2024/11/08
事例から学ぶ
セキュリティーとBCPを磨け 立ち向かうサイバー攻撃(1)

エネルギープラント建設の日揮グループは、サイバーセキュリティーを組織文化として根付かせようと取り組んでいる。持ち株会社の日揮ホールディングス(神奈川県横浜市、佐藤雅之CEO)がITの運用ルールやセキュリティー活動を統括し、グループ全体にガバナンスを効かせる体制。守るべき情報と共有すべき情報が重なる建設業の特性を念頭に置き、人の意識に焦点をあてた対策を推し進める。
日揮ホールディングス
神奈川県
❶グループ全体にガバナンスを効かせる
・IT部門の活動から全社的な活動へ、セキュリティーの推進体制を根本から変革。HDのトップが指揮するグループ横断組織により、取り組みにガバナンスを効かせる。
❷自分たちは何者で何を守るべきかを知る
・プラント建設にかかる膨大な図書は、守るべき情報資産であると同時に共有すべき情報資産。カギをかけられないがゆえの「ゆるさ」があることを直視して対策を実施する。
❸セキュリティーを組織文化にする
・セキュリティーも労働安全と同様、リスクゼロにはできない。危険な環境にあることを自覚し、教育や訓練を繰り返し継続実施することで、一人一人の「自分事」にする。
サイバーセキュリティー強化の背景
日揮グループは2023年、グループ情報セキュリティー委員会を設置した。グループ各社の管理部門長らがメンバーとなり、ホールディングス(HD)の代表が委員長を務める。サイバー攻撃や情報漏えいなどの事案にガバナンスを効かせて対策を徹底していこうという経営の意思のあらわれだ。
「それ以前もセキュリティーの意識はあった。ただ、推進体制はある意味脆弱で、あくまでIT部門が活動の一つとして取り組んでいた。これを根本から変え、グループ横断の推進組織を創設。かつ、HDのトップを委員長に据えたことで、セキュリティーの重みが格段に高まった」
委員会の事務局を務める日揮HDデジタル戦略・IT統括ユニット部長の井上胤康氏はそう話す。
自社のビジネス領域にサイバー攻撃の脅威が押し寄せてきたことが背景にある。中東のエネルギー関連企業をはじめ、主要取引先で2010年頃からマルウェア感染が頻発。同社も社員が詐欺メールによりID・パスワードを詐取され、そこからフィッシングメールがばらまかれたことで取引先からメールの送受信を完全遮断される憂き目に遭った。
同グループは、石油や液化天然ガスなどのエネルギープラントやそれらを原料とする化学プラントの建設が主軸だ。グローバルで事業展開し、規模数百億~数千億、期間数年~十数年といった巨大プロジェクトを手がけることも少なくない。サイバー攻撃が常態化する昨今、セキュリティーはプロジェクト参画の絶対条件だ。


自分が何者かを知らないと守れない
インターネット空間に安全な場所はないという考えのもと、グループ全体のセキュリティー対策を推し進める。デジタル戦略・IT統括ユニットがIT の運用ルールやセキュリティー活動の計画を練り、全社のバックオフィス業務を担う日揮コーポレートソリューションズが実働部隊となって動く体制だ。
●日揮グループ組織図

技術的には、多要素認証による本人確認、社外からの不審なインターネット接続を監視するクラウドプロキシ、悪意あるプログラムを識別し不法侵入を警告する振る舞い検知など、定石とされる対策をひととおり実施。井上氏は「効果はもちろんある」としたうえで「ただ、技術的対策は犯罪者とのいたちごっこ。際限がないのも事実」と話す。
際限なきループに陥らないためには、業務内容や人員構成など自社の特性に合致した対策を見極めることが必要だ。その見極めがないと、ハード対策の導入自体が目的化し、早晩、セキュリティーに穴が開く。「正面玄関にカギをかけても裏口が開いていたら意味がない。監視カメラをつけても監視要員がいなければ効果はない」
このことを突き詰めれば、自分たちとは何者か、自分たちが守るべきものは何か、そのときの脅威は何かに行き着くと井上氏はいう。
- keyword
- サイバーセキュリティ
- 情報セキュリティ
- セキュリティ教育
- 日揮ホールディングス
事例から学ぶの他の記事
おすすめ記事
-
リスク対策.com編集長が斬る!今週のニュース解説
毎週火曜日(平日のみ)朝9時~、リスク対策.com編集長 中澤幸介と兵庫県立大学教授 木村玲欧氏(心理学・危機管理学)が今週注目のニュースを短く、わかりやすく解説します。
2025/04/01
-
-
-
-
-
全社員が「リスクオーナー」リーダーに実践教育
エイブルホールディングス(東京都港区、平田竜史代表取締役社長)は、組織的なリスクマネジメント文化を育むために、土台となる組織風土の構築を進める。全役職員をリスクオーナーに位置づけてリスクマネジメントの自覚を高め、多彩な研修で役職に合致したレベルアップを目指す。
2025/03/18
-
ソリューションを提示しても経営には響かない
企業を取り巻くデジタルリスクはますます多様化。サイバー攻撃や内部からの情報漏えいのような従来型リスクが進展の様相を見せる一方で、生成 AI のような最新テクノロジーの登場や、国際政治の再編による世界的なパワーバランスの変動への対応が求められている。2025 年のデジタルリスク管理における重要ポイントはどこか。ガートナージャパンでセキュリティーとプライバシー領域の調査、分析を担当する礒田優一氏に聞いた。
2025/03/17
-
-
-
なぜ下請法の勧告が急増しているのか?公取委が注視する金型の無料保管と下請代金の減額
2024年度は下請法の勧告件数が17件と、直近10年で最多を昨年に続き更新している。急増しているのが金型の保管に関する勧告だ。大手ポンプメーカーの荏原製作所、自動車メーカーのトヨタや日産の子会社などへの勧告が相次いだ。また、家電量販店のビックカメラは支払代金の不当な減額で、出版ではKADOKAWAが買いたたきで勧告を受けた。なぜ、下請法による勧告が増えているのか。独占禁止法と下請法に詳しい日比谷総合法律事務所の多田敏明弁護士に聞いた。
2025/03/14
※スパム投稿防止のためコメントは編集部の承認制となっておりますが、いただいたコメントは原則、すべて掲載いたします。
※個人情報は入力しないようご注意ください。
» パスワードをお忘れの方