ようこそゲストさん

ビジネス+ITを始める

  • 会員限定
  • 2017/05/10 掲載

鹿島建設に学ぶセキュリティ対策事例、海外拠点への3つのアプローチ(2/2)

  • icon-mail
  • icon-print
  • icon-hatena
  • icon-line
  • icon-close-snsbtns
記事をお気に入りリストに登録することができます。

商習慣、事業規模の違いを乗り越える3つのアプローチ

 この他、現地IT担当者に各社のIT環境に関わる情報セキュリティ自己点検を実施させるなど4年にわたり、海外拠点のセキュリティ対策を行ってきた同社だが、そこには海外拠点特有の課題があったという。それは商習慣と事業規模の違いによるセキュリティに対する考え方の違いであった。

 商習慣の違いで最も端的なものは「情報の持ち出し」に対する考え方である。自宅にパソコンを持ち帰って仕事をすることが業務スタイルとして確立されている北米などでは、日本側で最も基本的な情報漏えい対策である「情報の持ち出し禁止」が理解されにくかった。また、海外の従業員は個人の所有するスマートフォンで会社の業務メールを利用することも制限されておらず、日本が示すポリシーの雛形に「BYOD禁止」とうたっても受け入れられなかった。加えて、日本側からは期限を定めてさまざまな施策の実行を指示するのだが、国内部署とは異なり、期限までに回答が返ってくることは少なかった。

 一方、事業規模という観点では、拠点によりIT予算額が異なるため、標準の施策を展開しようにも、導入費用が制約となり見合わせとなるケースがあった。また導入費用の壁をクリアしても、施策を推進する適切なIT人材を雇用できずに保留となるケースもあった。

 これらの課題に対応していく中で、大塚氏は3つのアプローチに行き着いた。

 1つ目は「対話によるコミュニケーション」。メールのやり取りでは双方の意思疎通を図るのには限界がある。電話会議やWeb会議を使って現地のIT担当者と対話を重ね、現地事情をヒヤリングし、それぞれ拠点の事情に応じた解決策を探った。

 2つ目は「時間をかける」こと。海外拠点の従業員には、セキュリティ事故が業務に与える影響の大きさが十分理解されておらず、日本側の指示する対処要請に優先度が与えられない。当然、実施期限も守られなかった。このような海外拠点側の事情をふまえ、性急な改善を求めずに半年、1年をかけて気長に対応するよう心掛けた。 対応期間を長めに設定することで、日本側に現地の事情を検討、考慮する余裕が生まれ、結果的に現地法人側との良い関係を築くことに繋がった。

 3つ目は「繰り返す」こと。大塚氏は次のように語る。

「海外拠点の従業員自身にセキュリティリスクを認識してもらい、辛抱強く、セキュリティレベルの向上という目標を示して主体的な取り組みを促すべきであることを学びました。また、実施した訓練、点検などは必ず結果をフィードバックし、『次はこうしよう』とお互いに改善点を確認し、繰り返していくことが重要です」(大塚氏)

 このような取り組みが功を奏し、各種点検結果の改善、実施期限遵守率の向上が図られた。今後も現地のITの責任者と密に連携しながらさらなる改善を目指していく予定だ。

建設業界団体も、業界全体のセキュリティ意識向上に注力

 大塚氏はまた、業界団体である一般社団法人 日本建設業連合会(以下、日建連)のIT推進部会内の情報セキュリティ専門部会でも活動している。建設業のセキュリティ対策は他業種にない難しさがあるそうだ。

「建設現場は屋外で、外部と環境を完全に遮断できません。ドローンで現場を空撮されるリスクもあります。また、現場に出入りする関係者も多く、工期が数年におよぶ大型プロジェクトでは延べ数万人に上り、それぞれのセキュリティ意識もさまざまです。これらの特徴から建設業は社員のみならず関係者による図面やPCの盗難・紛失が起こりやすいという特徴があります。

 また最近は就職して間もない若者が作業員として工事現場に入場した途端、スマホで撮った写真をSNSへ投稿してしまうようなセキュリティ事故が珍しくありません」(大塚氏)

 情報セキュリティ専門部会では、こうした状況、特に協力会社の情報セキュリティレベルの向上を推進すべく、e-Learningなどの教育ツールやガイドライン、セキュリティチェックシートを整備し、専門部会のポータルサイトを使って情報発信している。

 鹿島建設では、日建連の協力会社用セキュリティチェックシートを自社用にカスタマイズして利用している。

「チェック項目の中で、情報漏えいリスクに直結するものを重視し、秘匿性の高い情報を扱う工事現場では、該当項目で期待する回答ができない協力会社は改善するまでフォローしています。また当社と関係の深い協力会社に対しては専用ホームページでチェックシートを公開し、サイバーセキュリティ月間での自己点検を指示しています。チェックシートをダウンロードする際、社名を入力するよう工夫しており、現在までに約500社がダウンロードしたことが確認できています」と大塚氏は語った。

「セキュリティリスクは、突き詰めれば『人』にたどりつきます。日建連では人間がうっかりミスをして、またはルールを知らないで起こしてしまうセキュリティ事故を防ぐべく、さまざまな取り組みを行っています。その中で最も大切なのは教育であり、セキュリティ意識の低い人をターゲットに、わかりやすい教材を用いて、注意喚起を繰り返す中で、協力会社従業員の意識改革を図っていくしかないと思っています」(大塚氏)

この続きは会員限定(完全無料)です

ここから先は「ビジネス+IT」会員に登録された方のみ、ご覧いただけます。

今すぐ登録(無料)

今すぐビジネス+IT会員にご登録ください。

すべて無料!ビジネスやITに役立つメリット満載!

  • ここでしか見られない

    1万本超のオリジナル記事が無料で閲覧可能

  • 多角的にニュース理解

    各界の専門家がコメンテーターとして活躍中!

  • スグ役立つ会員特典

    資料、デモ動画などを無料で閲覧可能!セミナーにご招待

  • レコメンド機能

    ​あなたに合わせた記事表示!メールマガジンで新着通知

完全無料 ビジネス+IT会員のメリットとは?

関連タグ

関連コンテンツ

記事
標的型攻撃

IPA調査ダントツ1位の脅威「ランサムウェア」、まず着手すべき「4つの対策」とは?

全世界に被害をもたらしているサイバー攻撃。中でも、身代金を要求するマルウェア(ランサムウェア)の被害が深刻化しており、IPAでも4年連続で「ランサムウェア」が組織におけるサイバー脅威のトップという結果が出ている。企業規模を問わず攻撃対象である上に、今後は生成AIが生み出すコンテンツの悪用にも注意を要する。このような脅威に対して、企業はどのような対策がとれるのか。近年のサイバー攻撃のデータや動向とともに、4つの対策ポイントについて紹介する。

記事
標的型攻撃

「ネットは危険がいっぱい」にどう対応?SASEは有効?ガートナー流セキュリティ対策術

ビジネスのデジタル化が進む中、企業ネットワークには「いつでも、どこでも、自由に働き、またサービスを受けられる」ことが求められている。その実現のためにネットワーク、およびそのセキュリティの在り方は根本から見直す必要に迫られている。SASEやIT/OT、IoTの融合などのトレンドに合わせた変革をどう実現すべきか。ガートナージャパンの池田 武史氏が、セキュリティ・リーダーが理解しておくべきネットワークのアーキテクチャーや組織の役割分担などの根本的な変化を解説する。

記事
標的型攻撃

閉域網神話崩壊、救世主「SASE」を使う4つのメリットと3つの課題

「SASE」がネットワークセキュリティの新しいソリューションとして注目されている背景には、「閉域網神話」の崩壊がある。「閉域網」によって構成された企業ネットワークでは、巧妙化し続けるサイバー攻撃に対して通用しなくなってきたためだ。新たに登場したのが、セキュリティとネットワークの機能を一体化させたSASEである。「閉域網神話」が崩壊した理由とSASE移行のメリット、活用方法などを解説する。

記事
標的型攻撃

セキュリティ市場は大混乱、ガートナーが語る「何からやればいい」にSIEMが最適のワケ

セキュリティの脅威が複雑化する中、「どんなリスクに、どこが、どう対応すべきかが非常に見えにくくなっています」とセキュリティ対策の混乱を指摘するのは、ガートナー バイス プレジデント, アナリストのピート・ショアード氏だ。実際、セキュリティに関するキーワードや製品種別は増え続けており、何をどう選んで導入すべきか悩む担当者は多いだろう。ショアード氏がセキュリティ対策の本質、そしてセキュリティ対策の中核に「SIEM」を据えるべき理由を解説した。

記事
標的型攻撃

人の認知には脆弱性がある、サイバー対策でまず考えるべき根本原因の“心理操作”

サイバー攻撃の脅威が年々増加する中、ネットワークのセキュリティ対策は不可欠だが、それだけでは不十分だ。実際、ランサムウェアの感染原因として大きな割合を占めるのが、従業員の心理的な脆弱性を狙った「ソーシャルエンジニアリング(心理操作)」なのだ。では、心理操作の脅威へ企業はどう立ち向かえば良いのだろうか。心理操作の概要、台頭する生成AIの悪用による影響、脅威に立ち向かうために有効な5つの対策について詳しく解説する。

記事
標的型攻撃

ランサムウェア台頭で「ストレスの限界」、ガートナーが説く確認すべき重大項目トップ7

サイバー攻撃は犯罪者の「ビジネス」へと変質を遂げ、攻撃の手口は巧妙化するばかりだ。対する企業は予算と人材の双方の問題から、苦しい防衛戦を強いられている。この中でCISOに何より求められているのが、サイバー攻撃によるビジネスへの影響を極小化させることだ。ガートナー シニア ディレクター, アドバイザリのウェイン・ハンキンス氏が、ランサムウェア攻撃に直面した際にチェックすべき7つの項目を伝授する。

イベント・セミナー
オンライン
オンライン

サイバーセキュリティ対策 2024 夏

緊迫する国際情勢やサイバー犯罪の拡大と相まって、標的型攻撃、ランサムウェア、DDoS攻撃など、社会インフラや企業に対するサイバー攻撃が猛威を振るっています。ボーダレスに行われる一連の攻撃技術は飛躍的に高度化・複雑化しており、そのすべてを水際で防ぐことは非常に難しくなってきています。また、IoTの普及に伴い新たなサイバー空間が出現する中で、サイバー攻撃が社会や個々の生活にまで影響を及ぼす可能性が高まっています。当セミナーでは、最新サイバー攻撃の手法と対策法について解説するとともに、いち早くインシデントを把握してその被害拡大を防いだり、万が一インシデントが発生しても被害を縮小できるような各社ソリューション情報を提供してまいります。

あなたの投稿

    PR

    PR

    PR

処理に失敗しました

人気のタグ

投稿したコメントを
削除しますか?

あなたの投稿コメント編集

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

通報

このコメントについて、
問題の詳細をお知らせください。

ビジネス+ITルール違反についてはこちらをご覧ください。

通報

報告が完了しました

コメントを投稿することにより自身の基本情報
本メディアサイトに公開されます

Media Open Sample

必要な会員情報が不足しています。

必要な会員情報をすべてご登録いただくまでは、以下のサービスがご利用いただけません。

  • 記事閲覧数の制限なし

  • [お気に入り]ボタンでの記事取り置き

  • タグフォロー

  • おすすめコンテンツの表示

詳細情報を入力して
会員限定機能を使いこなしましょう!

詳細はこちら 詳細情報の入力へ進む
報告が完了しました

」さんのブロックを解除しますか?

ブロックを解除するとお互いにフォローすることができるようになります。

ブロック

さんはあなたをフォローしたりあなたのコメントにいいねできなくなります。また、さんからの通知は表示されなくなります。

さんをブロックしますか?

ブロック

ブロックが完了しました

ブロック解除

ブロック解除が完了しました

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

ユーザーをフォローすることにより自身の基本情報
お相手に公開されます

Media Open Sample