建設現場のデジタル化が加速する一方で、重層下請け構造や中小企業の多さなど、建設業界特有の課題が浮き彫りになっている。こうした状況下で、情報セキュリティ対策の重要性がかつてないほど高まっている。
9月17日~19日に開催されたオンラインセミナー「TECH+フォーラム セキュリティ2024 Sep.次なる時代の対応策」に、竹中工務店 デジタル室 デジタル企画グループ シニアチーフエキスパートの高橋均氏が登壇。サイバー攻撃の巧妙化とデジタル化の進展を踏まえ、同社が自社およびサプライチェーンに対して実施している情報セキュリティ対策の取り組みについて、具体的な事例を交えながら紹介した。
竹中工務店、そして建設業におけるサイバーセキュリティの考え方
竹中工務店は1610年に創業した総合建設会社で、現在は建築のライフサイクル全体を通じた価値提供を目指している。建設業界全体が直面する労働生産性の低さと技能者数の減少という課題に対応するため、同社はクラウド環境に「建設デジタルプラットフォーム」を構築し、デジタル変革を推進している。
高橋氏は、建設業におけるサイバーセキュリティの対象として、デジタルインフラ、自社運営サービス、建設現場、建物、そしてサプライチェーンの5つを挙げた。特に注目すべきは、建設現場と建物のセキュリティである。
建設現場では、生産性向上のためにさまざまな機械やIoT機器が導入され、クラウド経由での機械操作も行われている。これらは作業員の安全や建設品質に直結するため、フィジカルとサイバーの両面でのセキュリティ対策が不可欠だ。また、近年の建物はスマートビル化が進み、クラウド、AI、IoTが連携した空調・照明制御や映像解析などが行われている。そのため、設計フェーズからフィジカル・サイバー両面でセキュリティを考慮することが必要となっている。
竹中工務店は、これらの課題に対して、セキュリティと利便性のバランス、環境変化への対応、外部サービスの活用という3つの基本的な考え方に基づいてサイバーセキュリティ対策を実施している。
建設業サプライチェーンにおけるセキュリティリスクとその対策
建設業のプロジェクトは多数の協力会社との協業で行われるため、サプライチェーン全体のリスク管理が極めて重要だ。高橋氏は、建設業特有のサプライチェーン対応の難しさとして、裾野の広い重層下請け構造、複雑な契約構造、専門のIT担当者やセキュリティに詳しい人材の不足、独占禁止法上の問題による強制力の欠如の4点を挙げた。
重層の下位や階層の数が増加し複雑化しているため、2次以降の協力会社の管理は非常に困難となる。また、多くの協力会社が複数のゼネコンの工事を請け負っているため、1社のルールを徹底することが難しい。アンケート結果によると、協力会社の半数が社員数50人未満の中小企業であり、IT専門家の不在が課題となっている。さらに、セキュリティ対策の強制が独占禁止法上の問題を引き起こす可能性があるため、慎重な対応が求められる。
これらの課題に対応するため、竹中工務店はさまざまな取り組みを実施している。まず、協力会社との取引開始時にセキュリティ運用基準を契約書に盛り込み、確実な周知を図っている。また、毎年政府が実施している「サイバーセキュリティ月間」を利用して動画やポスターを作成し、協力会社の意識向上を図るとともに、協力会社で発生したセキュリティ事故情報については協力会社向けWebサイトで共有し、注意喚起を行っている。
再委託時のセキュリティ対策も重視しており、採択先との秘密保持契約締結や同等のセキュリティ対策を求めることを運用基準に盛り込んでいる。特筆すべき取り組みとして、EDR導入を最優先で推奨していることがある。これは、昨今のランサムウエア感染事故の増加を背景に、高度なサイバー攻撃に対する被害を最小化するための効果的な対策として位置付けられている。
さらに、協力会社向けのセキュリティ相談窓口を設置し、「何をしていいか分からない」という企業からの相談を受け付けている。また、協力会社向けのウェビナーを開催し、実際に被害に遭った協力会社の体験談を共有することで、リスクの認識と対策の必要性を訴えている。同ウェビナーでは、事業停止や多額の復旧費用など、サイバー攻撃の具体的な影響を示すことで、協力会社の危機意識を高めることに成功しているという。
建設業界全体でセキュリティレベルの向上を目指す
サプライチェーンのセキュリティ強化は、一社の努力だけでは限界がある。そのため、日本建設業連合会(以下、日建連)を通じた業界全体での取り組みが重要となっている。日建連では、ICT推進部会や情報セキュリティ専門部会を通じて、さまざまな取り組みを行っている。
具体的には、企業が最低限行うべき対策をまとめたセキュリティガイドラインの作成、建設現場の作業員向けに情報漏洩防止のポイントをまとめたリーフレットなどの教育コンテンツの制作、ゼネコンから協力会社に依頼する対策の共通化などが挙げられる。特に、複数のゼネコンと取引がある協力会社の負担軽減を図るため、対策の標準化に力を入れている。さらに、竹中工務店が推進するEDR導入を日建連の対策にも盛り込み、建設業全体の対策として展開している。
これらの取り組みにより、個々の企業だけでなく、建設業界全体でのサイバーセキュリティレベルの向上を目指していくそうだ。
竹中工務店の取り組みは、デジタル化が進む建設業界において、サプライチェーン全体でのサイバーセキュリティ確保の重要性を示している。特に、中小企業が多い協力会社への配慮と支援、業界全体での標準化の推進は、今後の建設業界のサイバーセキュリティ戦略の模範となるだろう。今後は、これらの取り組みをさらに発展させ、建設業のデジタル変革とサイバーセキュリティの両立を図ることが求められる。