特殊性のある建設現場において、適切な情報セキュリティ対策を実施するには、「建設現場における情報セキュリティガイドライン」が有効です。
「建設現場における情報セキュリティガイドライン」は、建設業界特有のセキュリティリスクに対応するための指針を提供するもので、具体的には 、「ガイドラインの必要性と概要の紹介」「建設現場の情報セキュリティマネジメントシステムの構築と運用の手順」「情報セキュリティ対策として実施すべき事項の具体的な例示」が3部構成で記載されています。
建設業界における各企業の情報セキュリティ体制の構築担当者や、各建設現場の情報セキュリティ対策を実施すべき担当者は、ガイドラインを活用し、自社のセキュリティ向上を目指すことが望ましいでしょう。
3分で分かる LANSCOPEエンドポイントマネージャー クラウド版
PC・スマホを一元管理できる エンドポイントマネージャー クラウド版 の特長をご紹介した「鉄板資料」です。
3分で分かる LANSCOPE サイバープロテクション
AI型ウイルス対策ソフト「 LANSCOPE サイバープロテクション」をわかりやすくご紹介。
AIが未知・既知問わずマルウェアを隔離します。
その他の業界と比べてペーパーレス化の導入が遅れていると言われていた建設業界においても、デジタルトランスフォーメーション(DX)が徐々に進行し始めています。その一方で、業界特有の理由からデジタル化に適合したセキュリティ対策が十分にできていない企業も少なくありません。
建設業界は、インフラを守る重要な役割を担うことも多く、サイバー攻撃を始めとしたインシデントには特に慎重な対策が求められます。
今回は、建設業界向けに作成された「建設現場における情報セキュリティガイドライン」を用いて、取り組むべきセキュリティ対策について解説します。
建設業界のセキュリティ課題
建設業界が直面する「2024年問題」
建設業界は「2024年問題」という課題に直面しています。これは、2024年4月から適用された「働き方改革関連法」に対応するために、建設業界が解決すべき労働環境の課題のことです。
建設業では2019年に施行された働き方改革関連法において、時間外労働の上限規制に5年間の猶予が設けられていました。これは、働き手の高齢化や人手不足、長時間労働の常態化などさまざまな要因が重なり、すぐに働き方改革の適用が難しいことを考慮されたためです。
働き方改革に適合するためにも、建設業各社はデジタル化およびその先のDXに積極的に取り組み、業務の効率化や省力化を図っていく必要があります。さらに、DXを推進するときにはサイバーセキュリティへの備えも同時に進めていくことが欠かせません。しかし、セキュリティを高めるにも業界特有の課題があります。
建設現場特有の課題
建設現場は、一般的なオフィスとは異なる建設現場固有の条件があり、情報セキュリティ対策を実施していくには、多くの制約があります。一般社団法人 日本建設業連合会は建設現場における情報セキュリティ対策上の制約を以下のように述べています。
①建設工事による生産物は単品・個別生産であるため、用途・構造・規模・工法などの各種条件が異なり、すべての建設現場に適用できる作業やルールの標準化がしにくい。
②建設現場は工事期間という有期の利用を前提とした仮設仕様であるため、IT 設備も柔軟に変更や撤去が可能な簡易なものを利用する。(恒久的なオフィスで常設する設備が建設現場では常設しにくい)
③現場事務所の設置・運営費用は現場経費となるため、投入できる費用には大きな制約がある。さらに工期途中で現場事務所を移転・増減する場合は、物理的・時間的・費用的な制約はより一層大きくなる。
④建設現場には元請施工者だけでなく、発注者や設計者、協力会社や資機材メーカー担当者等、多くの関係者が出入りするうえ、工事の進捗情況により関係者が入れ替わっていくため、一般オフィスよりも情報漏洩のリスクが大きく、情報セキュリティ教育の浸透に手間がかかる。
⑤環境面では、埃が多く、電源も仮設電源を使用するため、情報機器の安定稼動が確保しにくい。図面や書類等は日々変更の連続であるため、原本や最新版の管理における負担が大きい。
このような要因から、建設現場におけるセキュリティの徹底はハードルが高いと言えます。
それでは、建設業各社はどのようにセキュリティ対策を行えばよいのでしょうか。
「建設現場における情報セキュリティガイドライン」とは
このように特殊性のある建設現場を取り巻く環境を正しく認識し、適切な情報セキュリ ティ対策を実施するには、情報セキュリティ水準の設定とその具体的実現方法に関するガイドラインを示すことが有効です。このような背景から、「建設現場における情報セキュリティガイドライン」が作成されました。
「建設現場における情報セキュリティガイドライン」は、建設業界特有のセキュリティリスクに対応するための指針を提供するもので、2008年11月に初版が発表され、2020年11月に改訂、2024年2月に修正されています。
「建設現場における情報セキュリティガイドライン」の構成は以下の通りです。
【1】はじめに
ガイドラインの必要性と概要の紹介
【2】建設現場の情報セキュリティマネジメントシステムの構築と運用の手順
情報セキュリティマネジメントシステムの構築と運用手順について述べた内容
【3】情報セキュリティ対策の実施
実施すべき事項の具体的な例示
非常にシンプルな構成で、利用対象者となる、各企業の情報セキュリティ体制の構築担当者や、各建設現場の情報セキュリティ対策を実施すべき現場所長または実施責任者が分かりやすく対応できるような内容となっています。
実際に本ガイドラインを活用する際には、「【3】情報セキュリティ対策の実施」内に記載されている具体的な例示項目を見て対応していくことになるでしょう。
| 3.情報セキュリティ対策の実施 | ||
|---|---|---|
| 3.1 建設現場事務所のエリア分類と情報セキュリティ対策 | ||
| 3.2 情報資産の管理 | ||
| 3.3 情報機器の維持管理 | 3.3.1 | 情報機器の運用管理 |
| 3.3.2 | アクセス制御 | |
| 3.3.3 | ウイルス対策 | |
| 3.3.4 | ソフトウェアのインストール | |
| 3.3.5 | ログ(記録)の管理 | |
特に「3.3 情報機器の維持管理」においては、PC、スマホ等の情報機器を業務で利用する場合に、セキュリティ対策として実施すべき5つの基本的な項目が記載されています。特にこれからデジタル化を推進する企業の担当者は目を通すと良いでしょう。
出典:「建設現場における情報セキュリティガイドライン」
他組織の安全性確認
取引先などの他組織においても、本ガイドラインや後述のガイドラインなどを用いて、サイバーセキュリティ対策の強化を促すことが重要です。
2024年の改定では、協力会社の情報セキュリティ対策の強化を要請する際の遵守事項として「サプライチェーン全体のサイバーセキュリティ向上のための取引先とのパートナーシップ構築に向けて(令和4年10月28日経済産業省、公正取引委員会)」が追記されました。
ここでは、「要請の方法や内容によっては、独占禁止法上の優越的地位の濫用として問題となることもあるため、注意が必要」としながらも「サプライチェーン全体としてのサイバーセキュリティ対策の強化は、サイバー攻撃による被害によってサプライチェーンが分断され、物資やサービスの安定供給に支障が生じないようにするために重要な取組」であると記載されています。
取引先のセキュリティを担保するための指針として、ガイドラインの遵守を目安とすることは効果的であると言えます。
参考:「サプライチェーン全体のサイバーセキュリティ向上のための取引先とのパートナーシップ構築に向けて(令和 4 年 10 月 28 日経済産業省、公正取引委員会)」
また、「建設現場における情報セキュリティガイドライン」以外にも、サイバーセキュリティ対策の強化をしたい場合に参考となるガイドラインがあります。
(参考)「ビルシステムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」
今、機器やビル間でデータ連携が進むスマートビル化が進展しています。その結果、ビルシステムがサイバー攻撃を受けるリスクが高まり、それを防ぐためのサイバーセキュリティ対策の重要性が増しています。しかし、既存システムの制約やコストの問題から、十分な対策が取られていないことも多いです。経済産業省が発表した「ビルシステムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」は、全ての種類のビル、ビルシステムになんらかの関わりをもつ全てのステークホルダーを対象とした、脆弱性やリスク、セキュリティ対策等のまとめと、サイバーセキュリティ対策の指針を示す内容となっています。
(参考)サイバーセキュリティ経営ガイドラインVer 3.0
経済産業省 独立行政法人 情報処理推進機構(IPA)が発表した「サイバーセキュリティ経営ガイドラインVer 3.0」は、特定の業界に関わらず、大企業及び中小企業(小規模事業者を除く)の経営者を対象
として公開されたものです。このガイドラインは、経営層がサイバーセキュリティ対策に積極的に関与し、全体戦略に組み込むことの重要性を強調しています。具体的には、3つの基本原則が示されています。1) サイバーセキュリティを経営戦略に組み込む、2) 経営層がリーダーシップを取る、3) 継続的な改善を行う、です。また、情報セキュリティの責任者には、リスク評価、セキュリティ方針の作成、インシデント対応計画の整備、教育・訓練の推進、外部パートナー管理など、具体的な対策とその改善が求められます。建設業に関わらず、企業全体のセキュリティ体制を強化したい場合は「サイバーセキュリティ経営ガイドラインVer 3.0」を並行して参考にすることもおすすめです。
LANSCOPEで対応できる「建設現場における情報セキュリティガイドライン」の項目は?
ここからは、「建設現場における情報セキュリティガイドライン」に示されている項目を具体的にどのように守っていけばよいかを、ガイドラインで紹介されている項目を例にご紹介します。
<LANSCOPE エンドポイントマネージャー クラウド版で対応できる項目>
| 3.3.1 情報機器の運用管理 | (3)情報機器の持出し管理 ■対策例 ・盗難や紛失等が発生した場合に備え、パスワード付きファイルの利用や暗号化等の対策を行う。 |
|---|
LANSCOPE エンドポイントマネージャー クラウド版は、端末の紛失時に位置情報から所在を確認、遠隔でリモートロックやワイプを実行し情報漏洩を防止します。WindowsPCだけでなく、iOS、Androidのスマートフォンの位置情報も取得可能です。
| 3.3.1 情報機器の運用管理 | (5)取り外し可能な記憶媒体の管理運用 ■対策例 ・利用媒体は、会社から貸与されるパスワードロック等のセキュリティ機能付き媒体のみの利用とし、個人のものは利用しない。 |
|---|
LANSCOPE エンドポイントマネージャー クラウド版は、会社が貸与した特定の記録メディア(USB メモリ等)のみの利用を許可するという制御ができるため、私物記憶媒体の利用を制限できます。また、グループ単位で禁止・読取専用・許可のいずれかから基本ポリシーを設定できるため、特定の記録メディアのみ許可する以外にも、特定の PC のみ許可、という設定や、特定の日時のみ一時的に許可、など柔軟な設定が可能です。
<LANSCOPE サイバープロテクションで対応可能な項目>
| 3.3.3 ウイルス対策 | ■対策例(一部抜粋) ・現場事務所内のパソコンおよびサーバには、ウイルス対策ソフト(自動更新できる製品)を必ず導入する。 ・ウイルス対策ソフトでは、常に最新のパターンファイルおよび検索エンジンを使用する ・情報セキュリティ担当者は、定期的に各パソコンのパターンファイルの更新が実施されているかチェックする。 |
|---|
ネットワークに接続されたパソコンがウイルスに感染すると、現場事務所内だけでなく外部関係者や関連企業のシステムも停止する恐れがあります。また、ウイルス感染が情報漏洩事故に発展し、取引先の信用低下や責任問題を引き起こす可能性もあります。
LANSCOPE サイバープロテクションは、AIを活用した次世代型のアンチウイルス対策ツールです。従来型では検知が難しい未知のマルウェアを99%(※)の高精度で検知とが可能です。また、パターンファイルを使用していないため、日々のアップデートは不要です。次世代型AIアンチウイルスは、用途に応じて「CylancePROTECT」「Deep Instinct」の2種類から選択できます。攻撃を受ける前に高い精度でマルウェアなどの脅威を検知し、感染を防ぎます。(※EDRは、CylancePROTECTのオプションとして提供しています)
※ CylancePROTECT:2024年5月 Tolly社のテスト結果より
※ Deep Instinct:Unit221B社調べ
今回ご紹介した2製品のより詳しい内容はホワイトペーパーでもご用意しています。是非ご一読ください。
3分で分かる LANSCOPEエンドポイントマネージャー クラウド版
PC・スマホを一元管理できる エンドポイントマネージャー クラウド版 の特長をご紹介した「鉄板資料」です。
3分で分かる LANSCOPE サイバープロテクション
AI型ウイルス対策ソフト「 LANSCOPE サイバープロテクション」をわかりやすくご紹介。
AIが未知・既知問わずマルウェアを隔離します。
