建設ビジネスの情報セキュリティに関する 5 つのアドバイス

by Joshua Glazer
- 2017年12月19日
construction business cybersecurity header graphic

疑わしいリンクをクリックしたり、不要なオンライン アンケートに回答したり、アプリのアップデートを面倒がったりしたことは、読者にも覚えがあるだろう。こうした情報セキュリティに関する過ちに不安を感じているのなら、その失策が建設ビジネスに数億円規模の損失を与えることを想像してみてほしい。一通の不法メールに反応したばかりに、読者自身や同僚が職場から追いやられることになったら?

米国でも、Uber Equifax、Target などで注目を集めたデータ漏洩から建築業界の中小企業を狙ったハッカーによる詐欺行為まで、こうした最悪のシナリオが毎日のように見聞きされる。Target のデータ漏洩は、サードパーティである HVAC (冷暖房空調システム) の施工業者を通じてセキュリティ資格情報が盗まれたことによるものだった。

この情報セキュリティが広く報じられたことで、サイバー犯罪者たちは、建築業界の企業がいいカモであるとという印象を与えたかもしれない。だが、Soltani LLC のコンサルタントであり、米連邦取引委員会 (FTC) の前最高責任テクノロジスト、ホワイトハウスの前相談役であるテクノロジー エキスパート、アシュカン・ソルタニ氏によると、それはリスク プロファイルによって異なる。

「例えば銀行を建設する案件があるとします。このクライアントのために業務を行うことで、より高い脅威にさらされ、リスク プロファイルは高くなります」と、ソルタニ氏。「高額な、もしくは高価値なクライアントがいれば、より優れた運用セキュリティが必要です」。

construction business cybersecurity internet hacking

ソルタニ氏によると、リスクの検討は自動車を盗難から守ることに似ている部分がある。「所有する車に盗難防止警報器を搭載しているでしょうか? ハンドルロックは付けているでしょうか? 自動車の盗難率の高い怪しげなエリアに住み、高価な車を所有しているのなら、特別な備えが必要になるでしょう。このコンセプトはビジネスにも通じます。リスクを把握して、どういう投資が必要なのかを理解することが大切です」。

Construction Dive の 2016 年の報告 (英文資料) によると、建設業界へのランサムウェア攻撃は前年比で 400% 上昇している。イギリスのボルトン大学の研究者による調査では、「BIM のセキュリティを、より真摯に受け止める必要がある」ことに、回答者の 70% が同意している。建築・建設業界には、より伝統的な詐欺行為のまん延に加えて、いまやハッカーによる攻撃は可能性でなく、それがいつ起こるのかという問題となっている。

完璧なセキュリティは存在しないが、建設会社は情報セキュリティのための対策を、すぐに講じることはできる。企業がデータとシステムを守るために行える、5 つの策を紹介しよう。

1. 受付の愛想はほどほどに

メディアが描写するハッカー像は、コードを駆使してデジタル システムに侵入する、色白の一匹狼といったイメージが一般的だ。だが実際は、ほとんどのハッキングには、何らかのソーシャル エンジニアリングの要素が含まれている。愛想の良い社員が電話対応で提供する、ごくありふれた情報が、他者をだます非道なコードのオンライン進入を許すことにつながるのだ。

「ソーシャル エンジニアリングは、常に最も脆弱なリンクです」と、ソルタニ氏。「悪人やハッカーたちは、受付や若い社員をターゲットにすることもあります。セキュリティを優先事項にし、現場の安全教育と同様、ネットに関する安全教育を提供しましょう」。

2. メール システムに手を抜かない

明白なフィッシング詐欺であれば、大抵の社員はそれと見分けることができる。だが、そのメールの発信元が、同僚やパートナー、自社の CEO だったら? こういった攻撃は「スピア フィッシング」と呼ばれる。格安のメール サービスでは、メール サービスが乗っ取られ、一見正規のように見えるメール アカウントからの偽メールの発信が可能になることがある。

今年目を引いたケースでは、詐欺グループが協力会社であった Adolfson & Peterson Construction の正規メール アカウントに見えるアドレスを使って Boulder Valley School District (コロラド州ボルダー郡学区) を欺き、偽の銀行口座に 85 万ドル (約 9,500 万円) を振り込ませた事件があった。カナダ・エドモントンで起こった同様の詐欺ではマキュアン大学が、建設会社 Clark Builders を装った偽口座に約 1,200 万ドル (13.5 億円) を振り込んでいる。

construction business cybersecurity cheap email

では、最も安全なのはどういうタイプのメール サービスだろうか。社屋の地下に備えられたプライベート サーバー、僻地のデータ センターで管理されるリース サーバー、それともクラウドベースのメール システム?

「プロバイダーにメールの内容が筒抜けになるからとクラウド メールに不安を感じる人が多いのですが、心配すべきは Google、ウクライナのハッカーたちのどちらでしょうか?」と、ソルタニ氏。「脅威が後者であるのなら、二段階認証などでセキュリティ機能を強固にしたクラウド ストレージ ソリューションが、優れた選択肢だと思います。クラウドベースの企業は何百万人というユーザーのため、システムを監視と保護を行っています」。クラウドベースのバージョン管理システムの資格情報を守る、追加対策も必要だ。

3. セキュリティ エキスパートを社員として雇用

IT 担当者を常駐させるにはコストがかかり、競合する入札を勝ち取ろうとする場合は収益に影響する。だが、データ保護の不備は企業を破産に追い込みかねない損失につながることもあり、連邦取引委員会からの刑事告訴さえあり得る。

「セキュリティが、最高情報責任者 (CIO) がセキュリティ専任の若い管理者の雇用にメリットを見出すほどの課題であるかどうかの問題です」と、ソルタニ氏。「支払うべき給与が、企業にとって意味のある投資となるでしょうか? その答えがイエスなら、その人物を雇い、システムのパッチングや、WiFi ホットスポット経由でクライアントデータを扱うユーザー用の VPN 設定など、セキュリティ リスクに対処するソリューションの実装責任者に任命することです」。

フルタイムの IT スタッフの雇用まではできなくても、急速に変化する情報セキュリティにおける脅威への対応を支援してくれるエキスパートとの連携は必要だ。DHG Assurance Services の 2016 年のレポート (英文 PDF) では、CISSPCCECISACRISCGCIH の認定資格を有する IT アドバイザーとのサービス契約の締結が推奨されている。また、連邦取引委員会による包括的なベストプラクティス ガイド「Start With Security (英文 PDF)」を参考にするのも良いだろう。[参考情報: 経済産業省による情報セキュリティ対策ポータル]

4. 管理者数を制限する

会社が便宜と引き換えにセキュリティを危険にさらす問題に、管理者レベルのアクセス権限を与えられている社員が多過ぎる点がある。BIM のようにネットワーク化されているシステムではリモートで、またサードパーティの関係者を通じた知的財産へのアクセス権を認めるため、これは特に問題となる。

construction business cybersecurity too many admins

「私が企業のサーバーへのアクセスを狙っているハッカーだとします。パスワードを所有している人物がひとりだけの場合、その人物への攻撃が失敗した場合、私の努力はすべてムダになります」と、ソルタニ氏は続ける。「でも管理者権限を持つ人が 20 人いるなら、そのうちひとりを利用できればアクセス権を入手できるのです」。

牙城へのアクセスを許す鍵が出回るのを防ぐべく、英国工業技術学会 (IET) の レポート [英文 PDF] は、「CDE (Common Data Environment、情報マネジメント仕様書) の管理、プロジェクト情報の管理、連携業務の支援、情報交換、プロジェクトチームの責任者となる」情報マネージャーの任命を含む、一連の BIM 手順を提供している。

5. ソフトウェアは常に最新の状態に

情報セキュリティは、絶え間なく進化する脅威を相手にしており、新しいテクノロジー (IoT センサーやスマートロックなど) は新たなセキュリティの課題をもたらす。どのソフトウェアを使用するにしても、重要なのは定期的にアップデートを行い、脆弱性に対して最新の対策が行われるようにすることだ。多大の時間が必要となることもあり、業務に必要な機能がアップデートで中断されるとしても、セキュリティを優先すべきだ。

「ソフトウェア アップデートの多くは、単なる機能アップデートに留まりません」と、ソルタニ氏。「不具合の解消、そしてさらに重要なことに、セキュリティ バグの解消が含まれています。たとえば iOS アップデートの場合も、細かく確認すると、発見された何らかの攻撃への対抗策として Apple が修正を加えていることがあります。その攻撃が知られると、攻撃があった事実が皆の知るところとなるため、アップデートで修正しなければシステムは脆弱になります」。

関連記事