日揮ホールディングスの理事であり、戦略企画オフィス デジタル戦略・IT統括ユニット 部長を務める井上胤康氏は、9月17日~19日に開催されたオンラインセミナー「TECH+フォーラム セキュリティ2024 Sep.次なる時代の対応策」において、「ゼロトラスト時代の生存戦略」と題した講演を行った。同講演では、プラント建設を主力とするB2B企業である日揮グループのサイバーセキュリティ対策の実践と、その過程で得られた洞察が共有された。

世界的な重要インフラへのサイバー攻撃がセキュリティに注力するきっかけに

日揮グループは、1928年に創業した歴史ある企業で、主にエネルギー、化学、インフラ関連のプラント建設を手がけている。グループ全体で約8000名の従業員を抱え、売上の大半は石油・ガス・化学関連事業が占めている。井上氏は、自身がIT専門家ではなく、もともとはプラント制御システムのエンジニアであったことを明かしたうえで、2017年にプロジェクトIT担当となり、その後グループ全体のIT基盤を統括する立場になったと説明した。

サイバーセキュリティへの本格的な取り組みは、2012年のイランの核施設へのサイバー攻撃や2015年のサウジアラビア国営の石油会社・サウジアラムコの石油施設への攻撃など、エネルギー関連インフラを標的とした事例が増加したことがきっかけとなった。井上氏は、「サイバー攻撃が常態化し、業界や業態に関係なく、インターネット/通信網上に安全な場所がない状況になっている」と現状を分析した。

建設現場の「Respect & Care」の考え方をサイバーセキュリティにも適用

日揮グループでは、多要素認証(MFA)の導入やエンドポイント対策など、さまざまな技術的対策を実施してきた。しかし、井上氏は「技術的対策はサイバー犯罪者との追いかけっこになっている」と指摘し、「自分たちにとって本当に重要なリスクは何か」を考えることの重要性を強調した。さらに、技術的対策だけでなく、人的側面、特に社員の意識と社内文化の変革が重要だと述べ、建設業における労働災害対策の例を挙げ、教育、訓練、ポリシー、手順、意識向上などの「Adaptive Measure」の重要性を指摘した。

同グループでは、社員の意識向上と社内文化の変革を図るために、さまざまな取り組みを行っている。最新のサイバー脅威状況と社内セキュリティガイドラインについて、eラーニング教材を通して年1回以上の継続的な教育を実施しているほか、定期的なフィッシングメール訓練も実施。また、社長を委員長とするグループ全体の情報セキュリティ委員会を設置し、実効性のある活動を推進している。

さらに注目すべきは、建設現場の安全文化で用いられる「Respect & Care」の考え方をサイバーセキュリティにも適用している点だ。このプログラムは、単にルールを守ることや安全器具を使用することだけでなく、人と人との関係性や互いを思いやる気持ちが現場の安全を強化するという考えに基づいている。井上氏は、この人間中心のアプローチがサイバーセキュリティにも有効であると考え、適用を試みており、年1回の安全大会でもサイバーセキュリティについて時間を設けて啓発を行っているそうだ。

  • 「Respect & Care」の考え方

これらの取り組みを通じて、同氏は「セキュリティは特定部門の仕事ではなく、全社員が自分ごととして捉えるべき」だという認識の浸透を目指している。

ゼロトラストと「本質安全」の考え方

講演の後半では、ゼロトラストの概念について深く掘り下げた。井上氏は、従来の境界防御モデルからゼロトラストモデルへの移行を説明しつつ、「ゼロトラストは単に新たな境界をつくっているだけではないか」という疑問を投げかけた。そこで提案されたのが、「本質安全」の考え方だ。機械設計や制御設計の分野で用いられるこの概念を、サイバーセキュリティに適用することを提案した。

本質安全の具体例として、踏切と立体交差の比較を挙げた。踏切は「機能的安全」の例で、警報機や遮断機という安全機能を付加することで事故を防ごうとする。一方、立体交差は本質安全の例で、道路と線路を物理的に分離することで、そもそも衝突の可能性を排除している。踏切の場合、警報機や遮断機が故障すれば事故のリスクが生じるが、立体交差ではそのようなリスクがない。

井上氏は、このアナロジーをサイバーセキュリティに適用し、単にセキュリティ機能を追加するのではなく、そもそもリスクの発生源を除去または最小化する方法を考えるべきだと主張した。例えば、セキュリティ対策を検討する際に、「なぜその情報を入力・保存する必要があるのか」「その機能は本当に必要か」「オフラインでできることをオンラインでする必要があるか」「社内ネットワークに接続する必要があるか」などの問いかけを行うことを推奨している。これらの問いを通じて、危険の源そのものを最小化できる可能性があるという。

さらに、井上氏は「孫子の兵法」を引用し、サイバーセキュリティにおいては「己を知る」ことが重要だと強調。自社のシステムや情報資産を正確に把握し、どこに脆弱性があるかを理解することが、効果的なセキュリティ対策の基礎になると説いた。

協力してサイバー空間の安全を

講演の結びとして、井上氏は、サイバーセキュリティが企業の差別化要素ではなく、ビジネス継続のための基本的要件であること、セキュリティ担当者は犯罪者から会社を守る「ガーディアン」としての気概を持つべきであること、そしてサイバーセキュリティは一企業の取り組みではなく、業界、地域、国、そしてグローバルレベルでの協力が必要であることを強調した。

「皆さんで協力してサイバー空間を安心・安全な空間にしていきましょう」(井上氏)