対しては、ログ分析システム(SIEM)を導入して各種ログを統合するとともに、外部のセキュリティ専門会社の力を借り、「不正行動モデル」と照らし合わせて精査を行い、週に1回報告するフローを運用。実際に不正持ち出しを検知するなど一定の効果を上げている。
そして、建設業ならではの難しい課題が、サプライチェーンのセキュリティガバナンスだ。
建設業の場合、プロジェクト情報はゼネコンだけでなく、サプライチェーンの協力会社とも共有している。協力会社は重層構造になっており、プロジェクトは常に複数のゼネコンと進めているなど、状況は複雑だ。
こうした中で、各ゼネコンがバラバラにセキュリティ対策を求めていくと、協力会社側はとても手が回りきらない。そこで、竹中工務店も参加している日建連ICT推進部会情報セキュリティ専門部会で業界統一のガイドラインを作成することで、業界全体のセキュリティレベルを向上しようとしている。
また、竹中工務店単体でも、約3万社に上る協力会社を対象に、取引頻度に応じてサプライチェーンセキュリティ向上の取り組みを進めている。まず、主要取引会社約3000社に対しては、契約の中に、必要最低限のセキュリティ対策をまとめた「セキュリティ運用基準」を盛り込んで締結しているほか、主要パートナー約1200社が参加する竹和会には、年に1回セキュリティに関する啓発を行っている。
ただ、昨今急増しているランサムウェアとなると対応が難しく、協力会社に対策を強制することもできない。
そこで協力会社自身に、対策が必要だというマインドを醸成することが重要と考え、被害に遭った企業のインタビュー動画を配信するなど、自分事としてとらえてもらう工夫をしている。また、「何から対策すればいいか分からない」という悩みも多いことから、協力会社向けのセキュリティ相談窓口も設けて困りごとに対応しているという。
一度の対策に甘んじることなく、浮上した課題を踏まえた改善を継続
竹中工務店はこれらの取り組みに満足することなく、引き続き改善を図っていく計画だ。
ICT対策を通して一定水準のセキュリティを確保できているが、運用の複雑化やトータルコストの増加、効率性の低下といった課題が浮上してきた。そこで、広い領域をカバーできるセキュリティ統合基盤への切り替えを検討しているという。
また、サイバー攻撃による被害の増加やAIの進化、DXの推進といったトレンドを背景に、いっそう高い水準が求められていることを踏まえ、AI活用や複数レイヤーの統合分析による運用の高度化と、オペレーションの自動化を考えている。
そして、人材育成が難しい中、限られたセキュリティ人材で運用を改善していくため、マネージドセキュリティサービスの活用や可視化も進めていく計画だ。
セキュリティ対策は、1度導入して終わりではなく、状況に応じてより良いものに切り替えたり、統合したりすることが必要だ。竹中工務店ではまさにそうした取り組みを進めている。
例えば、2021年にクラウドセキュリティ対策として導入したCSPM(Cloud Security Posture Management)を、CNAPP(Cloud-Native Application Protection Platform)と呼ばれる包括的な保護が可能な基盤に移行したり、パソコンとスマホ・タブレットで別々に導入していたネットワークセキュリティサービスを1つに統合し、さらにIoT機器も対象に含めていく計画だ。
セキュリティ監視・分析についても、複数の異なる基盤から統合基盤への移行を進め、支援を依頼しているセキュリティ専門会社も統一することで、とにかくサイバーセキュリティセンターの作業量が増え、困っている状況から、大幅な運用負荷の軽減とセキュリティ対応の迅速化を実現する予定だ。
セキュリティ対策全てを、セキュリティメンバーだけで行えるわけではない。あらゆる関係者がそれぞれの立場で状況を把握し、当事者意識を持つことで、対応が活性化するように、役割ごとに必要なセキュリティ情報を可視化できる「ダッシュボード」の作成を進めていく。
高橋氏は、サプライチェーンも含めたセキュリティ対策は、竹中工務店の経営理念の1つである「上下和親し共存共栄を期すべし」と共通する考え方であるととらえ、引き続き業界内での連携や情報共有を進め、セキュリティレベルの底上げを継続していくとした。
関連記事
- 「法律以前に、やるべきことがある」──ANA和田氏×SBT辻氏が語る、能動的サイバー防御の本質
- 決算資料から読み解くサイバー攻撃被害の実態は? 1社当たり2億円超、数十億円規模に至る大きな影響も
- 「社長、これだけは覚えておいて」――NTTグループ250人のトップが学んだ、有事の際の4つの定石
- 「ごく普通の会社」がランサムウェア被害で直面した損失と再生の記録――菱機工業 小川弘幹氏
- 「セキュリティ対策は情報漏洩対策」からの脱却を――ビジネスリスクと捉え、工場やサプライチェーンでの対策も推進するTOPPANグループ
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
ITmedia エグゼクティブのご案内
「ITmedia エグゼクティブは、上場企業および上場相当企業の課長職以上を対象とした無料の会員制サービスを中心に、経営者やリーダー層向けにさまざまな情報を発信しています。
入会いただくとメールマガジンの購読、経営に役立つ旬なテーマで開催しているセミナー、勉強会にも参加いただけます。
ぜひこの機会にお申し込みください。
入会希望の方は必要事項を記入の上申請ください。審査の上登録させていただきます。
【入会条件】上場企業および上場相当企業の課長職以上
アクセストップ10
- これも詐欺? セキュリティ導入時に起きる悲劇をなくせ──「登録セキスペ」で地方・中小企業を救うIPA
- 「ごく普通の会社」がランサムウェア被害で直面した損失と再生の記録――菱機工業 小川弘幹氏
- 「頑張りすぎるリーダー」ほどチームを停滞させる? 「自己犠牲」が主体性を奪うメカニズムとは
- 「社長、これだけは覚えておいて」――NTTグループ250人のトップが学んだ、有事の際の4つの定石
- 見つけにくい「心不全のリスク」が分かる血液検査 保険適用、自覚症状なくても受けて
- 群馬の山で「国産レアアース」新鉱物4種発見 山口大が発表、国際鉱物学連合で承認
- 「さっぽろ雪まつり」が開幕 サラブレッドなどの雪像や氷像、初日から観光客でにぎわい
- 「法律以前に、やるべきことがある」──ANA和田氏×SBT辻氏が語る、能動的サイバー防御の本質
- なぜコーポレートITはコスト削減率が低いのか――既存産業を再定義することでDXを推進
- トヨタと日産が1月の中国新車販売プラス 日産はファーウェイ技術採用のガソリン車が好調
アドバイザリーボード
早稲田大学商学学術院教授
根来龍之
早稲田大学大学院国際情報通信研究科教授
小尾敏夫
株式会社CEAFOM 代表取締役社長
郡山史郎
株式会社プロシード 代表取締役
西野弘
明治学院大学 経済学部准教授
森田正隆
過去記事カレンダー
ITmediaはアイティメディア株式会社の登録商標です。