公開日: |最終更新日時:
建設業は重要インフラや国の大型プロジェクトに携わることが多く、建物や土木構造物に関する図面・計画情報など、外部に流出すれば社会や経済に影響を及ぼし得る機密情報を保有しています。
近年は業務効率化のためにインターネットを利用した共同作業やデジタルデータのやり取りが増えており、情報システムの導入も加速。こうした状況が「セキュリティ体制の整備が十分でない企業」も攻撃者に狙われやすい温床となり、結果として建設業がサイバー攻撃のターゲットになりやすいと考えられます。
サイバー攻撃はランサムウェアによる金銭要求、個人情報の盗難や企業間取引情報の不正取得など、多岐にわたります。特にランサムウェア攻撃では、業務に必要なファイルを暗号化して開けない状態にしたうえで身代金を要求し、被害が著しく拡大するケースが増えています。建設プロジェクトは限られた工期で進める必要があるため、一時的なシステム停止だけでも大きな損害を被るリスクが高く、攻撃者の標的になりやすい側面があります。
建設業は多くの協力会社や下請企業が連携しながら進めていく特性があり、サイバー攻撃が1社でも発生すると、そこを起点に波及して二次・三次被害を引き起こす恐れがあります。発注情報や契約書類が暗号化されたり、さらには不正流出によって社会的信用を損なうと、連鎖的に工事全体の進行やコスト面に深刻な影響を及ぼします。こうした状況は個々の企業だけでなく、業界全体の課題となっています。
積水ハウスの会員制サイトがサイバー攻撃を受け、大量のメールアドレスやパスワードなどが外部に流出しました。運用していなかった過去のページが脆弱性を抱えていた点が主因とされています。これにより顧客や従業員のパスワードが漏洩し、不正ログインなどの二次被害が懸念されました。攻撃者は情報を盗むための手段として「SQLインジェクション」を用いてデータベースを狙ったとみられています。
参照元:積水ハウス公式HP (https://www.sekisuihouse.co.jp/company/topics/library/2024/20240524_1/20240524_1.pdf )
大手建設コンサルタントのオリエンタルコンサルタンツは、社内サーバーがランサムウェア攻撃に遭い、業務データが暗号化されました。復旧のための対応費や損失として数億円単位の特別損失を計上する結果となり、一部案件の納品が遅れるなど事業活動にも支障を来たしています。被害を受けたサーバをネットワークから切り離し、情報復旧や原因調査に膨大な時間やコストが割かれた点が象徴的です。
参照元:オリエンタルコンサルタンツ公式HP (https://www.oriconsul.com/news/post_files/211008_newsrelease.pdf)
水インフラ関連のコンサルティングなどを行う日水コンでは、公式Webサイトの問い合わせフォームに脆弱性があり、2016年10月から2024年1月までに入力された氏名や電話番号といった個人情報が不正アクセスによって奪われた可能性が指摘されました。すでに運用停止状態だったテスト環境へのログインアカウントが盗まれ、それを足がかりに本番環境へ侵入されたと見られています。
参照元:日水コン公式HP (https://www.nissuicon.co.jp/news/20240402.html)
住宅建設事業を手がける北洲でも不正アクセス攻撃が確認されました。現時点でデータの流出は確認されていないものの、一部ファイルが開かれた形跡があり、二次被害発生の可能性はゼロではありません。ネットワーク遮断やサイバー対策の専門家による調査・監視など、被害拡大防止に速やかに対応したことが功を奏し、大規模なトラブルには至らなかった模様です。
大規模工事やインフラ事業では、工期や契約金額が大きいことから金銭的な動機を持つ攻撃者に狙われる傾向があります。加えて、技術情報や設計図面など、国家レベルで秘匿されるべき情報まで含むため、海外の犯罪集団などにとっても狙いやすいのが実情です。さらにサイバー防御に十分な投資を行えない中小の協力会社が多いことで、セキュリティホールが生まれやすい点も弱みとなっています。
プロジェクトごとに現場事務所が仮設され、異なるIT環境で業務を行う例が少なくありません。こうした性質から、拠点によって管理手法や機器がまちまちになり、全体として統一されたセキュリティポリシーの運用が難しくなりがちです。また、人員の入れ替わりが多い現場では、教育が行き届かないまま外部から作業員が入ることもあり、セキュリティ知識のレベル差が事故の引き金になるケースがあります。
一度侵入を許すと、下請会社や外注先とのメールやデータが狙われる恐れがあります。協力企業のアカウント情報が盗まれると、偽の請求書や契約書を送りつけられる「ビジネスメール詐欺」に発展する事態も想定されます。さらに、個人データの漏洩は顧客や従業員への不利益だけでなく、信用失墜による企業イメージの悪化、発注者との取引停止リスクに結びつきかねません。
日本建設業連合会(日建連)では、建設業向けに「建設現場における情報セキュリティガイドライン」などを公開しています。近年のランサムウェアやビジネスメール詐欺などの被害増加を受けて、一部内容が改訂・強化されました。具体的には、サーバやネットワーク機器の脆弱性対策、二重脅迫型ランサムウェアへの備え、教育・啓発用ツールの拡充などが盛り込まれています。
現場事務所では、パソコンやNASなどを導入する際に必ずウィルス対策ソフトを入れる、ソフトウェアのアップデートを徹底するなど基本的な対策が求められます。さらに、仮設事務所の場合でも物理セキュリティを強化し、端末の盗難や不審者の侵入を防ぐのも重要です。問い合わせフォームやメールシステムには、脆弱性診断の実施と不正アクセス監視を取り入れるなど、気づきにくい領域への注力も大切です。
VPNやリモートアクセスなどの仕組みが普及するなか、2要素・多要素認証を導入して不正ログインを阻止するのが効果的です。IDとパスワードのみに依存せず、ワンタイムパスコードや証明書認証などを組み合わせることで、万が一パスワードが漏れても不正侵入を防ぎやすくなります。また、データを扱うサーバは厳重にアクセス制御を設定し、権限を必要最小限に留める原則が重要視されています。
建設業界の特徴は、下請企業や協力会社との共同作業が欠かせない点です。自社だけ対策をしていても、取引先が狙われれば被害は拡大しやすくなります。そこで、発注側が協力会社にセキュリティルールを提示したり、セキュリティ教育を合同で行ったりするなど、一体となった防御体制が不可欠です。日建連が作成する教育用ポスターや動画を利用するのも、有用な手段の一つといえます。
サイバー攻撃は大企業のみが狙われるわけではありません。むしろ、防御が十分でないと推測される中小企業や協力会社ほど、攻撃者から標的にされるケースが増えています。自社でセキュリティ事故が起これば、取引先に迷惑をかけるだけでなく、企業イメージの回復にも大きな労力を要します。まずは「いつ被害に遭っても不思議ではない」という意識を従業員全員で共有するところから始める必要があります。
セキュリティ対策はシステムや機器の導入だけではなく、「事故を起こさない」「被害を拡大させない」という意識づけや運用体制づくりが大切です。具体的には、定期的な研修や訓練を通じて、メールの添付ファイルを開く際の注意点や外部記憶媒体の取り扱いルールを浸透させること、脆弱性が見つかれば早急に修正する仕組みづくりなどが挙げられます。建設業界としては、技術的な対策と教育啓発を強化し、業界全体の安全性を底上げしていくことが急務となっています。
ここではサイバー攻撃の標的として狙われやすい「製造業」「金融機関」「IoT」の3つの中から、それぞれのおすすめの理由とともにおすすめの企業を紹介します。
