北村氏:大成建設の北村です。われわれのセキュリティ体制を説明する前に少し建設業建設業はどういうものかお伝えしたいと思います。まず、建設の現場ではモノは作っていますが製造業ではありません。というのは、実際に手を動かしたり、クレーンを操作しているのは協力企業や専門工事事業者であって、私たちはそういう人や工程、品質などをマネジメントする、どちらかというとホワイトカラーの会社なのです。

大成建設 社長室 情報企画部部長 Taisei-SIRTリーダー 北村達也氏
そういう中で一番大事なのは、やはり顧客の企画書や設計図面などの情報です。ある顧客にとっては、これから工場を造るとか、APAC(アジア太平洋地域)のある地域に工場を造るといった情報自体が秘密である場合があります。また、非常に機密性が高いプロジェクトの場合は、紙の図面やデータを収めたDVDなどを持っていく際には、飛行機は墜落したらデータを回収できないから使ってはダメで電車を使うなど、そういうレベルの情報も扱います。やはり情報管理がきちんとしていることが求められます。
そうした中で最初に発生した大きなインシデントが、2006~2007年頃に話題になったファイル交換ソフトの「Winny」です。建設業は元請け、一次請け、二次請けと重層下請の構造となりますが、その当時、一部の下請けでは私物のPCを使って仕事をする一方で、同じPCでWinnyなどを私的に利用していることが見受けられました。そのときにある専門工事業者の社員のPCがWinny経由でウイルスに感染したことが原因で情報漏えいしてしまった。その時のインシデント対応では、会社として誰が判断するのか、どのような体制で対応するのか大変混乱しました。
これではいけないということで、当時、情報管理関連規程の改訂を進めていたこともあり、情報の所管は誰であるとか、どういうような形で動くのかというルールを社内規程として一通り整備しました。しかし、そのうちに慣れてきたといいますか、たとえばPCが紛失したときに本来ならばCRO(Chief Risk Officer:最高リスク管理責任者)事務局に共有されるべきなのに作業所長とか下のレベルで判断してしまうことが散見されるようになってしまいました。
そこで、2012年、各種セミナーでCSIRT構築を推奨していることもあって、これを使えばうまくいくのではないかということで、CSIRTを作ることを始めました。
実際のCSIRTの体制は、仮想的な組織として実装しています。仮想的というのはつまり、「CSIRT室」や「セキュリティ部」という具体的な組織がないという意味で、普段は別の仕事をしていて、いざというときには集まるという、「他社のCSIRTが消防署なら、うちは消防団である」という言い方ですね。消防団ですから、当然大きな火事があると手に負えません。そういうときは外の力を借ります。
さきほど、「建設業はマネジメントが主です」と話しました。自分たちだけではできない建設を、外部の専門工事業者などの力を借りて取り組んでいるわけですね。すべてを自分たちで所有するのではなく、外部に依頼する。そういう企業風土があるので、セキュリティも同じということです。
「Taisei-SIRT」は仮想の組織であって、かつすべての技術を中に持つのではなくて、外の力を借りながら運用していくというような取り組みです。