いよいよ夏本番、お盆休みの計画を立てている方も多いのではないでしょうか。
2025年のお盆休みは、8月13日から17日の5連休が一般的ですが、「山の日」(8月11日)を絡めて最大9連休(8月9日~17日)になる企業も多いと予想されます。
IPAが警告する「情報セキュリティ10大脅威 2025」
長期休暇は社員の皆さんがリフレッシュできる貴重な時間ですが、実はサイバーセキュリティの観点から見ると、企業にとっては「最も危険な時期」の一つです。
システム管理者が不在になり、セキュリティ対策が手薄になるこのタイミングを狙って、サイバー攻撃が急増するからです。
特に、建設現場や調査会社では、顧客情報や機密性の高いプロジェクトデータなど、重要な情報を多数扱っています。ひとたびサイバー攻撃の被害に遭えば、事業継続に大きな影響が出てしまう可能性も否定できません。
今回は、最新のデータや事例を交えながら、2025年のお盆休みに向けて建設・調査会社が備えるべき情報セキュリティ対策について、わかりやすく解説します。
なぜお盆休みはリスクが高いのか?
情報処理推進機構(IPA)が発表した「情報セキュリティ10大脅威 2025」では、以下の脅威が上位にランクインしています。
□ランサムウェア攻撃:
データを暗号化して身代金を要求する手口。中小企業の被害が前年比で約4割も増加しています。
□サプライチェーン攻撃:
取引先や委託先など、信頼している企業を経由して攻撃を仕掛ける手口。
□地政学的リスクに起因するサイバー攻撃:
国家間の緊張を背景とした、DDoS攻撃などが新たにランクインしました。
これらの脅威に加え、警察庁のデータによると、サイバー犯罪の検挙件数は10年連続で増加しており、特に長期休暇前後はサイバー攻撃が2倍以上になるとも言われています。
休暇中は、システム管理者やIT担当者が不在になるため、インシデントへの初動対応が遅れがちです。また、リモートワークやBYOD(個人所有デバイスの業務利用)が増えることで、社員のセキュリティ意識の低下もリスクを高める要因となります。
建設・調査会社が今すぐできる具体的な対策
お盆休みを安心して迎えるために、今から以下の対策を始めておきましょう。
□休暇前の準備
システムの再点検とパッチ適用:
実は、マイクロソフトのパッチチューズデー(毎月第2火曜日)が8月12日なのです。
公開されたセキュリティアップデートを必ず適用し、システムの脆弱性を解消しましょう。
バックアップの確認:
もしランサムウェアの被害に遭った場合に備え、データのバックアップをオフラインで取得し、きちんと復元できるかテストしておきましょう。
緊急連絡網の整備:
暇中の担当者と連絡先を明確にし、委託先企業も含めた緊急連絡体制を整えておきましょう。
□休暇中の体制
監視体制の維持:
暇中も、最低限のシステム監視体制を維持しましょう。異常なアクセスがないか、ログを定期的に確認することが大切です。
リモートアクセスのルール徹底:
モートワークでVPN(仮想プライベートネットワーク)を利用する場合、認証を厳格化するなどセキュリティを強化しましょう。
□休暇明けの対応
ログの確認:
暇明けには、システムのログに不正アクセスの痕跡がないか徹底的に調査しましょう。
最新パッチの適用:
暇中に公開されたセキュリティパッチがあれば、速やかに適用しましょう。
社員への注意喚起:
暇中に届いた不審なメールや、サポート詐欺の被害に遭っていないか確認し、注意を促しましょう。
これらの対策に加えて、全社員でセキュリティ意識を高めることが何よりも重要です。さらに、
IPAの「セキュリティのすゝめ」などを活用し、ご家庭でのセキュリティ対策についても話し合ってみるのも良いでしょう。
IPA「セキュリティのすゝめ」
https://www.ipa.go.jp/about/ipanews/ipanews202501.html#security
https://www.ipa.go.jp/about/ipanews/ipanews202501.html#security_weblimited
最新技術と事例から学ぶ教訓
2025年は、AIを活用した高度な攻撃が増加すると予測されています。
また、2025年5月に運用が始まった「セキュリティ・クリアランス制度※」により、機密情報の取り扱いがさらに厳格化されています。
セキュリティ・クリアランス制度とは
国が保有する安全保障上重要な情報(重要経済安保情報)にアクセスする必要がある民間企業の従業員などの信頼性を、国が調査・確認する制度です。
この制度は、情報漏洩による国家の安全保障上のリスクを防ぐことを目的としています。
具体的には、以下の2つの柱で構成されています。
1. 適性評価(人的クリアランス):
情報にアクセスする必要がある個人が、情報漏洩のおそれがないか、国によって調査・確認されます。
2. 適合事業者の認定(施設クリアランス):
民間企業が、情報を取り扱うために必要な体制や設備を備えているか、国によって審査・認定されます。
この制度により、信頼性が確認された事業者や従業員のみが、重要経済安保情報にアクセスできるようになります。
2024年のKADOKAWAグループへのランサムウェア攻撃は、ニコニコ動画や出版業務に大きな影響を及ぼし、約36億円の特別損失が発生した事例は記憶に新しいでしょう。
この事例から、「事前のバックアップ」と「迅速な初動対応」がいかに重要であるかを再認識させられます。
おわりに
お盆休みは、建設現場の作業も小休止して、ホッと一息つける貴重な時間です。しかし、その間もサイバー攻撃のリスクは高まり続けています。
今回の記事を参考に、お盆休みを狙ったサイバー攻撃に備え、万全のセキュリティ対策を講じてください。事前の準備をしっかり行うことで、安心して長期休暇を迎え、そして、休暇明けもスムーズに業務を行える環境を休暇前に確認しておきましょう。
ご安全に。皆様、よい休暇を。
【引用推敲サイト】
https://www.ipa.go.jp/security/anshin/heads-up/alert20250801.html
https://www.trendmicro.com/ja_jp/jp-security/23/d/securitytrend-20230420-01.html
□独立行政法人情報処理推進機構
https://www.ipa.go.jp/
●お問い合わせ先
企業組織からのご相談
企業組織向けサイバーセキュリティ相談窓口
E-mail :cs-support@ipa.go.jp
URL:https://www.ipa.go.jp/security/support/soudan.html
個人からのご相談
情報セキュリティ安心相談窓口
E-mail :anshin@ipa.go.jp
URL:https://www.ipa.go.jp/security/anshin/about.html
被害情報の届出先
コンピュータウイルス・不正アクセスに関する届出窓口
URL:https://www.ipa.go.jp/security/todokede/crack-virus/about.html
□トレンドマイクロ株式会社
https://www.trendmicro.com/ja_jp/business.html
