ようこそゲストさん

ビジネス+ITを始める

  • 会員限定
  • 2017/05/10 掲載

鹿島建設に学ぶセキュリティ対策事例、海外拠点への3つのアプローチ

記事をお気に入りリストに登録することができます。
いまや日本企業の海外進出は特別なことではないが、進出先で情報セキュリティ事故が発生し、その対策が課題となるケースが少なくない。鹿島建設も例外ではなく、アジア、ヨーロッパ、北米、オセアニアに広がる海外現地法人に一定レベルのセキュリティ対策を講じる必要があった。同社 ITソリューション部 次長 大塚暁氏は、2013年から海外拠点に関わるセキュリティ対策に着手したが、さまざまな課題に直面した。それら課題解決の過程で見えてきたノウハウを紹介する。
<目次>
  1. 全世界に広がる鹿島建設の海外事業拠点
  2. 自社に疑似攻撃を仕掛け、社員には標的型攻撃訓練用メールを送信
  3. 商習慣、事業規模の違いを乗り越える3つのアプローチ
  4. 建設業界団体も、業界全体のセキュリティ意識向上に注力

全世界に広がる鹿島建設の海外事業拠点

photo
鹿島建設
ITソリューション部
(海外事業本部 兼務)
次長
大塚 暁 氏
 大塚氏は鹿島建設 ITソリューション部に属し、国内事業および海外事業のセキュリティ対策を担当している。

 同社の海外事業展開は1964年の米国カリフォルニア州サンフランシスコのリトル・トーキョー再建美化事業に始まり、50年以上の歴史を誇る。現在では、北米のみならず、ヨーロッパ、東南アジア、オセアニア、中国、台湾でも事業を展開し、鹿島グループ経営の重要な一角を占めている。

自社に疑似攻撃を仕掛け、社員には標的型攻撃訓練用メールを送信

関連記事

▲ 閉じる ▼ すべて表示

 鹿島建設の海外拠点に関するセキュリティ対策は、2013年に本格化した。

 まずは最低限のセキュリティルールを策定し、これをベースに各拠点の情報セキュリティポリシーの設置を促した。次に、全拠点のインターネット接続部の脆弱性点検を行った。

 これはセキュリティ専門事業者に全海外拠点のネットワーク機器やサーバへの疑似攻撃を委託し、脆弱性が明らかになった機器の設定変更やバージョンアップなどの対処を行うものだ。初めて実施した2014年には、多くの脆弱性が発見され、中には外部からの侵入を許してしまうような深刻なものもあった。そのため全ての脆弱性を潰すには多くの時間と労力を費やしたが、年1回の実施を継続した結果、4回目となる2017年は、脆弱性の数が減少するとともにリスクの高いものが発見されなかったなどの改善がみられた。

 海赴任者への標的型攻撃メール訓練も、2017年から一工夫している。従来は国内勤務者向けの日本語訓練メールを海外赴任者が現地で利用している海外用メールアドレス転送していた。しかし、英語のやり取りが多い海外赴任者にとって日本語訓練メールは見分けやすく、訓練の有効性が半減してしまう。そこで今年から英文訓練メールを現地アドレスに直接送って反応を見ることとした。結果は予想に反して良好で、海外赴任者の意識の高さが確認できた。

画像
海外事業従事者への標的型攻撃メール訓練は英語で行っているという
(出典:鹿島建設資料)

【次ページ】商習慣、事業規模の違いを乗り越える3つのアプローチ

関連タグ

あなたの投稿

関連コンテンツ

記事
標的型攻撃

ランサムウェア対策の「誤解」、バックアップがあっても安心できない理由

近年、ランサムウェア攻撃による被害が多発・高度化している。これらの対策としてデータのバックアップは重要だが、それだけで十分というわけではない。バックアップデータへの被害事例も多く発生しているのだ。ランサムウェアの脅威から組織のデータを安全に守るためには、どのような対策を講じればよいのだろうか。

記事
標的型攻撃

ランサムウェア台頭で「ストレスの限界」、ガートナーが説く確認すべき重大項目トップ7

サイバー攻撃は犯罪者の「ビジネス」へと変質を遂げ、攻撃の手口は巧妙化するばかりだ。対する企業は予算と人材の双方の問題から、苦しい防衛戦を強いられている。この中でCISOに何より求められているのが、サイバー攻撃によるビジネスへの影響を極小化させることだ。ガートナー シニア ディレクター, アドバイザリのウェイン・ハンキンス氏が、ランサムウェア攻撃に直面した際にチェックすべき7つの項目を伝授する。

記事
標的型攻撃

何年も攻撃に気付かず…依然1位「ランサムウェア」をどう防ぐ? 注目すべきは“11%”

ランサムウェアをはじめとするサイバー脅威への対応は、企業にとって重要な課題である。そこで多くの企業がマルウェア感染防止に特化した「EPP」、いわゆるウイルス対策ソフトを導入しているだろう。だが実は、EPPだけで被害を完全に抑えられるわけではない。攻撃を受けてから何年も気付かなかったケースもある。ではなぜEPPだけでは不十分なのだろうか。

記事
標的型攻撃

犯罪集団も大解雇時代? ハッカー幻滅…ランサムウェアが儲からなくなった「理由3つ」

公的機関や企業を狙ったランサムウェア攻撃は、2022年以降、攻撃数や被害額が減少傾向にあり、儲からない犯罪と化しているようだ。新型コロナ流行中の2020年と2021年に攻撃が激しさを極め、企業などは対策に急いでいたが、なぜここにきて減り始めているのか。米司法省によると、2023年2月にはある組織でハッカー45人を解雇という事態も起き始めたという。サイバー犯罪に一体何が起きているのか。

記事
標的型攻撃

【マンガで事例】怖すぎてヤバい、ランサムウェアにすべてを狂わされたある企業の末路

たった1度のランサムウェアの侵入が、何もかもを壊してしまった――。世界的大手自動車メーカー、Y自動車の部品を製造するJ工業で、情報システムに携わる高岡。その日は娘の誕生日で、早めに帰宅してお祝いしようと、いつもより急いで仕事をしていた。しかし突然のファイルサーバエラー。いつもと違うコンピュータの挙動に違和感を覚える。上司大嶋の指示で再起動すると、画面に「機密情報を公開する」という脅迫文が。この後、会社はどう狂わされるのか。防ぐ方法はあったのか。

記事
標的型攻撃

深刻化する病院サイバー攻撃に、「ランサムウェア交渉人」はアリかナシか?
(有)クライテリオン 技術・研究部
小林成龍

 どうにも、この記事を書いたライターは映画やドラマ、漫画やアニメ由来のフィクションの知識で述べているようだ。バグバウンティ制度というものはあくまで開発ベンダやセキュリティベンダが任意で実施しているものであって、ベンダによってはバグバウンティ制度を取り入れていないところもある。危険性や重要度に応じて支払う報奨金というものは決まっている。そのため危険性や重要度の低いバグに対しては報奨金の金額は安くなる。支払われる報奨金というのは価格帯が既に定められているので交渉したからといって大きく変わるわけではない。交渉人が出てくる余地がないし、交渉人が仲介手数料なんて取ろうものならば原価割れしてしまうわけだ。そして、バグバウンティ制度を実施していない企業に交渉人が脆弱性情報の買取を持ちかけようものならば、恐喝罪で訴えられる可能性さえある。
「通常は、発見した脆弱性や攻撃手法を自分で利用する(犯罪を犯す)より、相手に高く買ってもらったほうがよいと考える。」と記事では書いてあるが、それも違う。仮に悪意を持ったハッカーが危険な脆弱性を発見した場合、自分でその脆弱性を利用した攻撃をして犯罪を犯すと警察に逮捕されるリスクがある。自分で犯罪さえ行わなければ警察に逮捕されるリスクはゼロだ。だから自分では犯罪は行わない。脆弱性情報を買い取ってくれる企業があればお金で売って利益を得る。ただそれだけなのだ。実際にサイバー犯罪に関わって犯罪収益を得ている反社会組織でも、脆弱性情報の多くは悪意を持ったハッカーではなくセキュリティ会社(=ホワイトハッカー)から買っている。サイバー攻撃自体は自身は行わずに買い取った脆弱性情報をもとに作成した攻撃ツールの販売やクラウド上に攻撃用プラットフォームを構築して時間貸ししてクラウドサービスとして収益を上げている。現代では脆弱性を発見する人、発見者から脆弱性情報を買って収集して販売する人、攻撃ツールを作る人、攻撃ツールを売る人、攻撃ツールを使って攻撃する人といったように各々関係のない人や組織が分業している。
 身代金支払いの是非に関して述べると、現行法では身代金の支払い自体を直接罰する法律はない。それならば身代金を払ってしまえばよい、とはならない。例えば、ランサムウェアならば様々な要素を考慮した上での経営判断が必要となる。以下の理由で正当化が出来るか、ということは最低限考える必要がある。
 1. 復旧コストより身代金の方が安価
 2. 大量の個人情報など機微性の高い情報漏えいのおそれ
 3. 重要インフラサービスの停止のおそれ
 4. 人の生命・身体が害されるおそれ
1.と2.に関しては紛れもなくその場しのぎでしかないのでまともな知性のある経営者であれば経営判断としての身代金払はしない。
3.に関しては微妙な問題なので、細かい分析をした上で社会への影響を考慮した上での経営判断となる。
4.に関しては仕方がない。払うしかない。
 ここで意識していただきたいことは、ランサムウェアの身代金の支払いに対する対応は経営者が判断すべき経営問題そのものである。現場のエンジニアや担当部署の責任者が判断するのではなく、その企業の経営方針として経営者が判断を下すべき経営問題ということだ。
 この記事の2ページ目でしきりに「交渉人」の必要性をしきりにアピールしているが、いい年した大人が妄想と現実を混同するのをいい加減にするべきだ。きっと、この記事を書いたライターの人は交渉人をモデルにした映画かドラマでも見た影響でも受けたのだろう。
 交渉人というのは本質的には犯人の脅迫行為を容認することだけではない。そもそも、犯人側にとって身代金事件の成功の鍵は交渉人が握っている。身代金支払いにより犯人側が犯罪収益を得るための功労者であることから共同正犯(刑法60条)が成立してしまう。つまり、刑法上は身代金を要求してきた犯人グループの一員とみなされてしまうわけだ。
 記事では「ランサムウェア交渉人を運用するためには、警察に犯人を特定、摘発できるくらいのサイバー捜査能力が必須となる。」と書いてあるが、犯人を特定、摘発できるのであれば犯人逮捕とともに暗号鍵も押収できるからから身代金を支払う必要がないではないか。この記事を書いたライターは自身の書いた言葉の意味を理解してこの記事を書いているのだろうか。犯罪を正当なビジネスにしてしまうこと自体が非現実的だし、あまりにも考えが幼稚で虚構と現実を取り違えたような記事を書いている暇があれば、もっと社会の勉強をし直した方が佳いだろう。もし、このライターがジャーナリストの肩書を今後も掲げるつもりならば、この記事のような妄言を書き連ねる前にはよく調査と考察を重ねて自身の考えを遂行する必要がある。今回は半田病院の事件を起点としているので、デジタルフォレンジック研究会の医療分科会が公開している資料の『医療機関向けランサムウェア対応検討ガイダンス』(https://digitalforensic.jp/wp-content/uploads/2021/11/medi-18-gl02_compressed.pdf)を一読して勉強して出直してくることをおすすめする。

イベント・セミナー
オンライン
オンライン

備えあれば憂いなし!事例から学ぶ、ランサムウエア感染を想定した「必要」な準備とは?

開催趣旨:ランサムウエアの被害は年々増加傾向にあり、企業規模に関わらず感染のリスクは高まっているため、ランサムウエアに感染した際にどのような対応を行うか事前に決めておくことが重要となっています。本セミナーではランサムウエア対応マニュアル作成に役立つ、ランサムウエア被害の現状や事前準備がない状況での復旧作業の大変さ、 経験談を踏まえた事前準備の大切さなどをご紹介します。さらに、復旧に必要なモノや復旧後の効率的な構築方法なども併せてご紹介します。

    PR

    PR

    PR

処理に失敗しました

人気のタグ

おすすめユーザー

投稿したコメントを
削除しますか?

あなたの投稿コメント編集

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

通報

このコメントについて、
問題の詳細をお知らせください。

ビジネス+ITルール違反についてはこちらをご覧ください。

通報

報告が完了しました

コメントを投稿することにより自身の基本情報
本メディアサイトに公開されます

Media Open Sample

必要な会員情報が不足しています。

必要な会員情報をすべてご登録いただくまでは、以下のサービスがご利用いただけません。

  • 記事閲覧数の制限なし

  • [お気に入り]ボタンでの記事取り置き

  • タグフォロー

  • おすすめコンテンツの表示

詳細情報を入力して
会員限定機能を使いこなしましょう!

詳細はこちら 詳細情報の入力へ進む
報告が完了しました

」さんのブロックを解除しますか?

ブロックを解除するとお互いにフォローすることができるようになります。

ブロック

さんはあなたをフォローしたりあなたのコメントにいいねできなくなります。また、さんからの通知は表示されなくなります。

さんをブロックしますか?

ブロック

ブロックが完了しました

ブロック解除

ブロック解除が完了しました

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

ユーザーをフォローすることにより自身の基本情報
お相手に公開されます

Media Open Sample