メールマガジン

サイバーセキュリティや
ラックに関する情報をお届けします。

広報情報　|　
2018年10月11日

【対談：ラック西本企業探訪】創業210余年の企業に学ぶ先進的IT活用の理念と実践～清水建設編（2/3）

広報

メルマガ登録する

メルマガ登録する

各業界で活躍するIT部門のキーマンをラック社長の西本逸郎が訪ね、IT戦略やサイバーセキュリティの取り組みについてうかがう対談企画「ラック西本企業探訪」。
2回目は、清水建設の「隠さない」文化醸成の秘密に迫ります。

【前回】ラック × 清水建設編（1/3）へ

「クレジットカードを停止してしまった！」も訓練のうち

西本：米国の動画配信サービス企業では、本番システムにわざと障害を起こし、どう対応するかを訓練していると言います。常々システムを止めないように頑張っている情報システム部門にとっては勇気のいる取り組みですが、当社でもいつかやってみたいと考えています。

伊藤：標的型攻撃メール訓練も、当社のような一般企業にとっては同じようなものかもしれません。メール訓練の文面内容を真に受けて、心配になった社員が自分でクレジットカードを停止して、後からクレームが来たことがあります。我々のような立場からすれば、その文面であれば信憑性は分かってもらえると思っていたのですが（笑）。

西本：そうした経験をすることも含めて訓練ですよね。でも、カードの利用を停止してしまったにしても、きちんと報告が上がってくるのですね。

伊藤：社員が真面目なのか、黙っていれば分からないようなメールの誤送信も含め、ちゃんと報告してきます。

西本：メールの誤送信といえば、当社は最近、社内メールは極力控え、チャットツールを使うように誘導しています。というのも誤送信がけっこう多いからです。誤送信をする人は繰り返す傾向があります。ですから、罰を与える意味ではなく、一定期間に複数回の誤送信をした人に対しては、1カ月の間、メールの送信をさせないルールにしています。メールを新規に作成して送信するという行為は、ある面、専門性の高い業務で、その適性がなければないで、いかに仕事を回せるようにするかを考える必要があると思っています。

伊藤：当社は、メール送信前にはユーザー自身が一度チェックしてからでないと送信できない仕組みにしています。5分とか一定時間送信を遅らせる仕組みも考えましたが、それでは結局放置され、誤送信を防ぐことにはなりません。ですから、送信先を確認し、添付ファイルがあればそれを暗号化するという2段階のアクションを取らせるのです。

西本：当社は5分間の送信保留時間を設けているのですが、この保留中に送信を取り消した割合はどのくらいだと思われますか。

伊藤：5％以下くらいじゃないですか。

西本：7、8％でした。この数字を見てびっくりしましたし、非常にまずいと思いました。社長をクビにするのは簡単です。重要な仕事のメールを誤送信すればいいのですから（笑）。確信犯的に行うかはともかく、メールで仕事をしている限り致命的な事故は避けられないと思い、今のところ社内のやり取りはメールではなくチャットでするよう、誘導するようにし始めました。

事故を機に「隠さない」文化がより強固に

伊藤：当社は社員と派遣社員を合わせて約1万3千人いる中で、社内向けの誤送信は問わないことにしているのですが、社外への誤送信は年に10件程度報告があります。

西本：それは実に少ない！

──何よりきちんと報告が上がる点がすばらしいと思います。叱られることを恐れて隠したくなる心理が働くのが普通ですが、それをどうやって払拭されたのですか。

伊藤：2004年にセキュリティガイドラインを作成した時から、連絡報告体制を盛り込んでいます。そもそも建設業界は、サイバーセキュリティに限らず、品質や安全は最優先で、何らかの問題があるときは必ず上に報告する文化が徹底していますし、ルールも決まっています。当社の仕事はB to CではなくB to Bです。もし事故があればお客様に迷惑をかけることになってしまいますので、きちんと報告することを定義しています。

西本：企業文化として根付いている安全への意識が、あらゆる場面で発揮されているのですね。

伊藤：2007、8年ごろに、協力会社で情報漏洩が発生したことがありました。ちょうどウィニーなどのファイル共有ソフトウェアが人気になった頃です。対応はなかなか大変でしたが、その経験を経て、社員がより明確に報告を意識するようになりました。建設業界の場合、1つの協力会社に複数のプロジェクトを依頼することがあるため、何かあると、複数の得意先の図面情報が一気に漏れる恐れがあります。

「何が漏れたか」「なぜ漏れたか」「再発防止をどうするか」をお客様にきちんと説明してお詫びするためにも、いかに早く発見して正しく対応するかが大事です。それには「隠さない」のが一番です。

西本：日本が誇る製造業でも、サプライチェーン全体でどう営業機密を守るかがここ数年の課題になっていますね。

伊藤：そうですね。ただ、製造業と建設業では違うところもあります。製造業ならば作業を細分化し、図面をパーツ化して必要な箇所だけを協力会社に提供することが可能ですが、建設業の場合はそうはいかず、どうしても図面全体を渡す必要があります。少子高齢化の中、一部の業務は自動化を進めていますが、それでもコアの部分では図面を示しての共同作業が残ります。公開する情報が膨大なため、拡散するリスクも高いのです。

──それは紙で共有する必要があるという意味でしょうか。

伊藤：紙もありますが、データそのものです。それも、従来の2次元のCADだけでなく3次元のCADや、属性情報を加味したBIM（Building Information Modeling）を扱うようになっています。現時点で最もいい解決策は、ドキュメントに鍵をかけ、工事の進捗や業者によって「印刷は許可する」「追記も許可する」といった具合に制御するライツマネジメントだろうと考えています。ただ、Microsoft OfficeやPDFに対応したものはあるのですが、CADに対応したものがなかなかないのが悩みですね。

【次回】ラック × 清水建設編（3/3）へ