建設業は、社会インフラの整備を担う重要な産業です。DXの推進により業務効率化が進む一方で、サイバー攻撃に対する脆弱性も生まれています。本章では、建設業が直面するランサムウェアの脅威と、その対策について包括的に解説します。
建設業が狙われる理由と被害の影響
建設業へのランサムウェア攻撃は、工事の遅延や機密情報の漏洩という深刻な事態を招く可能性があります。なぜ建設業が攻撃対象となるのか、その背景を理解することが重要です。
標的となる理由
建設業がランサムウェア攻撃者にとって標的となりやすい理由は複数あります。
第一に、設計図面・技術情報の価値があります。建築物、構造物の設計図面、工法に関する技術情報など、競争力の源泉となる情報が多く存在します。
第二に、入札情報の機密性があります。公共工事や大型プロジェクトの入札情報は極めて機密性が高く、漏洩すれば入札の公正性が損なわれます。
第三に、多数の協力会社とのネットワークがあります。建設業は多層的な請負構造を持ち、元請け、一次下請け、二次下請けと多数の会社がネットワークでつながっています。一社の脆弱性が全体に波及するリスクがあります。
第四に、現場事務所のセキュリティの脆弱性があります。工事現場の仮設事務所は、本社と比べてセキュリティ対策が手薄になりがちであり、攻撃の侵入口となる可能性があります。
被害の影響
- 設計図面の漏洩
- 建築物、構造物の設計図面が漏洩すれば、競争力の喪失につながる。また、セキュリティ上重要な施設(データセンター、金融機関など)の図面漏洩は、さらなるセキュリティリスクを生む。情報漏洩として深刻な問題
- 入札情報の漏洩(入札妨害リスク)
- 入札価格、積算内訳などが漏洩すれば、競合他社に有利な情報を与えることになる。公共工事の場合、入札妨害罪に問われる可能性もある
- 工事の遅延
- 図面データ、工程管理データが暗号化されれば、工事の遂行に支障が生じる。工期遅延は、発注者からの違約金請求や信頼失墜につながる
- 発注者からの信頼失墜
- 情報漏洩や工事遅延は、発注者からの信頼を大きく損なう。今後の受注機会にも影響する
図面・CAD/BIMデータの保護
設計図面とBIM(Building Information Modeling)データは、建設業の重要な情報資産です。これらの保護は、競争力維持と情報セキュリティの両面から重要です。
保護すべきデータ
- 設計図面(2D CAD)
- 建築、構造、設備などの各種図面。プロジェクトの基本情報であり、漏洩・喪失の影響は大きい
- BIMモデル(3Dデータ)
- 建物の3次元モデルに属性情報を付加したBIMデータ。設計から施工、維持管理まで活用される高価値データ
- 施工図
- 実際の施工のために作成される詳細図面。現場特有のノウハウが含まれることもある
- 積算データ
- 工事費用の積算に関するデータ。入札価格の算定根拠となる機密情報
保護対策
- アクセス制御(プロジェクト別)
- 図面・BIMデータへのアクセスは、担当プロジェクトのメンバーに限定する。プロジェクト単位でアクセス権限を設定し、他のプロジェクトのデータにはアクセスできない仕組みを構築する。不正アクセスの防止が重要
- バージョン管理
- 図面・BIMデータの変更履歴を管理し、過去のバージョンに復元できるようにする。ランサムウェア被害時にも、過去のバージョンから復旧できる可能性がある
- バックアップ
- 図面・BIMデータを定期的にバックアップし、オフラインで保管する。大容量データのバックアップには時間がかかるため、計画的に実施する。詳細はバックアップ戦略を参照
- 外部共有時の暗号化
- 協力会社、発注者との図面共有時は、暗号化を徹底する。パスワード付きZIPファイルよりも、セキュアなファイル共有サービスの利用を推奨
入札情報の機密管理
入札情報は、建設業において最も機密性の高い情報の一つです。適切な管理により、入札の公正性と自社の競争力を守る必要があります。
入札情報の重要性
入札価格、積算内訳、技術提案などの入札情報は、競合他社に知られれば自社に不利益をもたらします。公共工事の入札において不正が行われれば、入札妨害罪や談合の嫌疑をかけられる可能性もあります。
また、入札情報の管理不備が発覚すれば、発注者からの指名停止など、厳しい処分を受ける可能性があります。
保護対策
- 入札関連情報の隔離管理
- 入札に関する情報は、通常の業務データとは別のフォルダ・システムで管理する。アクセスできる端末も限定することが望ましい
- アクセス権限の限定
- 入札情報にアクセスできるのは、入札担当者のみに限定する。担当外の社員、協力会社はアクセスできない仕組みを構築する
- 入札完了後の情報管理
- 入札完了後も、情報は一定期間適切に保管する。不要になった情報は確実に削除し、漏洩リスクを低減する
協力会社のセキュリティ管理
建設業は多層的な請負構造を持ち、元請けから一次・二次下請けまで、多数の協力会社が関わります。一社のセキュリティ不備が全体に影響するリスクがあります。
協力会社経由のリスク
- 情報共有に伴うリスク
- 図面、工程表、施工要領などを協力会社と共有する際、セキュリティ対策が不十分な協力会社経由で情報が漏洩するリスクがある
- セキュリティレベルのばらつき
- 協力会社の規模、業種によりセキュリティ対策のレベルは様々。特に小規模な協力会社では対策が不十分な場合がある
詳細はサプライチェーン攻撃の動向と対策を参照してください。
管理対策
- セキュリティ基準の提示
- 協力会社に対し、最低限守るべきセキュリティ基準を提示する。具体的なチェックリストを提供し、対策状況を確認する
- 契約条項での明記
- 請負契約において、情報セキュリティに関する条項を明記する。情報の取り扱い方法、インシデント発生時の報告義務などを定める
- 情報共有ルールの策定
- 協力会社との情報共有方法を定める。セキュアなファイル共有サービスの利用、メールでの機密情報送信の禁止などをルール化する
- 定期的な確認
- 協力会社のセキュリティ対策状況を定期的に確認する。特に重要な情報を共有する協力会社については、より詳細な確認を行う
現場事務所のネットワーク対策
工事現場の仮設事務所は、本社と比べてセキュリティ対策が手薄になりがちです。現場事務所特有のリスクに対応した対策が必要です。
現場特有のリスク
- 仮設ネットワーク
- 工事期間中のみ設置される仮設ネットワークは、本社のネットワークと比べてセキュリティ設計が十分でない場合がある
- 複数の関係者の出入り
- 現場事務所には、自社社員だけでなく、協力会社、発注者、各種業者など多数の関係者が出入りする。物理的なセキュリティの確保が難しい
- 本社システムとの接続
- 現場事務所から本社の図面サーバ、工程管理システムなどにアクセスする場合、その接続経路が攻撃の侵入口となる可能性がある
対策
- 現場ネットワークの分離
- 現場事務所のネットワークは、本社ネットワークとは分離する。VPN等を経由して限定的に接続し、直接的な接続は避ける
- VPN接続の管理
- 本社システムへのアクセスはVPN経由とし、接続元の認証を厳格に行う。多要素認証の導入が望ましい
- 端末の管理
- 現場で使用するPC、タブレットは、本社と同様のセキュリティ対策(ウイルス対策、パッチ適用、EDRなど)を適用する
- Wi-Fiセキュリティ
- 現場事務所のWi-Fiは、WPA3等の強固な暗号化を使用する。来客用と業務用のネットワークは分離する。偽Wi-Fiに注意する
被害事例と教訓
建設業のランサムウェア被害事例から、重要な教訓を学ぶことができます。
建設業の被害事例
- 図面漏洩の事例
- 建設会社がランサムウェア被害を受け、設計図面を含むデータが暗号化された事例がある。二重恐喝型ランサムウェアにより、図面データが外部に流出した可能性も報告されている
- 業務停止の事例
- 建設会社の基幹システムがランサムウェアに感染し、工程管理、原価管理などの業務システムが停止した事例がある。復旧までの間、業務に大きな支障が生じた
- 協力会社経由の事例
- 協力会社のシステムがランサムウェア被害を受け、そこを経由して元請けのシステムにも影響が及んだ事例がある
共通する教訓
| 教訓 | 詳細 | 対策の方向性 |
|---|---|---|
| 協力会社管理の重要性 | 協力会社経由の侵入・漏洩リスク | セキュリティ基準の提示、契約条項整備 |
| 現場事務所のセキュリティ | 仮設環境の脆弱性 | ネットワーク分離、VPN管理、端末管理 |
| バックアップの重要性 | 図面データの復旧手段 | オフラインバックアップ、バージョン管理 |
| フィッシング対策 | メール経由の感染 | 従業員教育、メールセキュリティ |
| パッチ管理 | 脆弱性を突いた攻撃 | VPN機器等の迅速なパッチ適用 |
よくある質問(FAQ)
- Q: 協力会社にセキュリティ対策を求めるのは難しくないですか?
- A: 小規模な協力会社に高度なセキュリティ対策を求めることは確かに難しい面があります。しかし、段階的なアプローチが有効です。まず、最低限守るべき基準(パスワード管理、ウイルス対策ソフトの導入など)を提示し、その遵守を契約条件とします。次に、重要な情報を共有する協力会社には、より詳細な確認を行います。セキュリティ対策を一方的に要求するのではなく、協力会社と共に対策を進める姿勢が、良好な関係維持につながります。
- Q: BIMデータが暗号化された場合、復旧は可能ですか?
- A: バックアップがあれば復旧は可能です。ただし、BIMデータは大容量になることが多く、バックアップの頻度や保管場所によっては、直近の作業分が失われる可能性があります。また、BIMはソフトウェアのバージョンによって互換性の問題が生じることもあるため、バックアップと併せてソフトウェア環境の復旧手順も整備しておく必要があります。クラウドベースのBIM環境を利用している場合は、サービス事業者のバックアップ体制も確認しておくことをお勧めします。
- Q: 現場事務所のWi-Fiは危険ですか?
- A: 適切に設定されていれば危険とは限りませんが、リスクは本社より高い傾向があります。対策としては、WPA3等の強固な暗号化を使用すること、業務用と来客用のネットワークを分離すること、パスワードを定期的に変更することが重要です。また、偽Wi-Fi(Evil Twin攻撃)のリスクにも注意が必要です。できれば、重要なデータを扱う端末は有線LANで接続することをお勧めします。
- Q: 図面が漏洩した場合の発注者への報告義務は?
- A: 契約内容によりますが、一般的に発注者から預かった情報(発注者の図面、仕様書など)が漏洩した場合は、報告義務が生じると考えられます。また、プロジェクトの機密情報が漏洩すれば、発注者との信頼関係に影響するため、速やかな報告が望ましいです。報告の要否、タイミング、内容については、状況に応じて判断が必要ですが、隠蔽は事態を悪化させるため、避けるべきです。法的な対応については、専門家に相談されることをお勧めします。
- Q: 中小建設会社でも対策は必要ですか?
- A: はい、規模に関係なく対策は必要です。中小建設会社であっても、図面データや入札情報など機密性の高い情報を扱っています。また、元請けの立場であれば協力会社の情報も預かっており、下請けの立場であれば元請けのシステムに接続していることがあります。いずれの場合も、自社の被害が他社に波及するリスクがあります。予算に制約がある場合は、バックアップのオフライン化、VPN機器のパッチ管理、従業員教育など、優先度の高い対策から着手することをお勧めします。詳細は中小企業向けランサムウェア対策も参照してください。
まとめ
建設業へのランサムウェア攻撃は、図面データの喪失、入札情報の漏洩、工事の遅延という深刻な事態を招きます。DX化が進む中、これらのリスクへの対応は避けて通れません。
対策の第一歩は、自社の情報資産を把握することです。どのような図面・BIMデータを保有しているか、どのように協力会社と情報を共有しているか、現場事務所のネットワークはどうなっているか——これらの基本的な確認から始めてください。
協力会社を含めたサプライチェーン全体でのセキュリティ対策が重要です。セキュリティ基準の提示、契約条項の整備、定期的な確認を通じて、協力会社との連携を強化してください。
ランサムウェアの基礎知識に立ち返りながら、予防対策を計画的に進めていくことが重要です。
関連リンク
- ランサムウェアとは?基礎から対策まで完全ガイド
- ランサムウェア予防対策完全ガイド
- サプライチェーン攻撃の動向と対策
- バックアップ戦略
- 製造業向けランサムウェア対策
- 不動産業向けランサムウェア対策
- 中小企業向けランサムウェア対策
免責事項
【ご注意・免責事項】
- 本記事は一般的な情報提供を目的としており、個別の状況に対する専門的助言ではありません
- 実際に被害に遭われた場合は、以下の公的機関にご相談ください
- 警察相談専用ダイヤル:#9110
- 消費生活センター:188
- IPA情報セキュリティ安心相談窓口:03-5978-7509
- 法的な対応が必要な場合は、弁護士などの専門家にご相談ください
- セキュリティ対策の導入は、専門家やベンダーと相談の上ご判断ください
- 記載内容は作成時点の情報であり、攻撃手口は日々進化している可能性があります
ランサムウェア総合対策ナビ
更新履歴
- 初稿公開
