1年間にわたる学びの集大成として取り組んだ卒業プロジェクト
情報処理推進機構(IPA)は、セキュリティの観点から、将来的に企業などの経営層と現場担当者をつなぐ“中核人材”を対象とした「中核人材育成プログラム」を2017年から実施している。各企業から派遣された受講者は1年間にわたり、社会インフラや産業基盤のサイバーセキュリティの強化をテーマに、テクノロジー(OT/IT)、マネジメント、ビジネス分野を総合的に学び、業界全体を見据えたセキュリティやビジネスに対する理解を深めていく。
受講者はプログラムの最後の3ヵ月間、いくつかのチームに分かれて卒業プロジェクトに取り組むことになる。本セッションは第6期(2022年度)の同プログラムに参加した、建設業界(ゼネコン、サブコン、ベンダー、ユーザー企業)に所属する9名のメンバーが取り組んだ卒業プロジェクト「建設業とサイバーセキュリティ」について、参加メンバーを代表して2名(きんでん 情報通信本部情報通信企画部 情報通信企画チーム 課長 菊川智史氏と大林組 DX本部 基盤デジタル部 セキュリティ管理課 主任 小間誠貴氏)がその概要を解説したものである。
(左から)大林組 DX本部 基盤デジタル部 セキュリティ管理課 主任 小間誠貴氏、
きんでん 情報通信本部情報通信企画部 情報通信企画チーム 課長 菊川智史氏
菊川氏、小間氏ら建設業界のメンバーは卒業プロジェクトのテーマを選定するにあたり、
- 建設業におけるサイバーセキュリティインシデントの発生が増えている
- 建築物の快適性や利便性、安全性の向上は進んでいるが、サイバーセキュリティについては重要視されていないケースが多い
といった背景を踏まえ、卒業プロジェクトの目的を「建設業におけるサイバーセキュリティの意識向上」に設定した。その上で「建設業とセキュリティ教育」と「ビル設備におけるサイバーセキュリティ」の2つにフォーカス。以下、それぞれのプロジェクトの概要について触れていく。なお、いずれの成果物もIPAのWebサイト上で公開されており、誰でも閲覧可能となっている。
建設業におけるセキュリティ教育の必要性
菊川氏ははじめに、セキュリティ教育を取り上げた理由として、建設現場における「サプライチェーンのリスク」を挙げた。建設業界では一つの建設工事を複数の建設業者が共同で受注/施工する「共同企業体制度(JV)」が一般的だが、この制度により非常に多くの協力会社の作業員が現場入場することになる。大きな現場では100社を超える協力会社と1,000人以上の作業員が関わってくるという。そしてその中には当然ながらITリテラシーが低い人も少なくない。「たとえ自社のセキュリティが万全だとしても、協力会社を起点としたインシデントにより被害を受ける可能性は十分にある。協力会社を含め、広くセキュリティ教育を推進していく必要がある」と菊川氏。
もっとも建設業もこれまで現場に対してセキュリティ教育を行ってこなかったわけではない。たとえば業界団体の日本建設業連合会(以下、日建連)は、「建設BCPガイドライン」の発行や建設業界の労働環境の是正への取り組みなど、建設業の健全な発展に注力してきている。情報セキュリティに関しても11社11名で構成される情報セキュリティ専門部会を設置しており、情報セキュリティに関する調査やガイドラインの発行とともに動画などのセキュリティ啓発ツールの作成も行ってきている。だが、日建連のセミナー資料によれば国内の建設会社2,750社を対象にしたアンケートで「日建連の動画などの教育資料を知っている/利用している」と回答した企業は1~2割程度にとどまり、残念ながら「建設業のセキュリティ教育は十分に浸透していない」と言わざるを得ないようだ。
