セキュリティーとBCPを磨け 立ち向かうサイバー攻撃(1)

日揮ホールディングス デジタル戦略・IT統括ユニット部長 井上胤康氏

エネルギープラント建設の日揮グループは、サイバーセキュリティーを組織文化として根付かせようと取り組んでいる。持ち株会社の日揮ホールディングス(神奈川県横浜市、佐藤雅之CEO)がITの運用ルールやセキュリティー活動を統括し、グループ全体にガバナンスを効かせる体制。守るべき情報と共有すべき情報が重なる建設業の特性を念頭に置き、人の意識に焦点をあてた対策を推し進める。

日揮ホールディングス
神奈川県

事例のPoint

❶グループ全体にガバナンスを効かせる

・IT部門の活動から全社的な活動へ、セキュリティーの推進体制を根本から変革。HDのトップが指揮するグループ横断組織により、取り組みにガバナンスを効かせる。
 

❷自分たちは何者で何を守るべきかを知る

・プラント建設にかかる膨大な図書は、守るべき情報資産であると同時に共有すべき情報資産。カギをかけられないがゆえの「ゆるさ」があることを直視して対策を実施する。
 

❸セキュリティーを組織文化にする

・セキュリティーも労働安全と同様、リスクゼロにはできない。危険な環境にあることを自覚し、教育や訓練を繰り返し継続実施することで、一人一人の「自分事」にする。

サイバーセキュリティー強化の背景

日揮グループは2023年、グループ情報セキュリティー委員会を設置した。グループ各社の管理部門長らがメンバーとなり、ホールディングス(HD)の代表が委員長を務める。サイバー攻撃や情報漏えいなどの事案にガバナンスを効かせて対策を徹底していこうという経営の意思のあらわれだ。

「それ以前もセキュリティーの意識はあった。ただ、推進体制はある意味脆弱で、あくまでIT部門が活動の一つとして取り組んでいた。これを根本から変え、グループ横断の推進組織を創設。かつ、HDのトップを委員長に据えたことで、セキュリティーの重みが格段に高まった」

委員会の事務局を務める日揮HDデジタル戦略・IT統括ユニット部長の井上胤康氏はそう話す。

自社のビジネス領域にサイバー攻撃の脅威が押し寄せてきたことが背景にある。中東のエネルギー関連企業をはじめ、主要取引先で2010年頃からマルウェア感染が頻発。同社も社員が詐欺メールによりID・パスワードを詐取され、そこからフィッシングメールがばらまかれたことで取引先からメールの送受信を完全遮断される憂き目に遭った。

同グループは、石油や液化天然ガスなどのエネルギープラントやそれらを原料とする化学プラントの建設が主軸だ。グローバルで事業展開し、規模数百億~数千億、期間数年~十数年といった巨大プロジェクトを手がけることも少なくない。サイバー攻撃が常態化する昨今、セキュリティーはプロジェクト参画の絶対条件だ。

オーストラリアにおけるLNGプラントの建設(提供:日揮ホールディングス)
シンガポールにおける石油化学プラントの建設(提供:日揮ホールディングス)

自分が何者かを知らないと守れない

インターネット空間に安全な場所はないという考えのもと、グループ全体のセキュリティー対策を推し進める。デジタル戦略・IT統括ユニットがIT の運用ルールやセキュリティー活動の計画を練り、全社のバックオフィス業務を担う日揮コーポレートソリューションズが実働部隊となって動く体制だ。

●日揮グループ組織図

画像を拡大  提供:日揮ホールディングス

技術的には、多要素認証による本人確認、社外からの不審なインターネット接続を監視するクラウドプロキシ、悪意あるプログラムを識別し不法侵入を警告する振る舞い検知など、定石とされる対策をひととおり実施。井上氏は「効果はもちろんある」としたうえで「ただ、技術的対策は犯罪者とのいたちごっこ。際限がないのも事実」と話す。

際限なきループに陥らないためには、業務内容や人員構成など自社の特性に合致した対策を見極めることが必要だ。その見極めがないと、ハード対策の導入自体が目的化し、早晩、セキュリティーに穴が開く。「正面玄関にカギをかけても裏口が開いていたら意味がない。監視カメラをつけても監視要員がいなければ効果はない」

このことを突き詰めれば、自分たちとは何者か、自分たちが守るべきものは何か、そのときの脅威は何かに行き着くと井上氏はいう。