奥村組土木興業のナイスワーク・ナイスコミュニケーションを支えるサイバーセキュリティの取り組みとは？

日本のインフラ整備を支える奥村組土木興業

日本の社会基盤を土木工事で支える

奥村組土木興業株式会社（以下、奥村組土木）は、大阪に本社を構える建設会社です。「土木・建築工事」、「ガス工事・舗装復旧工事」、「建設資材の製造販売・リサイクル」の3つの領域で事業を展開しています。

奥村組土木は、大阪に本拠を置く企業ではありますが、関東～東海地方の幹線道路である新東名高速道路をはじめ、圏央道（首都圏中央連絡自動車道）や九州・四国地方の自動車道の整備、北陸新幹線の高架工事、各地のガス設備・河川・上下水道工事など、担当する工事現場は全国各地に点在しています。加えて、近年では「2025年日本国際博覧会（2025年大阪・関西万博）」会場の基盤設備整備工事を担当するなど、日本の社会基盤整備を支えてきた会社です。

画面：「2025年日本国際博覧会」会場の基盤整備の施工実績紹介ページ（奥村組土木のWebページより）

経営理念「ナイスワーク・ナイスコミュニケーション」

同社は経営理念として「ナイスワーク・ナイスコミュニケーション」を掲げています。人と人、人と物、人と自然などあらゆるもの、それらのベストな関係から生まれるコミュニケーションにより、豊かな環境づくりを行うことで社会に貢献したいという想いが込められています。

画面：同社の掲げる「ナイスワーク・ナイスコミュニケーション」のイメージ（奥村組土木のWebページより）

今回は、奥村組土木のナイスワーク・ナイスコミュニケーションに不可欠な「安全なITシステム」を支える、奥村組土木興業株式会社経営本部情報システム室のご担当者に、同社のサイバーセキュリティの取り組みについてお話を聞きました。

写真：奥村組土木興業株式会社経営本部情報システム室室長桑名良宜（くわな・よしたか）氏（右）と同本部情報システム室情報システム課課長髙田亮（たかだ・りょう）氏（左）。

ナイスワーク・ナイスコミュニケーションの安全をどう支えるか？

「コロナ禍」以前からリモートワーク環境を整備

従来、日本全国の土木工事を担ってきた奥村組土木。工事現場に、完成するまで自社の現場担当者や協力会社などが詰める工事事務所を、市街地から遠く離れた場所に構えることがほとんどです。加えて、工事期間の長いプロジェクトによっては10年近く、そこに自社の社員が数十名詰めることもあるということです。

「工期の長い土木工事では仕方のないことだが、遠隔地にいる社員同士『お互い顔も知らない』ということもあり得る。階層別研修や技術発表会など、年に数回、本社で研修を行ったりもするが、ほとんどの期間は工事現場にいるため『会社への帰属意識』が低くなりやすいという側面はある。そのため、ITツールを使ったコミュニケーションは『ナイスワーク・ナイスコミュニケーション』には不可欠だ」、同社経営本部情報システム室室長桑名氏はそう語ります。

プロジェクトの遂行、ひいては社員のモチベーション維持・向上のためITを適切・活発に活用する。土木工事の現場では、「コロナ禍」以前からITを活用したコミュニケーション環境の構築が必須でした。そのため、同社の情報システム室では担当者が使用するPCやネットワーク機器の整備、SaaSをはじめとしたクラウド環境の構築を担当しています。加えて、セキュリティ担保のため、外部の協力会社が使用する持ち込みPCのキッティング作業、場合によっては貸し出しなど、同社で実施することもあります。

奥村組土木が重視する3つのセキュリティキーワード

「リモートワーク環境」に即したサイバーセキュリティ

社内の端末はもちろんのこと、工事現場という遠隔地にいる社員が使用する工事現場の端末まで、どのようにしてサイバーリスクから保護するのか？それが同社の情報セキュリティ課の重要なミッションです。

「工事管理情報の入力、経費精算、勤怠管理など、現場のPCからネットワークを経由してシステムに接続している。いわば、最初から『リモート体制』が前提の業務。特に協力会社がいなければ成り立たない現場がほとんどのため、外部の協力会社が接続できるネットワークやPCのセキュリティ管理にも常に気を使っている」（同社情報システム室情報システム課課長髙田氏）。

「具体的な方法論で言えば、これまで各種セキュリティ対策はVPNなど境界に設置されたゲートウェイやプロキシが主流であったが、当社のような業種では、現場のクライアント端末を中心に、どうしても全ての端末をVPN下に入れることが難しいため、クラウド型セキュリティで、エンドポイントを管理・保護する方法が必須だった」（髙田氏）。

（関連記事）
・VPN、サイバー攻撃被害に共通するセキュリティの注意点
・VPN機器の脆弱性はなぜ管理しづらいのか～ネットワークエンジニアの立場から探る

社内ネットワークを経由せずに遠隔地にある端末にセキュリティ機能を直接的に提供する。このニーズに応えるには、セキュリティソリューションも社内ネットワーク内に管理用サーバを設置する必要のないクラウド型ソリューションである必要がありました。
「加えて、クラウド環境も含めて様々なセキュリティ製品を集約管理できるソリューションであることも要件の1つだった」（髙田氏）。
こうした諸条件から、かつては、その当時唯一と思われたあるセキュリティ企業のクラウド型ソリューションを採用したこともありました。ただ、セキュリティエージェントの稼働率が思わしくなく、PCの動作も重くなるなど、円滑なITコミュニケーションの維持が難しくなり、代替のセキュリティソリューションを探し始めていた、と言います。

「24時間365日稼働」する情報資産をどう守るか？

クラウドファーストでデジタル戦略を推し進める同社では、社内外の情報資産の管理・保護を重要視しています。すでにオンプレ型の資産管理ソリューションは導入済みでしたが、資産の種類、OSのバージョンなどは管理できるものの、アプリケーションの脆弱性の把握や対処の優先度付けについては、「勘で行っていたところが大きかった」（髙田氏）と言います。

情報システム室を含めて本社の各部門は一般的な勤務時間帯である8時台～17時台までの勤務である一方、工事現場はプロジェクトにもよりますが、24時間365日稼働している現場も少なくありません。
同社では、24時間365日稼働する情報資産、特にサーバについては、その脆弱性に対するパッチ対処について課題を感じていました。パッチ適用の際には当然、サーバの稼働を一時的に止め、再起動が必要になりますが、常に稼働し続けるサーバのどの脆弱性の危険度が高いのか判別できなければ、順次サーバを停止するための計画を立てることも難しい、ということです。

加えて、同社では万が一の侵入時の対応に備え、EDR（Endpoint Detection and Response）の導入を検討していました。ただ、万が一深夜帯などにインシデントの兆候を検知した場合など、「せっかくEDRで検知しても、自社のセキュリティ担当の初動が遅れると意味がない。このためEDR導入に当たっては、MDRの併用は必須と考えていた」（髙田氏）。

「サプライチェーンリスク」の管理

冒頭で紹介した通り、奥村組土木は、「土木・建築工事」、「ガス工事・舗装復旧工事」、「建設資材の製造販売・リサイクル」という3つの事業を展開しています。プロジェクトの内容により、工事発注元のガス事業者など重要インフラ事業者や高速道路管理事業者といった重要かつ多様なサプライチェーンの中で事業を行っています。

「建設業界向けガイドラインとして、日本建設業連合会が発行している『情報セキュリティガイドライン^※』がある。自社としては、努力義務ではあるものの基本は準拠することを前提に業務を行っている。中身については多種多様で、外部の協力会社に対する努力義務もあるのでなかなか対応は大変ではある」（桑名氏）。
※一般社団法人日本建設業連合会は、建設現場における情報セキュリティガイドラインのほか、元請会社、協力会社に対するセキュリティガイドラインなどを刊行している。

ただ、奥村組土木の多種多様な事業展開ゆえに、そのサイバーセキュリティの焦点は「建設業界」のみにとどまりません。

「どのようなサイバーセキュリティの水準が求められるかは、発注元組織の業界やサプライチェーンセキュリティに関する取り組み姿勢にもよる。例えば、ガス工事の場合、ガス事業者は「重要インフラ事業者」であるため、一般より厳しいサイバーセキュリティの水準が求められることが多い。また、ガス事業者以外でも、現場に持ちこんだPCは他のプロジェクトに持って行けないなどのケースもある、つまるところ『これを守っていれば十分』という指標はなく、臨機応変の対応が必要。我々から見ると遠隔地にいる工事担当者が、顧客からどのくらいのサイバーセキュリティの水準が求められるかは、工事内容や発注元組織に拠ってしまうということだ」（桑名氏）。

（関連記事）経済安全保障推進法をサイバーセキュリティ視点でとらえる～企業が備えるべきポイントを解説～

かといって、都度求められる水準に合わせる個別対応を行うことも非効率・非現実的です。そのため、同社のサイバーセキュリティの取り組みでは、大元のサイバーセキュリティレベルを底上げすることで、各セキュリティガイドラインの水準に対するカバー範囲を広めることを重視しています。

（関連記事）
・データ・サプライチェーンとは？マネジメント上の課題を解説する
・事例から考えるサービスサプライチェーンリスクによる影響とその対策

トレンドマイクロ✖日本事務器による課題解決

3つのキーワードをカバーする日本事務器の提案

同社が現状のサイバーセキュリティ課題を解決しようと情報収集をしている中、日本事務器株式会社（以下、NJC）の担当者が提案したのが、EPP・EDRの機能を提供するクラウド管理型のエンドポイントセキュリティサービス「ウイルスバスタービジネスセキュリティサービスあんしんプラス」とそのマネージドサービス（MDR）である「Managed EDR Option」、サイバー攻撃の可能性かつ攻撃の影響度の高い情報資産の特定・評価・対処の優先度付けを行う「CREM（Cyber Risk Exposure Management）あんしんプラス」でした。

現在、奥村組土木で管理する端末はPCや業務用サーバなど1,500台ほど。「工事現場で稼働する端末は、いつ工事現場に出て、いつ本社などVPN網内の事務所に戻ってくるか分からない状況。情報資産の状況ごとにセキュリティレベルにムラができることは避けたく、セキュリティ運用は統一した方法でやりたいと考えていた。NJCの提案は、情報資産がいつどこにあっても、画一的なセキュリティレベルを保てると感じた」（桑名氏）。

情報資産のサイバーリスク可視化・対処が容易に

特に効果を感じたのは「CREMあんしんプラス」で、組織全体と情報資産ごとのサイバーリスクのスコアが、管理画面にログインすれば一目でわかる点です。「CREMあんしんプラス」は、トレンドマイクロのAI-Powered エンタープライズサイバーセキュリティプラットフォーム「Trend Vision One」を用いて、情報資産ごとの脆弱性や設定ミスの有無を可視化、各資産の組織における重要度を加味したうえで、軽減すべきリスクを優先度付けします。

画面：Trend Vision OneのCyber Risk Exposure Managementのダッシュボード画面例（実際のお客様環境のものではありません）

「スコアはリアルタイムで状況が変化するので、それだけ社会の状況が変化（サイバー攻撃の手法や脆弱性の報告など）しているのだという気づきにもなる。サイバーリスクを数値と優先度で見ることができ、これまで大体の予測や勘でやるしかなかった対応すべき箇所が分かりやすくなった。またスコアを一定の数値まで下げることを目標とすることもできるようになった」（髙田氏）。
大きな懸念の1つであった24時間365日稼働するサーバのパッチ管理についても、問題ある個所を把握しやすくなり、かつパッチ適用の際に、稼働を一旦停止する根拠として、社内に提示しやすくなりました。

これまで使用してきた資産管理ソリューションもあるが、こちらは「ルール外のアプリケーションのインストール有無、OSのバージョン把握など、資産の状況管理」のために使用しています。サイバーセキュリティ面での情報資産の管理・保護目的では「CREMあんしんプラス」を利用することで、「管理コストはかなり下がったと感じている」（桑名氏）とのことです。

MDRサービスの安心感

もう一方のEDRとMDRサービスについても、効果を感じています。EDR導入後、これまで深刻な内容の通知はまだない状況ですが、NJCの監視サービスによって、懸案であった本社の稼働時間外のインシデント検知への対応ができる体制を敷くことができ、「EDRとMDRは当社にとっては保険のような存在。埋まっていなかったプロセスを埋めることができ、毎日胃の痛い思いをすることが無くなった」（桑名氏）と評価しています。

サイバーセキュリティにおいては、「何も起きていない」という状況は、2つの状況が考えられます。1つは「何か起きている状況を知る術がないこと」、もう1つは「本当に何も起きていないこと」です。後者であることを社内に説明するためには、適切な検知・対応体制を整備することが必須です。いち早くこうした状況をプロアクティブに整備した奥村組土木では、さらに今後行いたいサイバーセキュリティの構想を描いています。

今後のサイバーセキュリティの取り組み

奥村組土木では、今後の取り組みたいサイバーセキュリティの施策として、以下の2点を挙げました。

ゼロトラストネットワークの強化

まずは、すでに実施している「ゼロトラストネットワーク」の強化です。現在は、認証後ネットワークに外部の協力会社のPCなどが接続している状況（ネットワーク構成を本社ネットワークとは論理的に分割）です。「今後の方針としては、アカウントの状況毎にアクセス許可を判断する広義のゼロトラストを目指したい」（髙田氏）。具体的には、セキュアDNSなどを用いてより安全なWebアクセスが可能な環境を構築する、VPNに対する認証強化などです。

「本社外で稼働する情報資産や、やり取りされるデータをどう守るか？」を、奥村組土木では継続して熟考しています。

AIのセキュリティリスクの把握

奥村組土木では、業務効率や生産性を挙げる取り組みの一環でAIの業務利用についても、積極的です。Microsoft Copilot（入力データを学習に使用されないように設定・ルールを徹底）やRAGを使った有償チャットボットサービスを導入し、施工に関する情報や社内規定などを学習させ、質問したら回答をすぐに得られるような体制を整備しています。「現状、チャットボットサービスには約500名にアクセス権があり、月に100名くらいが使っている。業務効率化が図れることを周知し、今後利用率を上げていきたい」（桑名氏）とのこと。

他方AIのセキュリティリスクについては、今後も情報収集が必要と考えています。すでに、入力されるプロンプトに個人情報が含まれないようなシステム設計済みのサービスを導入していますが、これだけでAIのセキュリティリスクへの配慮は十分ではないと見ており、どのようなセキュリティ対策が必要か継続的に情報収集をしています。

奥村組土木の桑名氏は、「（AIに限らず）新しい技術が出てくる際、必ずと言って良いほど新しいサイバーリスクが指摘され、新しいセキュリティ対策が必要になる。そのような状況下では、最新のサイバーリスクの状況を把握し、総合的にサイバーセキュリティソリューションを提供している専業企業と組むことは、ユーザ企業にとって非常に重要。この点で、トレンドマイクロと監視サービス提供してくれている日本事務器は頼りにしている」と語り、インタビューを締めくくりました。

（関連記事）
・AIセキュリティとは何か？（前編）～AIのセキュリティリスクとその対策を考える～
・AIセキュリティとは何か？（後編）～Security for AIとAI for Security～