サイバーセキュリティ上の脅威の増大
2025年2月に、情報通信分野を専門とする我が国唯一の公的研究機関である国立研究開発法人情報通信研究機構(NICT)は、2024年のサイバー攻撃関連通信の観測・分析結果を公開しました。
近年、建設業界に限らずサイバーセキュリティの脅威は増大しています。特に建設業界においては、デジタル技術の導入が進み、多くの情報やデータがオンラインで扱われるようになりました。
NICTERのダークネット観測網(約29万IPアドレス)において2024年に観測されたサイバー攻撃関連通信は、合計6,862億パケットに上り、1 IPアドレス当たり約242万パケットが1年間に届いた計算になります。
NICTが提供するサイバー攻撃関連通信数のグラフですが、2024年(約6,862億パケット)を2014年(約241.0億パケット)と比較するとその数は約28.5倍となっています。
お役立ち資料「建設業ERPのセキュリティ対策で確認したい4つのポイント」をダウンロードする
PROCES.Sにおけるセキュリティへの取り組みについてもご紹介しています
基幹システムやERPが直面するセキュリティリスク
基幹システムやERPは、企業内での情報を集約する役割を果たしていますが、そのために多くのセキュリティリスクにさらされています。特にサイバー攻撃の対象となるリスクは高まっており、これにより情報漏洩やシステムダウンの危険が増しています。最新の攻撃手法を把握し、常に適切なセキュリティ対策を見直す必要があります。脆弱性が存在する環境では、修正が遅れると一気に攻撃の危険が増すため、早期の対応が重要です。
オンプレミスシステムの弱点
オンプレミスシステムは、自社内にサーバを設置し運用するため、外部からの直接的な攻撃を受ける可能性が低く見えるかもしれまんが、内部の脆弱性や管理不足が問題となり、サイバー攻撃の侵入経路となるケースも多いです。また、ソフトウェアの更新やパッチ適用が遅れることで、古い脆弱性が放置されると、容易に悪用される可能性があります。さらに、運用管理者の不適切な設定や権限管理の不備もリスク要因となります。
外部と内部からの脅威
ERPシステムへの外部からのサイバー攻撃には、フィッシングやマルウェア感染など多様な手法があり、新たな攻撃手法が次々と登場しています。一方で、内部からのリスクも無視できません。社員による誤操作や意図的な情報漏洩は、企業にとって大きな損失をもたらすことがあります。そのため、コンプライアンスの徹底や内部監査の強化も、セキュリティ対策としての重要な施策です。
オンプレミスとクラウドのセキュリティ運用の違い
オンプレミス(オンプレ)とクラウドのセキュリティ運用にはいくつかの重要な違いがあります。どちらが安全かは、具体的な状況やニーズによりますが、一般的には以下のような違いがあります。
サービス提供者側が高度なセキュリティ対策を導入しているため、一般的にはクラウドの方が安全とされることが多いです。
しかし、クラウドのセキュリティはクラウドサービス提供者の信頼性に依存するため、どのようなセキュリティ対策に取り組んでいるのか確認することが必要です。
また、自社の運用に照らし合わせた場合、オンプレミスの方が適している場合もあるため、具体的なニーズやリスク評価に基づいて導入環境を選択することが一番重要になります。
クラウドERPの安全性を高める7つの対策ポイント
クラウド環境のセキュリティ対策は、企業のデータ保護において重要な役割を果たします。以下に、クラウドのセキュリティを強化するための主要な対策を紹介します。
データ暗号化
クラウド上のデータは、保存時(静止データ)と転送時(移動データ)の両方で暗号化されます。これにより、データが不正にアクセスされた場合でも、内容が解読されにくくなります。ウェブブラウザとウェブサーバー間の通信を暗号化するプロトコルである「HTTPS」を使用しています。
アクセス制御
クラウドサービスでは、ユーザーごとにアクセス権限を設定し、必要なデータや機能にのみアクセスできるようにします。これにより、不正アクセスや内部からの情報漏えいを防ぎます。
多要素認証(MFA)
多要素認証を導入することで、パスワードに加えて追加の認証手段(例:スマートフォンの認証アプリやSMSコード)を要求し、セキュリティを強化します。
定期的なセキュリティ更新とパッチ適用
クラウドプロバイダーは、最新のセキュリティ脅威に対応するために、定期的にセキュリティ更新やパッチを適用します。これにより、システムの脆弱性を最小限に抑えます。
監視とログ管理
クラウド環境では、システムの監視とログ管理が重要です。異常な活動や不正アクセスの兆候を早期に検出し、迅速に対応するための仕組みが整っています。
セキュリティガイドラインの遵守
クラウドサービス提供者は、国際的なセキュリティ基準やガイドラインを遵守し、セキュリティ対策の信頼性を高めています。
例えば、企業が情報セキュリティ管理体制を整備し、第三者認証を取得するための情報セキュリティマネジメントシステム(ISMS)の国際標準規格である「ISO/IEC 27001」や、日本政府が策定したクラウドサービスのセキュリティ評価プログラム「ISMAP」などの認証を取得しています。
これらの対策により、クラウド環境は高いセキュリティを維持しています。クラウドサービスを選ぶ際には、これらのポイントを確認することが重要です。
セキュリティ向上のための運用ポイント
基幹システムやERPのセキュリティを向上させるためには、導入するERPに機能の他に、運用面でのポイントがいくつか存在します。常に変化するサイバー攻撃の脅威に対抗するため、知識とスキルが求められる環境を作ることが重要です。これは、技術的な対策だけでなく、組織全体の意識向上にもつながります。ポリシーの徹底や定期的な見直しが効果的です。
定期的な社内トレーニングの実施
社内トレーニングは、従業員のセキュリティ意識を向上させるための重要な手段です。サイバー攻撃の手法が高度化する中、最新の情報や対策を共有することで、各社員が自らの知識を拡充できます。フィッシングメールやマルウェアの見分け方、セキュリティポリシーの遵守について、具体的な事例を交えて教育することが効果的です。
定期的にトレーニングを実施することで、社員は危機に対する認識を高め、未然にリスクを回避する能力が向上します。また、新たな脅威に対応できる柔軟性を持つことが求められ、社内のセキュリティ文化を育てることに寄与します。
内部統制におけるルール作りの重要性
内部統制のセキュリティを強化するためには、明確なルール作りが欠かせません。業務上の権限やアクセスルールを明文化し、社員が遵守すべきポリシーを設定することで、情報の漏洩や不正利用を防ぐことが可能です。具体的には、重要な情報へのアクセス権限を必要最低限に制限し、定期的な権限見直しを行うことが望まれます。
また、セキュリティ教育を実施することで、従業員の意識を向上させることも効果的です。誤操作や不正行為を未然に防ぐため、社内研修の定期的な実施が求められます。このような対策により、内部からの脅威を軽減することができるでしょう。
BCP対策としてデータのバックアップを取得する
BCP(事業継続計画)対策として、データのバックアップは非常に重要です。万が一のサイバー攻撃や自然災害に備えるため、定期的かつ自動的にバックアップを取得するシステムを構築すべきです。この実施により、情報の喪失リスクを大幅に軽減できます。
バックアップデータは、オフサイトやクラウドに保存することが推奨されます。これによって、万が一の事態に対する迅速な復旧が可能となり、業務の円滑な継続を支えることにつながります。強靭なビジネスを維持するための重要な施策として、バックアップの整備が欠かせません。
ITSではPROCES.SなどのERPシステムとあわせてご導入いただけるバックアップシステム「UC+バックアップ」を開発しています。ご興味あるかたは製品資料をご確認ください。
万が一の自事態に対対応するBCP対策UC+バックアップ
詳しい製品カタログを無料でダウンロードいただけます
安全な運用のためにセキュリティ対策を講じよう
基幹システムやERPの安全な運用には、的確なセキュリティ対策が欠かせません。具体的な対策の実施は、システムの安定性やデータの整合性を保つための基本となります。サイバー攻撃の脅威が増加しているため、これに対抗できる環境を整えることが重要です。セキュリティ対策を計画的に実施することで、リスクを軽減し、業務の継続性を確保することが可能となります。
基幹システムERPの全体最適化を目指して
基幹システムの全体最適化を図ることは、セキュリティ対策の一環としても重要です。システム全体を俯瞰し、必要なリソースを効率よく配分することで、脆弱な部分を特定しやすくなります。統合された管理体制を整えることが、セキュリティの強化につながります。
PROCES.Sのセキュリティ対策とは
建設業ERPシステムPROCES.S(プロセス)では、オンプレだけでなくクラウド環境への導入が可能です。セキュリティ対策として以下の取り組みを行っています。
通信の暗号化
SSL暗号化通信を用いて、重要な情報を悪意ある第三者による盗聴を防いだり、送信される重要な情報の改ざんを防いでいます。
データ更新記録を保持
システムに登録している情報を更新した際に、更新者の「ユーザーID」、「変更された対象データ」、「入力日時」の履歴を保持しています。思わぬデータ変更があった際に、追跡調査を行うことが可能です。
データのバックアップ管理
クラウドの場合、データは全てクラウド上に保管されます。必要に応じてバックアップサービスを併用することで万が一に備えることが可能です。
上記はPROCES.Sにおけるセキュリティ対策の一部です。
「ERP導入で押さえておくべきセキュリティ対策」と「PROCES.Sが実施しているセキュリティへの取り組み」についてお役立ち資料にまとめました。
セキュリティの取り組みについてより詳しい内容について知りたい方は是非資料をダウンロードしてご確認ください。
お役立ち資料「建設業ERPのセキュリティ対策で確認したい4つのポイント」をダウンロードする
PROCES.Sにおけるセキュリティへの取り組みについてもご紹介しています
