IT技術の利活用が進む建設業では、情報セキュリティへの対策が求められています。セキュリティリスクを看過すると、クライアントに多大な影響を及ぼす事故につながります。本記事では、実際にあったセキュリティ事故を紹介しながら、建設業の情報管理を担う方に向けて、建設業の情報セキュリティ対策について解説します。
建設業で起こりうるセキュリティリスクとは?
建設業では業務上、作業現場が屋外であることが一般的なこと、下請企業の社員をはじめとした数多くの協力者が出入りすることなどから、セキュリティリスクが高いと考えられます。以下では発生しうるリスクの具体例として、機器の紛失による情報漏洩、フィッシングメールによるウイルス感染、現場写真や機密情報の漏洩について紹介します。
USBなど機器の紛失による情報漏洩
建設業では情報機器の紛失による情報漏洩の発生が懸念されます。建設現場は屋外が基本であり、情報機器は外部に持ち出して利用することが前提となっています。「パソコンなどの情報機器はオフィス内からの持ち出しは厳禁」といったルールを適用することはできません。建設現場で紛失したり、移動中の電車の網棚に置き忘れたりといった可能性は常にあり、情報漏洩のリスクがつきまといます。
最近では、インターネット上にデータを保存できるオンラインストレージが広く利用されるようになってきていますが、まだUSBメモリなどのリムーバルメディアでデータをやり取りすることも多くあります。建築物の図面データや顧客情報などの機密情報を社員が持ち出すことになるため、ここでも紛失の可能性が懸念されます。また、機密情報が第三者の手に渡り、重大な事故に繋がることもあります。情報機器の持ち出し管理は徹底して行う必要があります。
フィッシングメールによるウイルス感染
フィッシングメールなどでパソコンがウイルス感染してしまうこともセキュリティリスクのひとつです。最近では、あたかも本物の宅配業者や銀行であるかのように装ったメールが送られることが多々あります。メールに記載されたURLにアクセスし、IDやパスワードを入力すると、入力された個人情報を抜き取ってしまうのがフィッシングメールの手口です。
フィッシングとは個人情報をだまし取るオンライン詐欺のことです。最近では手口が巧妙化しており、メールに記載されたURLをクリックせずとも、メールを開いただけでウイルスに感染してしまうことがあります。メールの件名や送信者名からはなかなかフィッシングメールだとは判別しづらく、誤って開いてしまう可能性もあります。パソコンがウイルス感染すれば、業務に大きな影響を及ぼすことが考えられるため、注意が必要です。
不正な撮影・アップロードによる現場写真や機密情報の漏洩
許可なく無断で撮影された未公開の現場写真や機密情報が漏洩し、インターネット上にアップロードされて拡散してしまうリスクもあります。世代を問わずSNSの利用者は増えており、影響力も計り知れないものになっています。例えば国内でも利用者数の多いSNSのひとつ「LINE」は、月間の利用者数が9,400万人(2022年12月末時点)に上ります。
建設業の場合、正式発表されていない未公開建物の写真や、企業秘密である生産工場内部の写真がスマートフォンなどで無断撮影され、悪意を持った第三者の手でSNSにアップロードされてしまうことも考えられます。万が一、情報漏洩を起こしてしまうと、損害賠償を求められることもあり、企業としては財務面で大きなダメージを受けます。さらに社会的信用を失い、企業の存続自体が危うくなる可能性もあります。
参考URL:【公式】LINE広告-9,400万人に届く|LINE for Business
参考URL:令和3年度情報通信メディアの利用時間と情報行動に関する調査報告書<概要>|令和4年8月 総務省情報通信政策研究所
建設業でも要注意! 実際にあったセキュリティ事故の事例3つ
ここでは、実際にあったセキュリティ事故の事例を紹介します。建設業以外の事例もありますが、建設業でも十分起こりうる可能性のある事故なので、注意が必要です。
事例1. USBの紛失であわや大事故に
一つ目は、不適切な管理でUSBメモリを紛失し、情報漏洩に発展しそうになった事例です。本来は厳密に管理されるべきUSBメモリを、担当者が無許可で事業所外に持ち出し、USBメモリを携帯したまま飲酒したことから発生した事故です。USBメモリには個人情報が保存されていましたが幸いにも後日発見され、情報漏洩はないと判断されました。しかし、悪用されていれば、取り返しのつかない事態になるところでした。
この事故の問題点は、USBメモリを無許可で持ち出せる環境にあったことと、USBメモリを携帯したまま飲酒したことです。個人情報が保存されたUSBメモリを無許可で持ち出せたのは、情報機器の管理がずさんであったことを示しています。また、USBメモリを携帯したまま事業所外で飲酒をするのは、当該社員のセキュリティリスクへの意識の低さの表れです。情報機器の持ち出し管理は徹底して行うこと、また全社員に対してセキュリティ教育などを通じて、意識を高めることの重要性が教訓として得られます。
事例2. フィッシングメールで取引先情報が流出
二つ目は、フィッシングメールから取引先の情報が流出してしまった事例です。社員が業務用として支給されたスマートフォンに、宅配業者を装ったメールが届き、メール内のURLから偽サイトに誘導されました。偽サイトと気づかず、IDとパスワードを入力した結果、当該スマートフォンに不正ログインされてしまいます。この社員の勤務先企業では、端末内に保存された会社内の取引先の情報や当該企業の社員情報が搾取された可能性があると発表しました。
メールに記載するURLを本物のサイトのURLに似せてわかりにくくするなどの巧妙な手口によって、送信元を疑わず自分のアカウント情報を入力してしまったことが情報流出の原因です。
事例3. 「ちょっと投稿」のつもりが思わぬ情報漏洩に
三つ目は、SNSへの投稿から情報漏洩が発生してしまった事例です。職員が業務中にデスク周りの写真を撮影してSNSに投稿したところ、関係先の企業情報が写り込んでおり、情報漏洩につながった事故です。意図的ではないものの、企業情報が写った写真をSNSに投稿してしまったことは大きな問題です。本件では、投稿の削除と企業への謝罪という対応で収まりましたが、損害賠償を求められたとしてもおかしくはありませんでした。
個人ユーザーの多くはSNSをプライベートで利用していますが、投稿内容には十分に配慮する必要があります。SNSを利用する際には、一人ひとりがセキュリティに対する意識を高める必要があります。
職員のセキュリティリスク意識を向上させるためにも、SNS利用に関する教育を徹底して行うことは重要です。
建設業が行うべきセキュリティ対策とは?
今後、建設業が導入すべきセキュリティ対策についてハード面・ソフト面の両面から解説します。
社員教育でセキュリティへの意識を高める
ソフト面では、情報セキュリティに関する社員教育を実施し、全社員の意識を向上させることが重要です。建設現場は一般的なオフィスとは異なる職場環境であり、セキュリティリスクが高いと考えられます。また、建設業は関係者の入れ替わりが多く、情報セキュリティ教育が浸透するまでに時間がかかる傾向にあります。この点を踏まえたうえで、社員教育を行う必要があります。また、社内で情報セキュリティに関する情報共有の場を設けたり、情報管理に関するルールを定めたりすることも重要です。
セキュリティ対策ソフトやツールを導入する
ハード面では、社員が業務で使用するパソコンにセキュリティ対策ソフトやツールを導入します。未然に事故を防ぎ、また万が一事故が発生しても拡大させないためには、ハード面からもセキュリティ対策を講じることが重要です。
建設業は、長時間労働や少子高齢化など、さまざまな課題を抱えています。加えて労働時間の上限規制や正規・非正規社員の同一労働・同一賃金、月60時間超の時間外割増賃金率引き上げといった、いわゆる2024年問題への対応も迫られており、業務改善や体制整備に向けたアクションも検討する必要があります。また、セキュリティ対策ソフトやツールの導入は、人が行っていたセキュリティ対策や問題への対応が自動化されるため、業務改善の可能性もあります。
建設業でのセキュリティ強化に「HENNGE One」
建設業でのセキュリティ対策の強化には「HENNGE One」の導入が効果的です。上述したように、最近のフィッシングメールは巧妙化しており、社員教育だけで対策するには限界があります。「HENNGE One」を導入すれば、セキュリティ機能により、不審なメールを事前にチェックしたり、メールの誤送信を防止したりといったことが可能です。ほとんどの社員が業務で使うメールソフトをより安全に利用できるようにしてくれます。
まとめ
建設業でもIT技術の利活用は進んでいますが、ほかの業界に比べてセキュリティリスクが高く、有効な対策を講じることが求められています。これまでに発生した情報セキュリティ事故を教訓に、建設業でもハード面・ソフト面の両面から情報セキュリティ対策を進めていく必要があります。
