英国 建設業におけるジョイントベンチャー：情報セキュリティ・ベストプラクティス・ガイダンス

こんにちは、丸山満彦です。

英国の国家サイバーセキュリティ・センター (NCSC) [wikipedia]、国家インフラ保護センター (CPNI) [wikipedia]、ビジネス・エネルギー・産業戦略省 (BEIS) [wikipedia] が共同で、[PDF]「建設業におけるジョイントベンチャー：情報セキュリティ・ベストプラクティス・ガイダンス」を公表していますね。。。

これは、英国の新幹線プロジェクトであるHigh Speed 2 [wikipedia] や、ロンドン市内近郊をつなぐCrossrail [wikipedia] プロジェクトといったジョイントベンチャー (JV) による大型の建設プロジェクトにおける情報セキュリティのベストプラクティスという感じでしょうかね。。。JVという通常の組織形態とは違う中での情報セキュリティ管理の難しさがあるでしょうね。。。

 

● National Cyber Security Centre: NCSC

・2022.08.23 Cyber security experts team up to protect UK construction projects

Cyber security experts team up to protect UK construction projects	サイバーセキュリティの専門家が英国の建設プロジェクトを保護するために提携
New guidance to support UK construction projects has been jointly published between the NCSC, CPNI and BEIS.	英国の建設プロジェクトを支援する新しいガイダンスが、NCSC、CPNI、BEISの3者によって共同で発表された。
・Industry and government collaborate on best practice guidance helping major infrastructure projects, such as HS2 and Crossrail, improve data security	・HS2やクロスレールなどの主要インフラプロジェクトのデータセキュリティ向上を支援するベストプラクティス・ガイダンスを産業界と政府が共同で作成した。
・New advice, published by GCHQ’s National Cyber Security Centre, sets out best approach for managing information security risks	・GCHQの国家サイバーセキュリティ・センターが発表した新しい助言は、情報セキュリティリスクを管理するための最善の方法を示している。
・Construction sector urged to follow guidance amid continued targeting by malicious actors	・悪意のある人物に狙われ続ける建設業界に対し、ガイダンスに従うよう呼びかけている。
Construction firms working together on major building projects such as HS2 have today (Tuesday) been offered first-of-its-kind security advice from industry and government.	HS2などの大規模な建設プロジェクトで協働する建設会社に対して、本日（火曜日）、業界と政府から初のセキュリティに関するアドバイスが提供された。
The new Information Security Best Practice guide aims to help these firms keep sensitive data safe from attackers by offering tailored advice on how to securely handle the data they create, store and share in joint venture projects.	新しい情報セキュリティベストプラクティスガイドは、これらの企業が、ジョイントベンチャープロジェクトで作成、保存、共有するデータを安全に取り扱う方法について、個別のアドバイスを提供し、機密データを攻撃者から保護するのを支援することを目的としている。
The guide is a unique collaboration between experts from industry and the National Cyber Security Centre (NCSC), the Department for Business, Energy and Industrial Strategy (BEIS) and the Centre for the Protection of National Infrastructure (CPNI).	このガイドは、産業界の専門家と国家サイバーセキュリティ・センター（NCSC）、ビジネス・エネルギー・産業戦略省（BEIS）、国家インフラ保護センター（CPNI）との独自のコラボレーションによって作成された。
It includes input from firms with experience in joint ventures, including major infrastructure contracts such as HS2 and Crossrail, where information security risks are particularly relevant due to their typically large size, value and complexity.	また、HS2やクロスレールなどの大型インフラ契約など、一般的に規模が大きく、金額も複雑であるため、情報セキュリティリスクが特に関連するジョイントベンチャーでの経験を持つ企業からの情報も含まれている。
By following the recommended steps, businesses can improve their physical, personnel and cyber security, making themselves less attractive targets for malicious actors as threats – including ransomware – continue to pose a significant problem globally.	ランサムウェアを含む脅威が世界的に大きな問題を引き起こし続ける中、推奨される手順に従うことで、企業は物理的、人的、サイバー的セキュリティを改善し、悪意のある行為者にとって魅力的なターゲットではなくすることができる。
Sarah Lyons, NCSC Deputy Director for Economy and Society Resilience, said:	NCSCの経済・社会レジリエンス担当副所長であるサラ・ライオンズは、次のように述べている。
“Joint ventures in construction are responsible for some of the UK’s largest building projects and the data they handle must be protected to keep crucial infrastructure safe.	「建設分野のジョイントベンチャーは、英国最大の建築プロジェクトのいくつかを担っており、重要なインフラを安全に保つために、彼らが扱うデータを保護する必要があります。
“Failure to protect this information not only impacts individual businesses but can jeopardise national security, so it’s vital joint ventures secure their sites, systems and data.	「この情報の保護に失敗すると、個々のビジネスに影響を与えるだけでなく、国家安全保障を脅かす可能性があるため、ジョイント・ベンチャーはサイト、システム、データを安全に保護することが不可欠である。
“By following this new guidance – a first-of-its-kind collaboration between industry and government – construction firms can help put a holistic strategy in place to effectively manage their risks.”	「産業界と政府による初のコラボレーションであるこの新しいガイダンスに従うことで、建設会社はリスクを効果的に管理するための全体的な戦略を導入することができる。
The guidance is a collaboration between government and industry members of a NCSC-convened trust group, bringing together expertise, experience and input from dozens of companies in the sector.	このガイダンスは、NCSCが招集した信託グループの政府と産業界のメンバーとの共同作業で、このセクターの数十社から専門知識、経験、意見を集約したものである。
Business Minister Lord Callanan said:	ビジネス担当大臣のLord Callananは次のように述べている。
“Data and digital technology are key to making a more productive, competitive and sustainable construction industry. However, this new technology presents challenges that businesses must protect themselves and their stakeholders against.	「データとデジタル技術は、より生産的で競争力のある、持続可能な建設業界を実現するための鍵である。しかし、この新しい技術には、企業が自社とその利害関係者を保護しなければならない課題があります。
“This new guidance, produced in partnership between industry and Government, will help construction firms keep their information safe, ensuring building projects are delivered on time and securely.”	「この新しいガイダンスは、産業界と政府が協力して作成したもので、建設会社が情報を安全に保ち、建設プロジェクトが予定通りに安全に提供されるよう支援するものである。
The guide sets out why information security matters for joint ventures and offers a recommended approach to take to manage the risks, including:	本指針は、情報セキュリティがなぜジョイントベンチャーにとって重要なのかを説明し、リスクをマネジメントするために取るべき推奨アプローチを提供している。
・Establishing information security governance and accountability within the joint venture and ensuring board-level engagement	・ジョイントベンチャーにおける情報セキュリティのガバナンスとアカウンタビリティを確立し、取締役会レベルの関与を確保する。
・Identifying staff to hold responsibility for assessing specific information security risks and developing a shared information security strategy	・特定の情報セキュリティリスクを評価し、共有の情報セキュリティ戦略を策定する責任を負うスタッフを特定すること
・Understanding the specific risks and any regulatory requirements for the joint venture, and deciding on a shared risk appetite	・合弁会社における特定のリスク及びあらゆる規制上の要件を理解し、共有されたリスク選好度を決定すること。
・Developing and agreeing on a shared information security strategy to manage and mitigate the risks holistically, including physical, personnel and cyber risks.	・物理的リスク、人的リスク、サイバーリスクを含むリスクを総合的にマネジメントし、軽減するための情報セキュリティ戦略を策定し、合意する。
Globally, the construction industry continues to be one of the most targeted sectors by online attackers and businesses of all sizes are at risk.	世界的に見ても、建設業界はオンライン攻撃者から最も狙われる分野の1つであり、あらゆる規模の企業がリスクにさらされている。
Jon Ozanne, Chief Information Officer at Balfour Beatty, said:	バルフォー・ビーティー社の最高情報責任者であるジョン・オザンヌは、次のように述べている。
“With cyberattacks becoming increasingly more intelligent, cyber security and protecting our own, our employees, our supply chain and customers’ data has never been more important.	「サイバー攻撃がますますインテリジェントになる中、サイバーセキュリティと当社、従業員、サプライチェーン、顧客のデータの保護はかつてないほど重要なものとなってきている。
“The introduction of the new Information Security Best Practice guide will play a key role in helping to combat the operational risks faced across the sector; raising the standard and educating those to the measures required to protect against cyber threats.”	「新しい情報セキュリティベストプラクティスガイドの導入は、業界全体が直面している業務リスクと戦うために重要な役割を果たすでしょう。
Andy Black, Chief Information Security Officer, Sir Robert McAlpine, said:	Sir Robert McAlpineの最高情報セキュリティ責任者であるAndy Blackは、次のように述べている。
“Cross industry collaboration is important to help the construction sector level up its approach to information security. We are grateful for this opportunity to share our expertise and collaborate with our peers, the NCSC, BEIS and CPNI to develop this best practice guide for Joint Ventures.”	「建設業が情報セキュリティへの取り組みをレベルアップするためには、業界を超えた協力体制が重要である。私たちの専門知識を共有し、同業者であるNCSC、BEIS、CPNIと協力して、ジョイントベンチャーのためのベストプラクティスガイドを開発するこの機会に感謝しています" 。
Earlier this year, the NCSC published cyber security guidance with the Chartered Institute of Building aimed at helping small and medium-sized businesses improve their resilience.	今年初め、NCSCはChartered Institute of Buildingと共同で、中小企業のレジリエンス向上を支援することを目的としたサイバーセキュリティ・ガイダンスを発表した。
Other NCSC resources aimed at helping organisations manage cyber security risks include the Board Toolkit, to facilitate essential conversations between board members and their technical experts, and the Exercise in a Box toolkit which helps organisations to test their incident response plans in a safe environment.	NCSCは、組織がサイバーセキュリティのリスクを管理するのを支援することを目的とした他のリソースとして、取締役会と技術専門家の間の重要な会話を促進するためのBoard Toolkitや、組織が安全な環境でインシデント対応計画をテストするのを助けるExercise in a Box toolkitを提供している。

 

ブログ。。。

・2022.08.23 Information Security: best practice for the construction sector

Information Security: best practice for the construction sector	情報セキュリティ：建設業におけるベストプラクティス
New guidance for businesses of all sizes planning to take part in Joint Ventures.	ジョイント・ベンチャーへの参加を計画しているあらゆる規模の企業向けの新しいガイダンス。
We're delighted to announce new guidance on the holistic security approach Joint Ventures should adopt to protect any sensitive information they manage. 'Joint Ventures in the construction sector: Information Security: Best Practice Guidance' is a collaborative effort between the construction sector and government organisations, and provides advice for construction businesses on how to secure information for Joint Ventures.	ジョイント・ベンチャーが管理する機密情報を保護するために採用すべき包括的なセキュリティ・アプローチに関する新しいガイダンスを発表できることを嬉しく思いる。 建設部門におけるジョイント・ベンチャー 情報セキュリティ。ベストプラクティス・ガイダンス」は、建設業界と政府機関が共同で作成したもので、ジョイント・ベンチャーの情報を保護する方法について、建設業向けにアドバイスしている。
In Joint Ventures, each company involved contributes resources to the project. A company may provide land, capital, intellectual property, experienced staff, equipment or any other form of asset dependent on their skills or expertise. In doing so they also share the risks and benefits associated with the project.	ジョイント・ベンチャーでは、関係する各企業がプロジェクトに資源を提供する。合弁事業では、各企業は、土地、資本金、知的財産、経験豊富なスタッフ、設備、その他自社の技術や専門性に応じた資産を提供することができる。また、プロジェクトに関連するリスクと利益を共有する。
People outside of the construction industry are often surprised at the complexities of modern construction programme delivery and the data sharing requirements. Modern techniques and processes such as Building Information Modelling (BIM) require data to be shared at the right time, in the right format, to the right third party and always with the right focus on security. This is why it's so important to set up a good foundation for Information Governance before the Joint Venture commences.	建設業界以外の人は、現代の建設プログラム提供の複雑さとデータ共有の必要性にしばしば驚かされる。BIM（ビルディング・インフォメーション・モデリング）などの最新の技術やプロセスでは、適切なタイミングで、適切なフォーマットで、適切な第三者と、常にセキュリティを重視した形でデータを共有することが求められる。このため、ジョイントベンチャーを開始する前に、情報ガバナンスのための優れた基盤を構築することが非常に重要である。
The guidance provides a set of non-mandatory recommendations for ensuring information security in Joint Ventures, together with details of how recommendations might best be implemented. At a high level, its main requirements are that security is represented at Joint Venture Board level, and that individuals responsible for information security from a personnel, physical and cyber security perspective understand and address the specific challenges that Joint Ventures face.	このガイダンスは、ジョイント・ベンチャーにおける情報セキュリティを確保するための一連の非強制的な推奨事項と、推奨事項をどのように実施するのが最善であるかの詳細を示している。その主な要件は、ジョイント・ベンチャーの取締役会レベルでセキュリティを代表すること、および人事、物理、サイバーセキュリティの観点から情報セキュリティを担当する個人が、ジョイント・ベンチャーが直面する特定の課題を理解し、それに対処することである。
The guidance, which has been produced by members of the NCSC Civil Engineering, Architecture and Construction (CEAC) Trust Group, the Department for Business, Energy and Industrial Strategy (BEIS), the Centre for the Protection of National Infrastructure (CPNI) and the NCSC, can be adopted as a useful toolkit for Joint Venture Boards. We also intend to ensure the guidance remains relevant in future years as best practices and regulatory requirements evolve.	NCSC Civil Engineering, Architecture and Construction (CEAC) Trust Groupのメンバー、ビジネス・エネルギー・産業戦略省（BEIS）、国家インフラ保護センター（CPNI）、NCSCによって作成されたこのガイダンスは、ジョイントベンチャー委員会のための有用なツールキットとして採用することができるものである。また、ベストプラクティスや規制要件が進化する中で、このガイダンスが将来も適切であり続けるようにするつもりである。
We'd like to thank all those involved in the development of this guidance. If you have any feedback on this guidance, you can get in touch with us via enquiries@beis.gov.uk.	本ガイダンスの開発に携わったすべての関係者に感謝する。本ガイダンスについて意見は、enquiries@beis.gov.uk まで。

 

ということで、ガイドライン

・[PDF] Joint Ventures in the Construction Sector: Information Security Best Practice Guidance

 

目次的なもの。。。

Joint Ventures in the Construction Sector: Information Security Best Practice Guidance	建設業におけるジョイントベンチャー：情報セキュリティ・ベストプラクティス・ガイダンス
•       Section 1 of this guidance is aimed at business owners and JV Board members. It describes why information security matters to the construction industry, and particularly to JVs.	・このガイダンスのセクション1は、事業主やJVの役員を対象としている。建設業界、特にジョイント・ベンチャーにとって情報セキュリティがなぜ重要なのかを説明している。
•       Section 2 is aimed at Board members and JV Information Security and IT experts from each of the parent companies. It describes the key steps that should be taken to ensure a JV’s information is secure.	・セクション2は、各親会社の取締役、JVの情報セキュリティおよびITの専門家を対象としている。JVの情報の安全性を確保するために取るべき重要なステップを説明している。
•       Section 3 provides focused advice for IS and IT operations specialists on producing detailed plans for securing information of a JV.	・セクション3では,情報セキュリティとITの専門家向けに,JVの情報を保護するための詳細な計画を作成するためのアドバイスを提供する。
Section1: Why Information Security Matters in JVs	セクション1：JVにおいて情報セキュリティが重要な理由
Section 2: Key Steps for Securing	セクション2：セキュリティ確保のための主要なステップ
2.1 Overview	2.1 概要
2.2 Step 1:  Establish Information Security Governance and Accountability	2.2 ステップ1：情報セキュリティガバナンスとアカウンタビリティの確立
2.3 Step 2:  Assign Key Roles and Responsibilities	2.3 ステップ2：主要な役割と責任の分担
2.4 Step 3:  Understand the JV-specific Information Security Risks and Requirements	2.4 ステップ3：JV固有の情報セキュリティリスク及び要求事項の理解
2.5 Step 4:  Develop and Agree an Information Security Strategy	2.5 ステップ4: 情報セキュリティ戦略の策定と合意
2.6 Step 5:  Design and Implement an Information Security Management Plan	2.6 ステップ5：情報セキュリティマネジメントプランの設計と実施
Section 3: The Information Security Management Plan	セクション3：情報セキュリティマネジメントプラン
3.1 Overview	3.1 概要
3.2 Information Security Management (ISM)	3.2 情報セキュリティマネジメント(ISM)
3.3 Identity and Access Management	3.3 アイデンティティとアクセス管理
3.4 Incident Management, Disaster Recovery and Business Continuity	3.4 インシデント管理、災害復旧、事業継続性
3.5 Security Education, Training and Awareness (SETA)	3.5 セキュリティ教育・訓練・啓発（SETA)
3.6 Physical Security	3.6 物理的セキュリティ
3.7 Personnel Security	3.7 人的セキュリティ
3.8 Supply Chain Security	3.8 サプライチェーンセキュリティ
Annex A: Information Security Checklists For Boards and Practitioners	附属書 A：取締役会及び実務担当者向け情報セキュリティチェックリスト
A.1 Security Checklist for JV Boards	A.1 JV 委員会向けセキュリティチェックリスト
A.2 Security Checklist for Practitioners	A.2 実務者向けセキュリティチェックリスト
Annex B: JV Information Security Roles and Responsibilities	附属書B：JVの情報セキュリティの役割と責任
Annex C: Minimum Requirements for JV Participation	附属書 C：JV 参加のための最低要件
C.1 Overview:	C.1 概要
C.2 Up-to-date Information Security Policies	C.2 最新の情報セキュリティ方針
C.3 Alignment with NCSC – UK Cyber Essentials (not Plus)	C.3 NCSC - UK Cyber Essentials（Plusではない）との整合性
C.4 Security Education, Training and Awareness	C.4 セキュリティ教育、訓練及び意識向上

 

セクション１...

Why Information Security Matters in JVs	JVで情報セキュリティが重要な理由
Digitalisation in the construction sector is bringing greater efficiency, reduced costs and wider data sharing. It is also creating a paradigm in which larger and larger volumes of data are created and digitally stored for every project. The success of a project now relies on the confidentiality, integrity and availability of its information and IT systems.	建設業界では、デジタル化により、効率化、コスト削減、データ共有の拡大が進んでいます。また、プロジェクトごとに大量のデータが作成され、デジタル保存されるというパラダイムが生まれつつある。プロジェクトの成功は、情報とITシステムの機密性、完全性、可用性に依存するようになった。
These changes mean the industry is increasingly of interest to threat actors – including cyber criminals, foreign state actors and malicious insiders – who may seek to steal, misuse, modify, damage or deny access to key information, with the potential for significant impacts on victims. Importantly, the threat is not to large companies only: criminals can target all sizes of construction business. NCSC has recently published guidance  for SMEs on protecting themselves from cyber threats.	このような変化は、この業界が、サイバー犯罪者、外国人行為者、悪意のある内部関係者を含む脅威者にとってますます関心を持たれていることを意味し、彼らは重要な情報を盗み、悪用、変更、損傷、またはアクセス不能にしようとするかもしれず、被害者に大きな影響を与える可能性がある。重要なのは、この脅威は大企業だけにとどまらないということである。犯罪者は、あらゆる規模の建設業をターゲットにすることができます。NCSCは最近、中小企業を対象としたサイバー脅威から身を守るためのガイダンスを発表した。
Successful attacks by malicious actors can be extremely costly and jeopardise project success:	悪意のある者による攻撃が成功すると、多大なコストがかかり、プロジェクトの成功が危ぶまれる可能性がある。
a. Ransomware attacks – in which cybercriminals encrypt and/or steal data to extort ransom payments – cost UK businesses £365 million in 2020 . Globally, construction is one of the sectors most targeted by ransomware and multiple UK	a. サイバー犯罪者がデータを暗号化または窃取して身代金の支払いを要求するランサムウェア攻撃は、2020年に英国企業で3億6500万ポンドの損害をもたらした。世界的に見ても、建設業はランサムウェアに最も狙われる分野の1つであり、英国では複数の企業がランサムウェアの被害を受けている。
b. Data breaches can incur heavy fines under the UK Data Protection Act 2018 (up to £17.5 million or 4% of annual global turnover) – and can also delay projects and impact the reputation of affected companies.	b. データ侵害は、英国データ保護法2018に基づく重い罰金（最大1750万ポンドまたは世界の年間売上高の4％）を課すことができる - また、プロジェクトを遅らせ、影響を受けた企業の評判に影響を与える可能性がある。
As well as malicious attacks, accidental actions can also impact a project’s information security. These might include sharing sensitive information in a presentation or published article, leaving commercial information on a memory stick on site, or even  re-using software containing unsanitised data from a previous project. These accidents can constitute regulatory breaches and lead to the leaking of sensitive information into the public domain.	悪意のある攻撃だけでなく、偶発的な行為もプロジェクトの情報セキュリティに影響を与える可能性がある。例えば、プレゼンテーションや出版物の中で機密情報を共有したり、商業情報をメモリースティックに入れて現場に残したり、あるいは以前のプロジェクトで使用した未消毒のデータを含むソフトウェアを再利用したりすることなどが考えられる。このような事故は、規制違反となり、機密情報の漏洩につながる可能性がある。
Information security risks are particularly relevant to Joint Ventures (JV) due to:	情報セキュリティリスクは、以下の理由により、特にジョイントベンチャー（JV）に関連する。
a. Their large monetary value;	a. 金銭的価値が大きい
b. The high volumes of potentially sensitive data they can potentially generate, process, share and store;	b. 大量の潜在的な機密データを生成、処理、共有、保管する可能性があること
c. Potential differences in partners’ approaches to security and risk appetite;	c. セキュリティ及びリスク選好に対するパートナーのアプローチの潜在的な違い
d. The complexity of their IT infrastructure;	d. パートナーの IT インフラの複雑さ
e. Their potential physical proximity to other significant assets; and	e. 他の重要な資産に物理的に近接している可能性、及び
f. Their large site structures, which make them difficult to secure against physical attacks.	f. 敷地が広大なため、物理的な攻撃から守るのが難しい。
Adopting a standardised approach to JV information security is key to addressing these concerns,  and will yield benefits including:	JVの情報セキュリティに標準的なアプローチを採用することは、これらの懸念に対処するための鍵であり、以下のような利点をもたらす。
a. Minimisation of delays, cost and complexity caused by retrofitting security measures	a. セキュリティ対策の後付けによる遅延、コスト、複雑さを最小化する
b. Increased compliance with regulations bringing reduced risk of fines and prosecution;	b. 規制へのコンプライアンスが向上し、罰金や起訴のリスクが減少する
c. Reduced likelihood of monetary loss or reputational damage	c. 金銭的損失や風評被害の可能性を低減する
d. Clear roles, responsibilities and accountabilities reducing friction between partners; and	d. 明確な役割、責任、説明責任により、パートナー間の摩擦が減少する
e. More accurate IT cost estimates and better infrastructure provision.	e. より正確なITコストの見積もりと、より良いインフラの提供する
This guidance provides a set of non-mandatory recommendations for ensuring information security in JVs together with details of how recommendations might best be implemented. At a high level, its main requirements are that security is represented at JV Board level and that individuals responsible for information security from a personnel, physical and cyber security perspective understand and address the specific challenges facing JVs	このガイダンスは、JVにおける情報セキュリティを確保するための一連の非強制的な勧告と、勧告をどのように実行するのが最善であるかの詳細を提供するものである。その主な要件は、JVの理事会レベルでセキュリティを代表し、人事、物理、サイバーセキュリティの観点から情報セキュリティを担当する個人が、JVが直面する特定の課題を理解し対処することである。