採用情報

お問い合わせ

BLOG

  1. HOME
  2. BLOG
  3. 情報セキュリティ BLOG
  4. 業界・業種別セキュリティ対策
  5. 建設業の情報セキュリティ対策

情報セキュリティ BLOG

業界・業種別セキュリティ対策

2020 年 03 月 23 日

建設業の情報セキュリティ対策

建設業では、ビルやマンション、住宅などを建てる場合、建築士や測量士、ガス・水道の工事担当者など、様々な協力者を必要とします。プライバシーや安全上の機密情報などを、協力者にどこまで開示するかのコントロールがとても重要になります。

「建設現場」の存在

多くの企業では、情報を扱う場所は企業のオフィス内が中心となります。これに対して建設業では、必ず屋外の「建設現場」が存在します。重要情報を社外に持ち出し、屋外で使用することが必須の業種なのです。その上、多種多様な協力会社や労働者が建設現場にはいます。

一般社団法人日本建設業連合会(以下、「日建連」)では、この重要性を認識し、2018 年には「建設業界の情報セキュリティ 5 大脅威 」を挙げています。

メールの誤送信や、マルウェア対策等はどの業種でも同じですが、他の 3 つは建設現場の存在が影響しているものです。

1) 建築現場および移動での紛失

5 大脅威の 1 位は、パソコン等情報機器の紛失・盗難です。これは他の業種でもあることですが、建設業では建設現場への持ち出しが前提となるため、情報機器の持ち出しを禁止にすることは難しいところです。同様に 3 位には書類の紛失・盗難がありますが、同じく書類を全面的に持ち出し禁止にするのは厳しいところです。

注目すべきは、情報機器や書類の紛失や盗難には、事故の報告遅延が生じやすいことです。

「書類や USB メモリが見当たらない」となった場合、すぐに報告できるでしょうか。「もしかしたら最初から会社に置き忘れたかも知れない」、などと考え、翌日出社するまで報告を控える人が出るのではないでしょうか。

ところが建設業で紛失するのは建設現場です。一般住宅の建設だとしたら、屋外の誰でも見える・入れる場所です。そうした場所に落ちていれば、気づいた人はすぐに拾って警察に届けるでしょう。そして、図面であれば施主の名前が入っていますから、会社より先に警察から施主に連絡が入り、情報セキュリティ上のインシデントになってしまいます。

持ち出しが日常の建設業では、面倒でも持ち出し管理をしていないと、「会社に置き忘れたかもしれない」と考える余地が出てしまうのです。

2)SNS での現場画像の漏えい

もう一つの特色が SNS 等に画像を上げるインパクトです。これも他の業種でもあることですが、建設の場合は飲食業等とは違った意味で問題となる場合があります。

例えば、未発表の建築物の場合。東京オリンピックで建て直した国立競技場を考えてみます。テレビ等で報道されるまで中のデザインはよくわかりませんでしたが、中で働いている人は常に見ていたわけです。不用意にスマートフォンなどで撮影して、それが外部に流れたら大騒ぎになってしまいます。

工場の建設ではもっと深刻な状況になる危険性があります。

ある企業が社運を賭けた新商品を開発し、その生産工場を新たに建てるとします。その工場の建設途中の画像を見れば、ある程度の生産ラインの工程は見る人が見ればわかってしまいます。新商品のその内容が分かれば、競合先に先んじられ、企業としては大損害を被ることになりかねません。

3) 教育・指導の重要性

このようなリスクのある中、沢山の協力会社の社員や一時雇用のアルバイト等も含め、情報管理を徹底させなければなりません。教育・指導の難しさは他の業種より高いと言えるでしょう。

日建連 IT 推進部会では、このような情勢を鑑み、情報セキュリティに対する様々な取り組み を行っています。

今年のサイバーセキュリティ月間の活動では、日本語だけでなく、英語の教育動画 も制作されています。是非、活用されてみてはいかがでしょうか。

建設業の今後

2019 年 6 月に経済産業省から「ビルシステムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン 第 1 版」が公開されました。これは、ビルの制御系機器(エレベータ-、空調、照明など)に関するサイバーセキュリティ対策のガイドラインとして作成されたものです。

ビルシステムの分野は、BEMS(ビルエネルギーマネジメントシステム)対応、クラウド化、IoT 活用など、インターネットとの接続機会が増加しています。このため、今後は安全面に加えサイバーセキュリティ対策の重要性が増していくことでしょう。

サイバーセキュリティのアセスメントにおいて RedTeam テストという方法があります。これは、技術面からの脆弱性診断だけではなく、ソーシャル(人)、物理的な方法(盗聴・盗撮、ID カードの悪用など)を使い企業への侵入、機密情報の不正取得を試みるテストです。特に、盗聴器・盗撮器は秋葉原などの電気街やネットショップで誰でも手軽に購入が出来ます。あるテレビ番組の盗聴・盗撮の特集では、都内の某区では盗聴器らしい電波が約 229 ヶ所発見されたとの調査がありました。

以前にも建築中のマンションに盗聴器・盗撮器が仕掛けられていた事件がありましたが、今後は企業オフィスや行政の施設、工場などに新築時・増改築時を狙って盗聴器・盗撮器が仕掛けられる可能性も増加することが考えられます。

機密性の高い情報を扱う施設の利用開始時、または定期的に、盗聴器・盗撮器の調査をしてみることも情報セキュリティ的には必要な時代かもしれません。

本記事に関連するリンク
はじめての脆弱性診断をお考えの方へ 脆弱性診断の必要性とは?種類と内容、選び方を解説
< 前の記事へ
テレワークの情報セキュリティ対策
最新 BLOG 記事
IPA「情報セキュリティ10大脅威 2024」を発表
IPA「情報セキュリティ10大脅威 2024」を発表
2024 年 01 月 29 日
ランサムウェア対策への脆弱性診断の有効性
ランサムウェア対策への脆弱性診断の有効性
2023 年 12 月 06 日
人工知能が拓く、新しい脆弱性診断の形
人工知能が拓く、新しい脆弱性診断の形
2023 年 07 月 28 日
IPA「情報セキュリティ10大脅威 2023」を発表
IPA「情報セキュリティ10大脅威 2023」を発表
2023 年 01 月 31 日
脆弱性診断を実施する必要性とは⁉
脆弱性診断を実施する必要性とは⁉
2022 年 11 月 07 日
Apache Tomcat に情報漏えいの可能性がある脆弱性、OpenSSL に深刻度「高」の脆弱性が発見される!その対処法とは?
Apache Tomcat に情報漏えいの可能性がある脆弱性、OpenSSL に深刻度「高」の脆弱性が発見される!その対処法とは?
2022 年 10 月 26 日
カテゴリ
情報セキュリティ関連記事

人工知能が拓く、新しい脆弱性診断の形

より高度な情報セキュリティが必要なあなたへ システム内部からの認証スキャン PCI DSS 4.0 対応 サイバートラスト 脆弱性診断サービス ホスト診断

CentOS 7 延長サポートサービス
デジタルトランスフォーメーションのための電子認証基盤 iTrust
SSL/TLS サーバー証明書 SureServer Prime