ITとビジネスの専門家によるコラム。経営、業種・業界、さまざまな切り口で、現場に生きる情報をお届けします。
DX時代のサイバーリスク──最新の脅威に備える建設業界のリスク対策
リモートワークや遠隔作業、各種クラウドサービスの活用にIoTの導入など、DXを推進するにつれ使用するITツールや機器が増えることで、サイバーリスクは高まる傾向にあります。
近年では、ウイルス対策ソフトだけでは防げないサイバー攻撃が増加しており、重要インフラに関わる建設業でもサイバーリスクへの対策が必要です。本記事では、建設業界が直面するサイバーリスクと、その対策について解説します。
目次
建設業界にも忍び寄るサイバー攻撃の魔の手
DX推進や人手不足を背景に、建設業界ではICT化が進んでいます。しかし、各種機器やネットワーク、ITツールを利用するようになったことで、サイバーリスクが高まっています。
特に注意したいのが、従来のウイルス対策ソフトでは防げない「ランサムウェア」の存在です。ランサムウェアとは、侵入先にあるファイルを暗号化し、データの復号と引き換えに身代金を要求する悪意あるソフトウェアのことです。
最近では、データの復旧と引き換えに身代金を要求することに加え、暗号化したデータを公開しないことを引き換えに身代金を要求する「二重脅迫型ランサムウェア」が主流になりつつあります。これにより、ランサムウェアによる被害額は拡大の傾向にあり、被害額が1億円を超えるケースも珍しくありません。
建設業界で増加するランサムウェア攻撃
建設業界においても、前述したランサムウェアによるサイバー攻撃が増加しています。警察庁が公表する「令和6年におけるサイバー空間をめぐる脅威の情勢等について」では、建設業における被害企業は20にのぼり、令和5年の12から大幅に増加している状況です。
ランサムウェアによる企業への攻撃
出典:
また、中小企業での被害は102件から140件に増加しており、企業規模によらずサイバーリスク対策が必要であることが分かります。
最近では、サイバー攻撃者が重要インフラを標的にするケースも少なからずあり、複数の企業が協力し合うことも多い建設業界では、一つの企業が攻撃を受けることで関係企業に影響が及んでしまう懸念があります。
サイバー攻撃による被害を最小限に抑えるためにも、サイバーリスク対策には早急に取り組む必要があるでしょう。
建設業界で考えられるサイバーリスク
では、具体的にどのようなリスクがあるのでしょうか。想定されるサイバー攻撃の内容について見ていきましょう。
攻撃者による不正アクセス
ランサムウェアをはじめ、攻撃者による不正アクセスによって情報漏えいやデータ改ざんなどが発生してしまうリスクがあります。
特に注意したいランサムウェアの主な感染経路は次の六つです。
ランサムウェアの主な感染経路
感染経路 | 方法 |
---|---|
VPN機器 |
|
リモートデスクトップ |
|
メール |
|
改ざんされたWebサイト |
|
外部記憶メディア(USB、外付けハードディスクなど) |
|
プリカーサーマルウェア |
|
VPN機器のリスク
VPN機器とは、「Virtual Private Network(仮想プライベートネットワーク)」の略で、離れた拠点間を仮想的な専用ネットワークでつなぎ通信できるようにする機器のことです。VPN機器の脆弱性を利用し攻撃されるケースは多々発生しているため、特に注意が必要なポイントです。
VPN機器を安全に利用するためには、脆弱性が確認されている機器を使用しないことに加え、使用中の機器のアップデートや定期点検を実施するようにしましょう。
リモートデスクトップのリスク
ネットワークを介して離れた場所にあるPCのデスクトップを操作できるリモートデスクトップでは、多要素認証などの対策を行わずに使用することで認証情報が漏えいし、攻撃されてしまうことがあります。
改ざんされたWebサイトやメールにあるリスク
改ざんされたWebサイトにアクセスしてしまうと、自動的にランサムウェアのダウンロードとインストールが行われることがある点にも注意が必要です。
また、メールの添付ファイルや記載されたURLは安易にクリックしないようにしましょう。
外部記憶メディアにあるリスク
外部記憶メディアを使用している場合、既にマルウェアが仕込まれたものを購入してしまったり、何らかの理由でマルウェアに感染したものを使用したりすることで、使用するパソコンに感染してしまうケースもあります。
新たな手口「プリカーサーマルウェア」のリスク
そして、近年増加しているのが「プリカーサーマルウェア」による攻撃です。“ランサムウェア攻撃の前兆”となるマルウェアで、感染すると他のランサムウェアを呼び寄せ、さまざまなランサムウェアに感染します。これは、メールの開封やWebサイトから感染する可能性があります。
人的ミスによる情報漏えい
このような攻撃以外では、人的ミスによる情報漏えいがあります。例えば、複数企業で共有する設計図をはじめとする機密情報が人的ミスによって漏えいしてしまうケースです。
その他には、端末を紛失した、ID・パスワードを書き残した紙を紛失した、あるいはID・パスワードなどの認証情報を他者と共有したなどのケースによる情報漏えいが考えられます。
具体的な対策方法は
前述したとおり、複数企業が一つのプロジェクトに取り組むことの多い建設業では、自社だけでなく関係各社などへ被害が及ばないよう対策を講じる必要があります。ここからは、さまざまなリスクに備えるための対策方法をご紹介します。
セキュリティガイドラインを活用した対策
対策案を検討する際には、「機器の対策」「ネットワークの対策」など個別に対策するのではなく、自社にあるサイバーリスクを洗い出し全体を通してマネジメントしていくことが重要です。
まずは、「一般社団法人 日本建設業連合会」が提供する「建設現場における情報セキュリティガイドライン」を基に、情報セキュリティマネジメントシステムを構築します。 あわせて、情報セキュリティ基本方針を策定しましょう。
次に「情報資産管理台帳」を同ガイドラインの「参考資料-2 情報資産管理台帳【例】」を参考にして作成し、活用します。
データの管理方法、機器・ネットワークの利用方法なども同ガイドラインを参考に定め、従業員に正しい利用法を周知することも重要です。
プロの支援を活用した対策
VPN機器への対策など専門知識やノウハウが必要な対策については、サービス&サポートの活用を検討することをおすすめします。
大塚商会では、目的に応じて必要なソリューションをご提案します。例えば、パソコンやタブレットなど端末の安全対策に加え、ネットワークやサーバー、メールなど幅広い領域におけるセキュリティ対策も一括でご相談いただけます。
事後対策も重要
これらセキュリティ対策を講じても、サイバー攻撃による被害を受ける可能性があります。その際の対応が遅れないよう、事後対策をあらかじめ定めておくことは重要です。
サイバー攻撃による被害に備えて、サイバー保険への加入も検討しておきましょう。被害によって発生したさまざまな費用を補償してもらえます。
サイバー攻撃に関する知識やノウハウがない状態では、事故発生から再発防止まで何をしてよいのか分からず対応が遅れ、被害が拡大するおそれがあります。
大塚商会のサイバー保険では、サイバー攻撃を受けた際の対応費用や損害賠償責任を補償するだけでなく、保険金の受け取りまで切れ目のない対応でサポートします。セキュリティ対策状況に応じた保険料割引もご用意。各種対策とあわせて、ぜひサイバー保険もご活用ください。
従業員への教育も重要
人的ミスによる情報漏えいなどを防ぐために、従業員への教育も実施しましょう。データや機器類の不適切な取り扱い、不審なメールや改ざんされたWebサイトへのアクセスなどによる事故を防ぐには、各個人の意識を高めることが重要です。
教育への費用負担が気になる場合には、「一般社団法人 日本建設業連合会」が用意する情報セキュリティに関する教育・研修用動画を活用してみましょう。
同ページの動画を活用して研修会を開催する、ページを案内して各個人で学習を進めてもらうという手法なら、費用をかけずに教育を実施できます。
とはいえ、動画を視聴してもらうだけでは、各個人の理解度や学習の進捗(しんちょく)状況が分からず不安なこともあるでしょう。サイバー攻撃の疑似体験で感染から対応策までの流れを理解する、ITセキュリティのプロから直接学ぶことも重要です。
大塚商会では、ITセキュリティに関する各種教育サービスを提供しています。「標的型メール訓練サービス」では、標的型攻撃を模擬した訓練メールを従業員の皆様に送信し、攻撃型メールへの対応力の向上を図れます。
情報セキュリティ教育では、eラーニングをはじめ、大塚商会の研修施設で定期開催するオープンコースの他、出張形式での企業研修にも対応。一般従業員だけでなく、管理者向けの研修プログラムなど、幅広いプログラムを用意しています。
体系的な学習で効率よくセキュリティ意識向上を目指したい場合には、ぜひ活用をご検討ください。
セキュリティ対策はトータルで実施することが重要
建設業界にDX推進が強く求められる一方で、IT面の強化を図るとセキュリティリスクが高まるという新たな課題に直面しています。サイバー攻撃を受けた場合、自社だけでなく関連企業などにも被害が及ぶ可能性があるため、DX推進とあわせてサイバーセキュリティ対策の強化を図りましょう。
これからサイバーセキュリティ対策の強化に着手する場合、まずは自社にあるリスクを洗い出し、ネットワークや機器だけでなく、従業員への教育も含めて対策案を検討することが重要です。しかし、サイバーセキュリティ対策に関する知識やノウハウがない状態で、これらを進めることは難しいでしょう。必要に応じて専門家の支援を受けつつ、段階的に対策を進めるのが効果的です。
関連ページ
本ページで紹介した建設業での業務効率化を実現するシステム・ソリューションをはじめ、導入事例、話題のトピックス記事といった情報をまとめてお探しいただけます。
資料ダウンロード
大塚商会「建設DXリーフレット」
昨今の働き手の不足という課題に対して、対策は進んでいますか?
大塚商会では働く人がより働きやすい環境を構築するために、「建設DX」と位置づけ、支援しています。本資料では、大塚商会の建設DXソリューションをご紹介します。
- 形式:PDF
- ページ数:16ページ