開閉ボタン
ユーザーメニュー
ユーザーメニューコンテンツ
ログイン

  • 会員限定
  • 2017/05/10

鹿島建設に学ぶセキュリティ対策事例、海外拠点への3つのアプローチ (2/2)

商習慣、事業規模の違いを乗り越える3つのアプローチ

 この他、現地IT担当者に各社のIT環境に関わる情報セキュリティ自己点検を実施させるなど4年にわたり、海外拠点のセキュリティ対策を行ってきた同社だが、そこには海外拠点特有の課題があったという。それは商習慣と事業規模の違いによるセキュリティに対する考え方の違いであった。

 商習慣の違いで最も端的なものは「情報の持ち出し」に対する考え方である。自宅にパソコンを持ち帰って仕事をすることが業務スタイルとして確立されている北米などでは、日本側で最も基本的な情報漏えい対策である「情報の持ち出し禁止」が理解されにくかった。また、海外の従業員は個人の所有するスマートフォンで会社の業務メールを利用することも制限されておらず、日本が示すポリシーの雛形に「BYOD禁止」とうたっても受け入れられなかった。加えて、日本側からは期限を定めてさまざまな施策の実行を指示するのだが、国内部署とは異なり、期限までに回答が返ってくることは少なかった。

 一方、事業規模という観点では、拠点によりIT予算額が異なるため、標準の施策を展開しようにも、導入費用が制約となり見合わせとなるケースがあった。また導入費用の壁をクリアしても、施策を推進する適切なIT人材を雇用できずに保留となるケースもあった。

 これらの課題に対応していく中で、大塚氏は3つのアプローチに行き着いた。

 1つ目は「対話によるコミュニケーション」。メールのやり取りでは双方の意思疎通を図るのには限界がある。電話会議やWeb会議を使って現地のIT担当者と対話を重ね、現地事情をヒヤリングし、それぞれ拠点の事情に応じた解決策を探った。

 2つ目は「時間をかける」こと。海外拠点の従業員には、セキュリティ事故が業務に与える影響の大きさが十分理解されておらず、日本側の指示する対処要請に優先度が与えられない。当然、実施期限も守られなかった。このような海外拠点側の事情をふまえ、性急な改善を求めずに半年、1年をかけて気長に対応するよう心掛けた。 対応期間を長めに設定することで、日本側に現地の事情を検討、考慮する余裕が生まれ、結果的に現地法人側との良い関係を築くことに繋がった。

 3つ目は「繰り返す」こと。大塚氏は次のように語る。

「海外拠点の従業員自身にセキュリティリスクを認識してもらい、辛抱強く、セキュリティレベルの向上という目標を示して主体的な取り組みを促すべきであることを学びました。また、実施した訓練、点検などは必ず結果をフィードバックし、『次はこうしよう』とお互いに改善点を確認し、繰り返していくことが重要です」(大塚氏)

 このような取り組みが功を奏し、各種点検結果の改善、実施期限遵守率の向上が図られた。今後も現地のITの責任者と密に連携しながらさらなる改善を目指していく予定だ。

建設業界団体も、業界全体のセキュリティ意識向上に注力

 大塚氏はまた、業界団体である一般社団法人 日本建設業連合会(以下、日建連)のIT推進部会内の情報セキュリティ専門部会でも活動している。建設業のセキュリティ対策は他業種にない難しさがあるそうだ。

「建設現場は屋外で、外部と環境を完全に遮断できません。ドローンで現場を空撮されるリスクもあります。また、現場に出入りする関係者も多く、工期が数年におよぶ大型プロジェクトでは延べ数万人に上り、それぞれのセキュリティ意識もさまざまです。これらの特徴から建設業は社員のみならず関係者による図面やPCの盗難・紛失が起こりやすいという特徴があります。

 また最近は就職して間もない若者が作業員として工事現場に入場した途端、スマホで撮った写真をSNSへ投稿してしまうようなセキュリティ事故が珍しくありません」(大塚氏)

 情報セキュリティ専門部会では、こうした状況、特に協力会社の情報セキュリティレベルの向上を推進すべく、e-Learningなどの教育ツールやガイドライン、セキュリティチェックシートを整備し、専門部会のポータルサイトを使って情報発信している。

 鹿島建設では、日建連の協力会社用セキュリティチェックシートを自社用にカスタマイズして利用している。

「チェック項目の中で、情報漏えいリスクに直結するものを重視し、秘匿性の高い情報を扱う工事現場では、該当項目で期待する回答ができない協力会社は改善するまでフォローしています。また当社と関係の深い協力会社に対しては専用ホームページでチェックシートを公開し、サイバーセキュリティ月間での自己点検を指示しています。チェックシートをダウンロードする際、社名を入力するよう工夫しており、現在までに約500社がダウンロードしたことが確認できています」と大塚氏は語った。

「セキュリティリスクは、突き詰めれば『人』にたどりつきます。日建連では人間がうっかりミスをして、またはルールを知らないで起こしてしまうセキュリティ事故を防ぐべく、さまざまな取り組みを行っています。その中で最も大切なのは教育であり、セキュリティ意識の低い人をターゲットに、わかりやすい教材を用いて、注意喚起を繰り返す中で、協力会社従業員の意識改革を図っていくしかないと思っています」(大塚氏)

この続きは会員限定です

ここから先は「ビジネス+IT プレミアム会員」に登録の方(登録は無料)のみ、ご利用いただけます。

今すぐビジネス+IT会員にご登録ください。

すべて無料!ビジネスやITに役立つメリット満載!

  • 1

    インタビューから事例記事まで、ここでしか読めない1万本超の記事が無料で閲覧可能

  • 2

    導入事例資料や技術資料、デモ動画などを無料でダウンロード・閲覧可能

  • 3

    年間1,000本以上、会員限定のスペシャルセミナーにご招待

  • 4

    ビジネス+IT編集部が必読記事を、メールマガジンでお知らせ!

標的型攻撃 ジャンルのセミナー

標的型攻撃 ジャンルのトピックス

標的型攻撃 ジャンルのIT導入支援情報

ビジネス+IT 会員登録で、会員限定コンテンツやメルマガを購読可能、スペシャルセミナーにもご招待!