IT & Information security Journal

  1. UNITIS
  2. セキュリティマネジメント
  3. 日揮ホールディングス デジタル戦略ユニット -「安全第一」をセキュリティにも広げる

CLOSEUP セキュリティ組織 第10回

日揮ホールディングス デジタル戦略ユニット -「安全第一」をセキュリティにも広げる

1928年に石油製品の販売を目指して設立された日揮(現 日揮ホールディングス)。1930〜50年代にエンジニアリング事業を本格化し、国内の石油精製・石油化学プラントの設計・調達・建設(EPC)事業を相次いで手掛けると、1960年代以降は海外に進出し、1980年代にはライフサイエンス分野などに参入するなど、事業領域・分野を拡大してきました。

現在、国内外合わせて約8,000人(連結)にのぼる社員を抱える同グループのセキュリティは、どのような体制で維持されているのでしょうか。日揮ホールディングスの理事であり、デジタル戦略ユニットの部長を務める井上 胤康氏に、これまでのセキュリティ体制の変遷や、海外拠点のセキュリティ管理における考え方、セキュリティ人材に求めるスキルなどを聞きました。

この記事のポイント


  • エネルギー業界へのサイバー攻撃増加により、セキュリティ組織を再編。2019年のホールディングス化に伴う組織改編を契機としてテクニカルなセキュリティ対応に取り組み、2021年からはガバナンスを強化するための体制整備にも注力
  • 海外拠点のセキュリティ管理においては、技術的な対策を行うのはもちろん、人的要因から生じるリスクを捉えるために、現場の人とのつながりを作ることでセキュリティの穴を洗い出すことを重視している
  • メンバーに求めるスキルとしては、セキュリティに特化した能力に加え、チームとして動けるコミュニケーション力や、「日揮グループなら、こういう対策をすべき」という日揮グループならではのバランス感覚を重視

日揮ホールディングス株式会社 デジタル戦略ユニット
井上 胤康(たねやす)氏(部長)

グループのIT運用・セキュリティ対策をホールディングスで統括

事業概要を教えてください。

現在、総合エンジニアリング(EPC:設計・調達・建設)事業、機能材製造事業、環境・エネルギーコンサルティング事業などを手掛ける事業会社があり、それらを日揮ホールディングスが束ねる体制をとっています。売上の屋台骨は海外における石油・ガス分野のEPC事業で、約7割に上ります。また、1980年代にはグループ売上の海外比率が5割を超えるなど、古くからグローバル事業を積極的に展開してきたのも当グループの特徴の1つです。これからはクリーンエネルギーの事業分野の売上拡大を視野に入れています。

日揮グループの組織図
日揮グループの組織図

事業会社を通じて世界中で仕事をされているわけですが、セキュリティ組織はどのような体制をとっているのでしょうか。

セキュリティ組織の体制はこの数年で様変わりしてきました。その経緯も含めて説明しましょう。

2017年まで、ITに関する組織は日揮株式会社(当時)の社内に分散しており、経営統括本部にあるコーポレートIT室という部署がこれを取りまとめる形になっていました。やがてDXが社会的な流れとなってきたことを受け、当社も2018年に、日揮グループのメインビジネスであるEPC事業の変革を主目的として、2030年における最新IT活用の将来像と、その将来像からバックキャストして実現に向けたロードマップを描いた「ITグランドプラン2030」を策定、デジタル技術を積極的に活用する方向へと舵を切り、同時に社内に散らばっていたIT組織をデータインテリジェンス本部として集約しました。

こうした動きは生産性向上や効率化といったDXの実現に主眼を置いたもので、セキュリティへの配慮は最小限でした。当社の仕事は、プラントや工場を建設したいという企業がお客様という純粋なBtoBであり、プロジェクト1件あたりの売上が大きく、年間の受注件数は限られているのが特徴です。そのため、当時は各プロジェクトが順調に動いていれば問題ない、という企業文化であり、ITやサイバーセキュリティに関してはそれほど力を入れていませんでした。

しかしその頃、エネルギー業界をターゲットにしたサイバー攻撃が、世界中で発生するようになっていました。2015年にはウクライナの電力施設がサイバー攻撃を受け、また2016年にイランで製油所が爆発した事件では、国際紛争に絡んだサイバー攻撃が関わっているのではないかと疑われていました。我々が深く関わっている業界、我々が建設している設備が被害にあったことで、サイバー攻撃が身近な脅威として感じられるようになってきたのです。

そうした脅威に対抗するため、2019年のホールディングス化に伴う組織改編では、グループ全体のIT運用・セキュリティ対策を日揮ホールディングス(以下、HD)が統括することを決め、翌年にはHD内にグループ基盤DX部を設立しました。そしてまずはテクニカルなセキュリティ対応、いわゆるゼロトラストを前提としたセキュリティモデルを作り始めたのです。

日揮グループにおけるセキュリティ体制の変遷
日揮グループにおけるセキュリティ体制の変遷

我々の仕事はお客様のオフィスや建設工事現場へ出張して仕事をするのが当たり前で、PCを社外に持ち出すのも当然のことなのですが、「社内とデータをやり取りする際、いちいちVPNに接続するのが面倒」という声も聞かれていたため、それまでデータセンターを中心にしていた情報システム基盤の多くをクラウド環境に移行するとともに、セキュリティ対策として、多要素認証の仕組みをとり入れることを最優先としました。

多要素認証を重視した背景には、当時、当社の社員が詐欺メールによってIDとパスワードを詐取され、その社員のメールアドレスからフィッシングメールが数百通送信されたという一件がありました。フィッシングメールは当社の顧客である某国石油会社社員へも送られてしまい、結果としてそのお客様から、当社ドメインのメールを一切遮断されるまでの大事になってしまいました。これを元に戻してもらうため、また、同じことを繰り返さないために、多要素認証の採用は必須だったのです。

日揮ホールディングス株式会社 理事 デジタル戦略ユニット部長 井上 胤康 氏
日揮ホールディングス株式会社 理事 デジタル戦略ユニット部長 井上 胤康 氏

教訓をもとに立ち上げた「グループ情報セキュリティ委員会」

世の中や業界の動向に合わせて、セキュリティ組織を整備してきたのですね。

同時に社員の意識や、ガバナンスを強化することも必要でした。そこで2021年、HDにおいて、CDO(Chief Digital Officer)とCIO(Chief Information Officer)が管轄する「ITサミット委員会」のもとに、情報セキュリティ分科会を作り、地道なガバナンス強化を行ったのですが、これがなかなか上手くいきませんでした。分科会では各部門のセキュリティ担当がヒヤリハットやインシデントの情報共有をしてはいたものの、分科会内だけで完結してしまっていたんです。本来なら、そこで議論したことを各部門の上司に報告し、上司がセキュリティ対策の徹底を指示すべきでしたが、それができていなかったんですね。

これではいけないと、2022年末から2023年初頭にかけ、事業会社のマネジメント層が集まる会議をはじめとして、ことあるごとに私が出向いて「当グループのセキュリティにはこんな課題がある」という話をし、危機意識を煽ったんです。「トラブルやインシデントが発生したらそれを共有するだけでなく、上層部から対策の徹底を指揮しないと、当事者に口頭注意するだけで終わってしまい、インシデントの減少につなげられない」などと主張を続けていったところ、それが認められ、最終的には「グループ情報セキュリティ委員会」を立ち上げることができました。HDのCOO(Chief Operating Officer)を委員長、CIOを副委員長に据え、ハイレベルなメンバーで構成した組織です。

また、2023年4月には、グループ基盤DX部をデジタル戦略ユニット(HD内)とコーポレートIT部(日揮コーポレートソリューションズ内)に分けました。デジタル戦略ユニットがデジタル戦略、ITガバナンス、予算管理を担当し、コーポレートIT部では、通常のIT運用やSOC、戦略実現のための実務などを担当するという役割分担となっています。

現在のIT組織の構成、およびデジタル戦略ユニットとコーポレートIT部の関係
現在のIT組織の構成、およびデジタル戦略ユニットとコーポレートIT部の関係

改めて現状のセキュリティ体制をまとめると、下図のようになります。情報セキュリティのガバナンス体制としては、HDのCOOを委員長としたグループ情報セキュリティ委員会があり、その中にHD、日揮コーポレートソリューションズ、日揮グローバル、日揮の4社による連絡会(YOC4社連絡会)、国内グループ会社連絡会、海外グループ会社連絡会があり、デジタル戦略ユニットが事務局として入っています。

日揮グループの情報セキュリティガバナンス体制
日揮グループの情報セキュリティガバナンス体制

実務を伴う情報セキュリティオペレーションは、日揮グループのドメイン(jgc.com)下に基盤を持つかどうかで、管理・運用を分けています。ドメイン下ならデジタル戦略ユニットの統括下で、日揮コーポレートソリューションズ(ITだけでなく、法務や財務などグループの間接業務をまとめている)が実務を担当し、それ以外のドメインに関する実務は、各社個別に実施してもらうという形です。

日揮グループの情報セキュリティオペレーション体制
日揮グループの情報セキュリティオペレーション体制

ここまでお話ししたとおり、DXという社会的な流れ、高まるセキュリティの脅威などの外部環境に合わせながら、2017年からの数年間で組織を改編し、まとめてきたというわけです。

海外拠点のセキュリティは「技術」と「人」の両面から

海外拠点のセキュリティ管理にはどのように取り組んでいますか。

当グループの場合、海外子会社を統括する日揮グローバルがあり、その上にHDがあるという状態で、HDと海外拠点との「距離」が遠いのはたしかです。そのため、海外子会社を管理する部門に対しては、ITリテラシー向上やガバナンス強化のための教育が必要だと思っています。また、最終的にはHDのIT組織が子会社すべての状況を把握できるようにするのが理想です。

その理想を実現させるために、現在も日々、グループ情報セキュリティ委員会の効力を高め、グループ内の状況を100%把握できるようにすることを目指しています。ビジネス戦略であれば事業部の動きさえ把握できていればいいわけですが、セキュリティ対策においては、同じグループ内とはいえ関わりがないようなチームや、そこで働く人たちの状況までキャッチしておく必要があります。

仮に、海外のグループ会社が新たに受注したプロジェクトのために、建設現場の事務所に独自のサーバーを立てて、グループのネットワークに接続する、といった状況になってしまうと、そこにセキュリティリスクが発生します。建設にしても営業にしても、スタッフを現地採用することが多く、本社のことをよく知らない人もいます。そういう人たちがグループのネットワークに入って仕事をするわけですから、しっかりと人員を把握し、教育を施すことが重要です。

技術的な対策としては、SIEM 1 の導入のほか、ISMS 2 の取得、ペネトレーションテスト 3 の実施、現場独自で導入したアプリの安全性確認などを行っていますが、本質的な穴、つまり人的要因から生じるリスクはそれらでは捉えきれません。だからこそ、人と人のつながりを作って、その中で自分たちの弱点となり得るセキュリティの穴を洗い出していくことが重要だと考えています。技術を起点に安全を考えるより、現場やそこで働く人の状況からリスクを見つけていきたいと考えています。

現場スタッフにイメージしやすい例でセキュリティを説明

グループ内のセキュリティ教育については、どのようなことを行っていますか。

詐欺メール訓練やeラーニングなどを、この3年ほど積極的にとり入れています。eラーニングは、PCの使い方やデータの取扱いなど、日揮グループのセキュリティルールを学んでもらうことが目的です。ルールブックやマニュアルをただ渡してもまず見ないでしょうから、〇×形式のテストを年1回行って、ルールの周知に努めています。中途採用者には、PCを貸与するときにこのeラーニングを受講することを義務付けました。そのほか、一般的な情報セキュリティの知識を得てもらうために、外部企業の教材を使った教育も行っています。

貴社グループではオフィスで働く方はもちろん、設計・建設などの現場で働く方も多いかと思いますが、職種によって教育の方法を変えるなどの工夫はされていますか。

現場の安全というテーマには長年取り組んでおり、年1回「Safety Day(安全大会)」というものを開催しています。これは、日揮グループのHSSE(健康、安全、セキュリティ、環境)基本理念である「すべての人が、健康で安心して働き、家族のもとへ無事帰る」をグループ全社で意識するために行っている催しです。多くのグループ社員が参加することから、その場でセキュリティ関連の講演もするようになりました。先日実施した講演では、設計の文脈でよくいわれる「本質安全と機能安全」の話に絡めながら、セキュリティについて話をしました。

「本質安全と機能安全」とはどのような話でしょうか。

たとえば、線路と道路を交差させるとき、一番安全なのは立体交差にすることです。これが本質安全です。ただ、様々な条件から立体交差化できない場合もあるわけで、そのときは踏切という機能を設けて安全度を高めるのが一般的でしょう。これが機能安全です。

これをサイバーセキュリティに置き換えます。たとえばUSBです。データの受け渡しにUSBを使うと、うっかり重要機密が含まれたファイルまで一緒にUSBにコピーして渡してしまったり、紛失してしまったりするリスクが生じます。そのため、本質安全を目指すならば、USBを使わないのがよいということになるでしょう。しかし、それでは業務がまわらない現場も考えられますから、その場合は、USBから会社のPCへデータの読み込みはできるけれど、USBへ書き出すことはできないようにするといった対策が、機能安全のための方法として考えられます。

ほかにも、「そのサーバー、本当にインターネットに公開する必要がありますか?」「そのアプリ、社外からアクセスするシーンは想定できますか?」「全社員がその情報にアクセスできる必要がありますか?」といった質問を投げかけて、本質安全について考えてもらいました。

また、もう1つ話をしたのが、心理的安全性についてです。心理的安全性とは、誰にでも安心して自分の意見を伝えられる状態のことです。「こっちのやり方のほうが楽だから」「このくらいなら大丈夫」といってセキュリティリスクが高いことをしている人がいたときに周りの人がそれを注意できるような、心理的安全性が確保された環境を作ることが、リスク低減につながるという内容です。

Safety Day(安全大会)での講演風景
Safety Day(安全大会)での講演風景

コミュニケーション力や「当グループならこうすべき」という肌感覚を重視

セキュリティ組織の人材はどのように採用・育成されていますか。

セキュリティの実務を行う人材は中途採用とアウトソーシングで賄っています。内部で育てなければならないと思っているのは、当グループの事業やオペレーションについてしっかり把握していて、何かを行おうとしたとき、それにまつわるリスクがどの程度あるのかを判断できる人材です。

何をするにしてもリスクがゼロということはあり得ませんので、ALARP(As Low As Reasonably Practicable:合理的に実行可能な範囲でリスクを低くする)の考えのもと、リスクの程度や範囲を明らかにしたうえで施策・行動につなげていける組織を目指しています。ソリューションを導入すれば技術的に安全を確保できるケースもありますが、それに頼っていると予算がいくらあっても足りませんから。

まずはグループの事業を知るのが大切だということですね。

そのために、新しく加わった社員には、まず海外の現場など最前線を見てもらうとともに、業務のなかで判断力を養ってもらうようにしています。重視している能力は、きちんとコミュニケーションをとれることです。専門家になってしまうと周りの意見を聞かず、自分の独断で物事を進めてしまいがちです。また、セキュリティ関連業務が属人化すると、その人がいなくなったときにリスクが高まってしまうので、組織で対応できるようにしておかなければなりません。チームとして動ける人材が重要だということです。

人事評価でも、技術的な知識があるかないかより、「ある事案に対して、どう周りを巻き込み、合意形成につなげられたか」とか「インシデントの発生時に、適切な部門・部署・人に報告できたか」という面を重視しています。

いま、グループのITやセキュリティをリードしているデジタル戦略ユニットには10人いますが、みんなこれまで現場を見てきており、「当グループなら、こういう対策をすべき」という肌感覚を持っているメンバーを集めています。そうした「当グループならではのバランス感覚」を、多くの社員に身に付けてもらえればと思っています。

デジタル戦略ユニットとして、今後に向けてはどのような目標をお持ちですか。

ガバナンス強化、というと押し付け的に聞こえてしまうかもしれませんから、言い換えるなら「情報セキュリティ意識をグループの文化として醸成すること」を目指しています。先ほどもお話ししたとおり、当グループでは安全第一という意識が根付いています。サイバーセキュリティも「安全」を守るという意味では同じだという意識を広めていきたいですね。

(取材・文:渡邊智則、写真:岩田伸久)

この記事は会員限定です。
登録すると続きをお読みいただけます。

UNITIS 利用規約に同意のうえ

このサイトはreCAPTCHAによって保護されており、
Googleの プライバシーポリシー利用規約 が適用されます。

CLOSEUP セキュリティ組織

バックナンバー(全13件)

もっと見る

UNITIS@unitis_desk

最新情報をフォローする

UNITISは、IT・セキュリティ担当者へ、実務家・専門家による解説や他社事例等を伝えるメディアです。セキュリティ・法律の専門家による実務解説や分析、第一線の実務家による事例・ノウハウをお届けします。

最新情報をフォローする

あわせて読みたい

この記事をシェアする

TOP