公開日
更新日
IT化を考える建設業企業が知っておくべきセキュリティ対策の基本
IT化が急速に進む建設業界。ITの活用とともに取り組まなければならないのが、セキュリティ対策です。「うちは小規模だから標的にならない」「盗まれる情報はない」という声が聞こえてきそうですが、サイバー攻撃のターゲットは中小企業にも拡大しています。ここでは、日本の建設業企業で起きたインシデント事例をご紹介しながら、セキュリティ対策の基本などを解説します。
1.最近の建設業のインシデント事例とセキュリティ対策の必要性
鉄道関連の工事などを行う鉄建建設株式会社は2020年秋、ランサムウエアによるサイバー攻撃を受け、データの一部が外部に流出しました。同社によると、取引先を装うメールに添付されたファイルを開封したことで感染、保有していたサーバーの約95%が被害を受けたそうです。
一般財団法人建設業技術者センターも2020年秋、職員のPCがエモテットに感染、関係者のメールアドレスや本文内容が外部に流出しました。同センターによると、ワードファイルが添付されたメールを開封したことで感染、流出した情報が大量のなりすましメールとして悪用されたため、関係先に注意を喚起したそうです。
ランサムウエアとは、ファイルを暗号化したり、感染したパソコンをロックしたりして、使用不能にした後、元に戻すことと引き換えに「身代金」を要求し、支払わなければデータを公開すると脅迫する不正プログラムです。エモテットは最近世界中で猛威を振るっている不正プログラムで、感染したパソコンの情報を盗むだけでなく、そのデバイスを踏み台としてさらに感染を拡大させる悪質性を持っています。
建設業界の業務効率化や働き⽅改⾰に関する資料を無料でダウンロードできます
2.セキュリティ対策の基本は「CIA」で考える
建設業では、取引先や社員の情報をはじめ、現場写真や図面データなど、様々なデータを扱っています。これらの情報が外部に漏れると企業の信用度が低下するだけでなく、損害賠償請求などのリスクを負うことになるため、セキュリティ対策にしっかり取り組みたいものです。
セキュリティ対策の基本は「CIA」です。Confidentiality(機密性)、Integrity(完全性)、Availability(可用性)の英単語の頭文字を並べたもので、OECD(経済協力開発機構)が1992年に制定し、2002年に改正された「情報システム及びネットワークのセキュリティのためのガイドライン」で定義されました。
機密性とは、企業の情報が外部に漏れないようにすること、完全性とは、データが最新で正確に保護されていること、可用性とは、必要なときに必要な情報にアクセスできる状態のことです。
3.建設業で起こり得るセキュリティリスク
どの業界においてもセキュリティリスクが存在し、対策は重要です。特に建設業の場合は、仮設事務所の存在や、従業員の現場・オフィス・自宅間の移動の多さが特徴的です。
そのような建設業で、起こり得るセキュリティリスクは、主に次の4点です。
盗難や紛失
物理的な盗難や紛失による情報セキュリティリスクです。
デジタルではPCやタブレット端末、スマートフォン、ハードディスク、USBメモリなど、アナログでは書類など、個人情報や重要データ(情報)が含まれる物そのものが、悪意のある第三者によって持ち出されることにより、情報漏えいやデータの消失が起こる恐れがあります。
特に仮設事務所では、オフィスビルのようなセキュリティ対策は難しいため、万が一の盗難に備えて、施錠できるキャビネットを導入するなどの対策が求められます。
悪意がなくても、従業員のミスによってこれらを紛失してしまえば、同様に情報漏えいやデータの消失の恐れがあります。
外部からのサイバー攻撃
前項では物理的なものに起因するリスクを紹介しましたが、こうしたモノ自体が持ち出されなくても、外部からのサイバー攻撃によってデジタルデータが窃取され、売買されたり、漏えいされたり、改ざんされたり、消失されたり、身代金を要求されたりといったことが起こり得ます。
特に建設業の場合、顧客情報や技術情報などが窃取されないよう、注意する必要があります。
自社では、そこまで機微な情報は保有していないという場合でも、セキュリティ対策が甘いと踏み台にされ、取引先が打撃を受けてしまう「サプライチェーン攻撃」が起こる恐れがあります。
内部犯行
上記のような社外のサイバー攻撃者による犯行ではなく、従業員や元従業員による内部犯行も、情報セキュリティリスクの大きな原因となります。管理者用のパスワードが盗み見られて、より権限の高いアカウントで犯行が起きれば、被害も甚大です。
サイバー攻撃を目的として、社内に従業員として潜り込ませるという手口すらあります。
内部犯行では、データやデジタルデバイス、書類などを持ち出されるケースが報告されています。
従業員のミスによる情報漏えい・データ消失
「盗難や紛失」では、ハードウェアや書類といった物理的なモノの紛失を取り上げましたが、従業員のミスにより、ネットワークを介して情報を漏えいしてしまったり、データを消失してしまったりする恐れもあります。
たとえば、本来は社外に閲覧させない設定のはずが、誤って公開してしまって情報が漏えいするといったケースが該当します。
4.建設業が行うべきセキュリティ対策
このようなリスクをはらむ建設業において、取り組むべきセキュリティ対策は、主に次の3点です。
CIAを軸とした対策
サイバー攻撃はますます巧妙化、複雑化しています。サイバー攻撃への対策として、CIAの3本柱をベースに考える方法があります。
例えば機密性の場合、不用意にデータを持ち出さないことが一番ですが、万が一サイバー攻撃で情報が流出したとしても、中身が見られないように暗号化しておくことが対策として挙げられます。データそのものは社内で管理し、建設現場や出先から遠隔でアクセスする方法も有効ですが、メールの送受信ができる権限を管理者のみに限定し、他の社員は社内限定の情報共有ツールでやり取りすることで、不審なメールを開いて感染するリスクは低くなるでしょう。
完全性の場合、情報にデジタル署名などの証明書を付けてデータ改ざんを検知できるようにする、可用性の場合ならシステムのバックアップを定期的に行い、メインシステムが落ちてもバックアップに切り替えられるようにするなどの対策方法があります。
社員教育で内部不正による情報漏えいを防ぐ
日本ネットワークセキュリティ協会が2018年にまとめた「情報セキュリティインシデントに関する調査報告書」によると、情報漏えいの約67%がヒューマンエラー(人的要因)となっています。建設現場では、多くの協力会社の従業員が働き、仮設事務所でデータをまとめたり、更新したりしています。
情報が漏えいするリスクは、サイバー攻撃だけではありません。従業員や関係者といった内部者が機密情報を盗んだり、持ち出したり消去・悪用したりすることもあるのです。内部者には、会社の従業員や役員のほか、外注業者、契約社員、退職者なども含まれます。
情報セキュリティやコンプライアンスに関する社員教育を実施し、情報漏えいは倫理的に許されない行為であることを徹底しましょう。雇用形態別のルールやマニュアル作りも大切です。社内教育向けのe-ラーニングや動画も充実しているため、上手に活用してください。
セキュリティ対策ソフトやツールを導入する
加えて、情報セキュリティ対策に特化したソフトウェアやITツールを導入・活用する必要があります。CIAを軸とした対策や、従業員への教育だけでは、情報セキュリティ対策を完全に保証することはできないためです。
常に進化するサイバー攻撃に対抗するためには、技術的な防御も必要なのです。
セキュリティ対策ソフトやツールとしては、たとえば、以下のようなものが挙げられます。
・マルウェア対策ソフト
・NGFW(次世代ファイアウォール)
・SASE
・SWG
・VPN
・暗号化ソフト
・バックアップソフト
これらのソフトやツールを導入することで、サイバー攻撃やミスなどから自社のデータやシステムを守ることができるでしょう。
5.まとめ
重要なデータの入ったノート型パソコンやスマホの持ち出し、SNSへの投稿など、些細なことから情報漏えいが起きてしまいます。建設業界は情報漏えいのリスクが高い職場であることを認識したうえで、セキュリティ対策に細心の注意を図ることが重要です。
メルマガ登録
建設業界の業務効率化や
働き方改革に関するノウハウや
建設業界に関する情報をお送りします