日揮ホールディングスの理事であり、戦略企画オフィス デジタル戦略・IT統括ユニット 部長を務める井上胤康氏は、9月17日~19日に開催されたオンラインセミナー「TECH+フォーラム セキュリティ2024 Sep.次なる時代の対応策」において、「ゼロトラスト時代の生存戦略」と題した講演を行った。同講演では、プラント建設を主力とするB2B企業である日揮グループのサイバーセキュリティ対策の実践と、その過程で得られた洞察が共有された。
世界的な重要インフラへのサイバー攻撃がセキュリティに注力するきっかけに
日揮グループは、1928年に創業した歴史ある企業で、主にエネルギー、化学、インフラ関連のプラント建設を手がけている。グループ全体で約8000名の従業員を抱え、売上の大半は石油・ガス・化学関連事業が占めている。井上氏は、自身がIT専門家ではなく、もともとはプラント制御システムのエンジニアであったことを明かしたうえで、2017年にプロジェクトIT担当となり、その後グループ全体のIT基盤を統括する立場になったと説明した。
サイバーセキュリティへの本格的な取り組みは、2012年のイランの核施設へのサイバー攻撃や2015年のサウジアラビア国営の石油会社・サウジアラムコの石油施設への攻撃など、エネルギー関連インフラを標的とした事例が増加したことがきっかけとなった。井上氏は、「サイバー攻撃が常態化し、業界や業態に関係なく、インターネット/通信網上に安全な場所がない状況になっている」と現状を分析した。
建設現場の「Respect & Care」の考え方をサイバーセキュリティにも適用
日揮グループでは、多要素認証(MFA)の導入やエンドポイント対策など、さまざまな技術的対策を実施してきた。しかし、井上氏は「技術的対策はサイバー犯罪者との追いかけっこになっている」と指摘し、「自分たちにとって本当に重要なリスクは何か」を考えることの重要性を強調した。さらに、技術的対策だけでなく、人的側面、特に社員の意識と社内文化の変革が重要だと述べ、建設業における労働災害対策の例を挙げ、教育、訓練、ポリシー、手順、意識向上などの「Adaptive Measure」の重要性を指摘した。
メルカリで相次ぐ不正行為、どう対処しているのか? 不正対策部門の責任者に直撃
