大林組が「Assured」を導入
2024年問題を目前に、建設DX推進のカギとなる安全・安心なクラウド活用を推進
人手不足や、2024年問題(建設業における労働時間の上限規制等の法令改正に伴う問題)などの課題に直面する建設業界において、生産性向上のためのDXは急務です。そのなかで大林組は、業界内でもいち早くDXを推進し、ビジネスモデルやデジタル基盤の変革を推し進めています。それに伴い、安全・安心なデジタル活用のためのセキュリティ対策を徹底してきました。なかでも、社内で急増するクラウドサービスの利用において、リスク評価を適切かつ効率的に行っていくため、Assured導入を決定いただきました。
この度、大林組のDX推進を担われる、DX本部 基盤デジタル部 セキュリティ管理課の杉山 宜督 氏にAssuredのご導入に至った背景をお聞きしました。
この度はAssuredをご導入いただき誠にありがとうございます。杉山様が所属されているDX本部は、昨年2月に新設された部署とのことですが、御社のDX推進の取り組みについて詳しくお聞かせいただけますでしょうか?
杉山氏:
大林グループのデジタル戦略に基づく施策をグループ各社に展開し、効率的かつ迅速に進めるため、社長直轄の本部組織として、「DX本部」を2022年2月に設置しました。
また、中期経営計画2022では「事業基盤の強化と変革の実践」を掲げ、経営基盤戦略の一つとして「DX」をテーマに据えています。具体的には、デジタル戦略を「生産DX」と「全社的DX」(バックオフィスDX)の2つに区分し、「生産DX」の「BPRによる抜本的な業務プロセスの変革」と「BIM生産基盤への完全移行による建設事業の情報基盤強化」を全社的DXの「4つの柱」(※図参照)が下支えするという構造です。
これら生産DXと全社的DXによる変革を持続可能で強固なものとするため、「情報セキュリティの強化」をその基礎としており、当社グループのデジタル戦略を支える重要テーマとして捉えています。
大林グループのデジタル戦略に基づく施策をグループ各社に展開し、効率的かつ迅速に進めるため、社長直轄の本部組織として、「DX本部」を2022年2月に設置しました。
また、中期経営計画2022では「事業基盤の強化と変革の実践」を掲げ、経営基盤戦略の一つとして「DX」をテーマに据えています。具体的には、デジタル戦略を「生産DX」と「全社的DX」(バックオフィスDX)の2つに区分し、「生産DX」の「BPRによる抜本的な業務プロセスの変革」と「BIM生産基盤への完全移行による建設事業の情報基盤強化」を全社的DXの「4つの柱」(※図参照)が下支えするという構造です。
これら生産DXと全社的DXによる変革を持続可能で強固なものとするため、「情報セキュリティの強化」をその基礎としており、当社グループのデジタル戦略を支える重要テーマとして捉えています。
<建設DX推進の事例>
2021年4月に、MR(Mixed Reality:複合現実)技術を活用し、建設現場の施工場所にBIMデータを重ね合わせる施工管理アプリ「holonica®(ホロニカ)」を開発
2022年8月に、東京大学大学院工学研究科と開発した「データ・システム連携基盤を活用した施工管理システム」の概念実証が完了(図は概念実証の実施イメージ)
情報セキュリティ強化がデジタル戦略を支える重要な基盤となっているのですね。具体的な取り組みや課題感についてお聞かせいただけますでしょうか。
杉山氏:
多様化・巧妙化・複雑化するサイバー攻撃の脅威に対抗するため、セキュリティシステムの継続的な見直しに加え、社員に向けた情報セキュリティ教育の充実を通じてセキュリティ強化を図っています。これらの施策の根本となる考え方として、従来の境界型セキュリティから、「何も信頼しない」を前提に対策を講じるゼロトラストセキュリティ環境に移行しました。
こうした様々な情報セキュリティ施策を推進するなか、課題の一つとして存在していたのが、社内のクラウドサービス利用の増加に伴うセキュリティリスク評価業務の肥大化です。さらに、評価業務を行う担当者の慢性的な人手不足も相まって、運用負荷が高まっていました。
具体的には、当社が作成したセキュリティチェックシートを用いて、クラウド事業者から回収した情報を元にリスク評価を行っています。評価にあたっては専門知識が必要ですので、利用部門ではなく、私が所属するDX本部が評価を行っていますが、項目数が多く、評価には数日かかってしまうのが現状です。平均して月に数件の審査を行っていますが、多数のクラウドサービスの審査時期が重なることもあり、業務が逼迫していました。
この状況から脱する新たな方法を模索するなか、Assuredを知り、まさに今直面している課題を解決できるソリューションなのではないかと考え、導入を決めました。
多様化・巧妙化・複雑化するサイバー攻撃の脅威に対抗するため、セキュリティシステムの継続的な見直しに加え、社員に向けた情報セキュリティ教育の充実を通じてセキュリティ強化を図っています。これらの施策の根本となる考え方として、従来の境界型セキュリティから、「何も信頼しない」を前提に対策を講じるゼロトラストセキュリティ環境に移行しました。
こうした様々な情報セキュリティ施策を推進するなか、課題の一つとして存在していたのが、社内のクラウドサービス利用の増加に伴うセキュリティリスク評価業務の肥大化です。さらに、評価業務を行う担当者の慢性的な人手不足も相まって、運用負荷が高まっていました。
具体的には、当社が作成したセキュリティチェックシートを用いて、クラウド事業者から回収した情報を元にリスク評価を行っています。評価にあたっては専門知識が必要ですので、利用部門ではなく、私が所属するDX本部が評価を行っていますが、項目数が多く、評価には数日かかってしまうのが現状です。平均して月に数件の審査を行っていますが、多数のクラウドサービスの審査時期が重なることもあり、業務が逼迫していました。
この状況から脱する新たな方法を模索するなか、Assuredを知り、まさに今直面している課題を解決できるソリューションなのではないかと考え、導入を決めました。
Assuredにご期待いただいた具体的な理由を教えて下さい。
杉山氏:
まず1つ目に、評価内容の網羅性です。
当社のセキュリティチェックシートは経済産業省のガイドラインを参考に作成したものでしたが、Assuredの評価項目でも同内容が満たされているだけでなく、ISO/IEC27001、ISO/IEC27017、NIST SP800-53をはじめとした主要なフレームワークや経済産業省・総務省のガイドラインが広範囲で網羅されていることに魅力を感じました。さらに、自動解析に基づくウェブ評価(参考:https://prtimes.jp/main/html/rd/p/000000383.000034075.html)など、自社だけでは取得出来ていなかった情報も得られるため、評価の精度をより高められる可能性を感じました。また、評価対象となるサービスも、国内外問わず幅広く対応しており、実際に社内で利用するサービスに対して網羅的に評価が可能である点にも期待しています。
2つ目に、リスク評価業務の工数削減と、それによって迅速なクラウド導入を実現できることです。
これまでのセキュリティチェックシート運用では、質問の意図に沿った回答が得られずにクラウド事業者に対して問い直すということが多々発生していました。これにより、工数負担だけでなく、多大な時間を要することで、サービス利用開始の遅れに繋がっていました。Assuredを利用することで、Assuredのデータベースに集約された各サービスのリスク評価情報を素早く確認でき、利用可否の判断を迅速に行えることに期待しています。これにより、当社グループのDX推進に役立てられると感じています。
3つ目に、専門知識を持つ第三者による高品質かつ客観性の髙い評価レポートを得られることで、属人的な基準を排除できる点です。
これまでは、当社DX本部の担当者がリスク評価を行っていたため、属人的な評価に頼らざるを得なく、担当者の退職や異動に伴い評価基準が変わってしまうという点がありました。一方Assuredでは、Assuredに在籍するセキュリティの専門家がリスク評価をしたレポートを得ることができます。これにより、評価基準の質が担保されるだけでなく、第三者による客観性の高い評価情報の取得により、属人的だった基準を排除できることに期待しています。
まず1つ目に、評価内容の網羅性です。
当社のセキュリティチェックシートは経済産業省のガイドラインを参考に作成したものでしたが、Assuredの評価項目でも同内容が満たされているだけでなく、ISO/IEC27001、ISO/IEC27017、NIST SP800-53をはじめとした主要なフレームワークや経済産業省・総務省のガイドラインが広範囲で網羅されていることに魅力を感じました。さらに、自動解析に基づくウェブ評価(参考:https://prtimes.jp/main/html/rd/p/000000383.000034075.html)など、自社だけでは取得出来ていなかった情報も得られるため、評価の精度をより高められる可能性を感じました。また、評価対象となるサービスも、国内外問わず幅広く対応しており、実際に社内で利用するサービスに対して網羅的に評価が可能である点にも期待しています。
2つ目に、リスク評価業務の工数削減と、それによって迅速なクラウド導入を実現できることです。
これまでのセキュリティチェックシート運用では、質問の意図に沿った回答が得られずにクラウド事業者に対して問い直すということが多々発生していました。これにより、工数負担だけでなく、多大な時間を要することで、サービス利用開始の遅れに繋がっていました。Assuredを利用することで、Assuredのデータベースに集約された各サービスのリスク評価情報を素早く確認でき、利用可否の判断を迅速に行えることに期待しています。これにより、当社グループのDX推進に役立てられると感じています。
3つ目に、専門知識を持つ第三者による高品質かつ客観性の髙い評価レポートを得られることで、属人的な基準を排除できる点です。
これまでは、当社DX本部の担当者がリスク評価を行っていたため、属人的な評価に頼らざるを得なく、担当者の退職や異動に伴い評価基準が変わってしまうという点がありました。一方Assuredでは、Assuredに在籍するセキュリティの専門家がリスク評価をしたレポートを得ることができます。これにより、評価基準の質が担保されるだけでなく、第三者による客観性の高い評価情報の取得により、属人的だった基準を排除できることに期待しています。
そのようにご期待いただけて光栄です。貴社のDX推進をより力強く支えていけるよう、これからもサービス向上に努めて参ります。
関連記事
CONTACT
資料請求・お問い合わせはこちら
商談やサービス利用のご相談はこちら
サービス概要資料はこちら