• Column
  • 実行性が問われる産業サイバーセキュリティ

多くの事業者が携わるビル業界のセキュリティでは取引先を含めた施策の浸透が大切に

「重要インフラ&産業サイバーセキュリティコンファレンス」のパネルディスカッションより

篠田 哲
2025年4月24日

発注元やサプライチェーン各社を含めた施策の徹底が課題に

長谷川 :組織体制やビル管理の現場には、どのような課題がありますか。

村上 :九電工はサブコンとして工事を受注し、発注元が提示するセキュリティ要件に対応することになります。その際、客先や現場スタッフに対するセキュリティ教育訓練を依頼されることもあります。受注部門と我々サイバーセキュリティ室がやり取りし訓練を一緒に実施していますが、そこには、かなりのリソースが必要で負荷が大きいのが課題です。

 太陽光発電事業では複数企業が資本関係を結ぶこともあり、その際のセキュリティガバナンスの確保も課題の1つです。関係会社が多くなると事業システムの中にセキュリティの盲点のようなものができてしまったり、あるいは資本比率が大きい企業の声が大きくなりがちでセキュリティ対策に支障が生じたりすることがあります。そうならないよう各社とコミュニケーションを取り、あらかじめリソースを割り当てておくことが大切だと思っています。

武輪 :我々の課題はサプライチェーンです。空調機の部品製造会社をはじめ、製造した空調機を在庫するための倉庫ベンダーなど、さまざまな会社と付き合いがあるため、各社といかにセキュアな環境を構築し、うまく連携しながら事業を推進するかを常に考えています。

 サプライチェーン各社に参加いただく調達説明会を開催していますが、その場を借りてセキュリティについても説明しています。メール詐欺やランサムウェアといった攻撃手法から、その対策方法までを細かく伝えています。

 加えてシステムのセキュリティ体制も整備を進めています。最低限のアクセス制限はもちろん、サプライチェーン各社と当社のネットワークを物理的に分けて管理設定していただくなど、ごく当たり前のことを地道にやっているところです。

ツールの利用や現場の理解など“地道で泥臭い”対策が重要に

長谷川 :昨今はビル業界もクラウド利用を進めており、アタックサーフェス(攻撃対象領域)が広がりインシデントも増えているようです。ビルのセキュリティ対策は、どのように変化してきていますか。

亀ノ上 :ビル領域でも、クラウドやSaaS(Software as a Service)の利用が増えてきています。例えば、テナントが利用する空調の延長申請システムなどがオンプレミスからクラウドに移っていますが、そこがリスクポイントにもなります。

 そのため当社では2020年頃に、経済産業省の『ビルシステムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン』をベースに、当社の状況を加味してアレンジしたガイドラインを策定しました。現在は、そのガイドラインに基づき、クラウドサービス事業者が、どんなセキュリティ対策を実施しているのかを確認するチェックリストを用意するなど、IT領域同様のチェック体制を敷いています。

 ところで、空調システムを使う立場としては、システムベンダーが開発・運用フェーズなどで、クラウドを含めて、どういったセキュリティ対策を講じているのかに関心があります。武輪さん、いかがでしょうか。

武輪 :当社も“クラウドファースト”ということで、各種サービスの提供や製品開発でのクラウド利用が進んでいます。最近は特に、アジャイル型開発が主流になり、クラウド上でサーバーを立ち上げたり落としたりを繰り返すことが多くなりました。その際にセキュリティリスクに気づかなければ、そこが狙われます。

 対策として、クラウドセキュリティに関するガイドラインを社内で策定し、グループ全社に展開しています。開発現場での誤設定や顧客データの漏えいなどを未然に防ぐ体制づくりを進めています。

 社内で利用しているクラウドサービスについては、CSPM(Cloud Security Posture Management)といったクラウドセキュリティの管理ツールを使い定期的に診断しています。アドミニ権限や、不要なアカウントの作成、非公開であるはずのサービスの一般公開などをチェックしています。その結果を見て、開発者に是正対策を取ってもらうなどを地道に繰り返しながら、アジャイル開発のライフサイクルで発生しがちなリスクを潰しています。

亀ノ上 :ビルは当社の事業部門が管理しています。ただ当初は、そこにDX部門が入り込みセキュリティを推進するのは難しいものがありました。管理物件は600件を超え、セキュリティが推進されてこなかった領域でもあるため、最初から高い水準を要求すると、なかなか施策に落とし込めませんでした。

 そこで私は、ビル管理システムを理解するために現場に通い、知見を深めていきました。その中で分かってきたのは、重要ポイントは外部接続の部分、つまりクラウドサービスやリモート保守、Webサイトの運用などだということです。そのうえで、リモート保守ならグローバルIPアドレスをスキャンツールにかけて不要なポートが開いていないか、脆弱性が放置されていないかなどに泥臭く地道に取り組んでいます。

長谷川 :リスクベースの視点から事業を捉え、ASM(Attack Surface Management)や資産管理などのツールを使って対策をしていくことで地道にリスクを潰していくことがキーポイントですね。