IT化を考える建設業企業が知っておくべきセキュリティ対策の基本

IT化が急速に進む建設業界。ITの活用とともに取り組まなければならないのが、セキュリティ対策です。「うちは小規模だから標的にならない」「盗まれる情報はない」という声が聞こえてきそうですが、サイバー攻撃のターゲットは中小企業にも拡大しています。ここでは、日本の建設業企業で起きたインシデント事例をご紹介しながら、セキュリティ対策の基本などを解説します。

最近のインシデント事例とセキュリティ対策の必要性
セキュリティ対策の基本は「CIA」で考える
サイバー攻撃への対策
社員教育で内部不正による情報漏えいを防ぐ
まとめ

1.最近のインシデント事例とセキュリティ対策の必要性

鉄道関連の工事などを行う鉄建建設株式会社は2020年秋、ランサムウエアによるサイバー攻撃を受け、データの一部が外部に流出しました。同社によると、取引先を装うメールに添付されたファイルを開封したことで感染、保有していたサーバーの約95%が被害を受けたそうです。

一般財団法人建設業技術者センターも2020年秋、職員のPCがエモテットに感染、関係者のメールアドレスや本文内容が外部に流出しました。同センターによると、ワードファイルが添付されたメールを開封したことで感染、流出した情報が大量のなりすましメールとして悪用されたため、関係先に注意を喚起したそうです。

ランサムウエアとは、ファイルを暗号化したり、感染したパソコンをロックしたりして、使用不能にした後、元に戻すことと引き換えに「身代金」を要求し、支払わなければデータを公開すると脅迫する不正プログラムです。エモテットは最近世界中で猛威を振るっている不正プログラムで、感染したパソコンの情報を盗むだけでなく、そのデバイスを踏み台としてさらに感染を拡大させる悪質性を持っています。

建設業界の業務効率化や働き⽅改⾰に関する資料を無料でダウンロードできます

2.セキュリティ対策の基本は「CIA」で考える

建設業は取引先や社員の情報をはじめ、現場写真や図面データなど、様々なデータを扱っています。これらの情報が外部に漏れると企業の信用度が低下するだけでなく、損害賠償請求などのリスクを負うことになるため、セキュリティ対策をしっかり取り組みたいものです。

セキュリティ対策の基本は「CIA」です。Confidentiality（機密性）、Integrity（完全性）、Availability（可用性）の英単語の頭文字を並べたもので、OECD（経済協力開発機構）が1992年に制定し、2002年に改正された「情報システム及びネットワークのセキュリティのためのガイドライン」で定義されました。

機密性とは、企業の情報が外部に漏れないようにすることです。外部に流出するケースとして、大切な情報が入ったノートパソコン、USBメモリなどのデバイスの盗難、紛失などが挙げられます。例えば、建設作業員が自分のスマホで現場写真を撮影し、SNSに投稿することで情報が漏れたこともあるのです。

完全性とは、データが最新で正確に保護されていることを言います。保存した情報が改ざんされたり、消去、破壊されたりすると大変です。例えば、個人情報を管理する場合、誤って入力してしまうことや、データが改ざんされることが挙げられます。自社のホームページが不正アクセスによって改ざんされると、正確な情報を提供できなくなるのです。

可用性とは、必要なときに必要な情報にアクセスできる状態です。システム障害によってサーバーが停止したり、アクセスできなくなったりする原因として、物理的なものとシステム的なものがあり得ます。物理的なものはハードウェアの故障や、地震、洪水といった自然災害など、システム的なものはサイバー攻撃などによって起こるのです。

3.サイバー攻撃への対策

サイバー攻撃はますます巧妙化、複雑化しています。サイバー攻撃への対策として、CIAの3本柱をベースに考える方法があります。

例えば機密性の場合、不用意にデータを持ち出さないことが一番ですが、万が一サイバー攻撃で情報が流出したとしても、中身が見られないように暗号化しておくことが対策として挙げられます。データそのものは社内で管理し、建設現場や出先から遠隔でアクセスする方法も有効ですが、メールの送受信ができる権限を管理者のみに限定し、他の社員は社内限定の情報共有ツールでやり取りすることで、不審なメールを開いて感染するリスクは低くなるでしょう。

完全性の場合、情報にデジタル署名などの証明書を付けてデータ改ざんを検知できるようにする、可用性の場合ならシステムのバックアップを定期的に行い、メインシステムが落ちてもバックアップに切り替えられるようにするなどの対策方法があります。