前へ 1 2 次へ

第9回 “あのセキュリティ事故”はどうやったら防げた? 検証委員会

建設、小売、サービスなど“多拠点分散型”のセキュリティ対策に役立つ「FortiSASE」

建設現場で協力会社のPCがランサムウェア感染、工事がストップ! どうやったら防げた?

文●大塚昭彦/TECH.ASCII.jp

提供: フォーティネット

  • この記事をはてなブックマークに追加
  • 本文印刷

■今回のセキュリティ事故:

 近畿地方に本社のあるJ社は、マンションやオフィスビルの建設工事を得意とする中堅ゼネコンだ。地元を中心に多くの建設実績を持つため、デベロッパーから直接発注を受ける「元請会社」として工事に携わるケースが多い。元請会社となった場合、現場を指揮監督して自社や協力会社(下請会社)を取りまとめ、工事を遅滞なく確実に進める役割を担う。

 そんなJ社では、数年前から“建設現場のDX推進”に取り組んできた。最初の目標として「デジタルツールの導入による現場管理の効率化」を掲げ、さまざまなSaaSツールを導入している。現場の状況がクラウドを介してリアルタイムに把握できるようになり、J社の経営層も現場も、大きな導入メリットを実感している。

 ただし、デジタルツールの現場導入を急いだ結果、サイバーセキュリティの面では“ひずみ”も生まれていた。

 たとえば、建設現場のセキュリティ対策は、本社オフィスの対策と比べて貧弱なままだった。実際、「対策」と呼べるものは、現場事務所に設置された小型ルーターが内蔵するファイアウォール機能と、業務PCにインストールされたEPPソフト(いわゆるアンチウイルスソフト)程度だ。

 また、J社のルールでは、各工事現場に「情報セキュリティ責任者」を配置することになっているが、これも形式的なものにとどまっている。各現場にセキュリティ専任の担当者を配置することなどできないので、やむなく現場所長が情報セキュリティ責任者を兼務している。もっとも、現場所長たちのセキュリティリテラシーは、低くはないものの一般社員と変わらないレベルだ。

 本社のIT部門にも、各現場のセキュリティ対策を支援するほどのリソースはなかった。現場事務所が開設される際のネットワーク敷設、各種SaaSの設定などはサポートしているが、それだけで手一杯であり、その後のセキュリティ運用は“現場任せ”にせざるを得なかった。

 そんな中でセキュリティ事故が起こった。J社が元請会社を務めるマンション建設現場で、協力会社であるN社の社員が、現場事務所に持ち込んだ業務PCでフィッシングメールを開き、ランサムウェアに感染してしまったのだ。

 感染したランサムウェアは、現場事務所のネットワークを使ってほかのPCにも感染を広げようとした。幸いにも、J社の業務PCにインストールされていたEPPが攻撃をブロックし、J社側のPCは無事だった。それでも、N社のPCにあったデータやクラウドストレージで共有していたデータが暗号化されてしまい、それらを復元する作業におよそ1週間を要した。

 この間、N社が担当する工事は大きく停滞してしまった。「情報セキュリティ責任者」でもある現場所長だが、ランサムウェアによる被害よりもむしろ、工事スケジュールの遅延に頭を抱えてしまった。

 現場事務所は工事期間中だけ仮設される拠点であり、そこに本格的なセキュリティ機器を設置するのは難しい。さらに、それを設置できたとしても、監視や運用を行える人材は現場にはいない。……このセキュリティ事故は、どうやったら防げたのだろうか?

※このストーリーはフィクションです。実在する組織や人物とは関係ありません。

人手不足を背景に、建設現場で急速に進むデジタル化

 近年、建設業では“建設DX”、建設現場でのデジタル活用の取り組みが活発化している。現場の労働力不足や高齢化は深刻な業界課題となっており、“新3K(給与が良い/休暇が取れる/希望が持てる)”の魅力的な労働環境づくりを通じて、若い労働力の取り込みを目指している。そこで、さまざまなデジタルツールの導入による「効率的な働き方」の実現も求められるわけだ。

 建設現場で使われているツールのほとんどは、クラウド型ツール(SaaS)として提供されている。すでに普及しているものだけでも、プロジェクト管理や施工管理、現場作業員の勤怠/労務管理、情報共有を行うためのチャットツールやクラウドストレージなどさまざまだ。

 SaaSツールなので、現場と本社とのリアルタイムな情報共有、屋外の現場でもスマートフォンやタブレットで情報を参照できる便利さ、システム運用の手間がかからない負担の軽さ、といったメリットがある。「図面を確認するために工事現場から事務所に戻る必要がなくなった」「現場事務所と本社を行き来する無駄が省けた」といった声はよく聞かれる。

建設現場でサイバーセキュリティ対策が進まない“3つの理由”

 ただし、建設現場の作業で“デジタル依存”が進めば、サイバー攻撃やセキュリティ事故が発生した際の影響や被害も大きなものになる。当然、建設現場でもサイバーセキュリティ対策を強化していくべきだが、建設業特有の「対策の難しさ」が、それを妨げているケースも多いようだ。

 対策が難しい理由の1つめは「建設現場が地理的に分散していること」だ。建設現場は通常、本社から離れた場所に、いくつも分散して存在する。それぞれの拠点に、ITやセキュリティ専任の担当者を配置するのは無理だろう。さらに、工事期間中だけの仮設拠点となるので、セキュリティ機器の導入にも物理的/コスト的な制約がある。

 理由の2つめは「建設現場には幅広い協力会社が参加する」ことだ。現場での安全対策などと同様に、現場の情報セキュリティ対策については、元請会社が管理責任を負うことになる。しかし、持ち込まれるデバイスをはじめとしたセキュリティ対策のレベルは、会社ごとに(今回のJ社とN社のように)まちまちだ。協力会社に対策強化を要請することはできても、コストがかかることでもあり、それを強制することまではできない。

 最後の理由は「『人』のセキュリティリテラシーもまちまちである」点だ。セキュリティ教育を徹底し、全体のセキュリティリテラシー水準を引き上げて“人によるセキュリティ”を実現できれば理想的だが、忙しい現場では難しいだろう。さらに、ふだんのセキュリティ教育レベルも会社によりまちまちなので、そこも難しい点だ。

前へ 1 2 次へ
Fortinet トップへ