チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。
ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
「作業所に置いたNASが外部から見えてるなんて、考えたこともなかった…」
「建設現場のデータ管理って、セキュリティ大丈夫なの?」
チップスボス!佐藤工業って建設会社が、作業所のNASに不正アクセスされて個人情報が漏れたかもしれないって公表したでしゅ!1,850件もでしゅよ!
ボス建設現場のNASは、利便性を優先して外部アクセスを開けたまま放置されているケースが多い。今回はまさにその典型だな。発覚から公表まで約5か月かかっている点も気になるところだ。
佐藤工業は2026年3月26日、建設作業所に設置したNASへの不正アクセスにより、従業員等の個人情報が閲覧された恐れがあると公表しました。
建設業に限らず、拠点に設置するNASの管理は多くの企業に共通する課題です。
この事例から学ぶべきポイントを解説します。
NASを運用している方は、自社の設定を見直すきっかけにしてください。
佐藤工業は建設大手で、今回の被害は全社システムではなく、個別の作業所に設置されたNAS1台で発生しました。
閲覧された恐れのある個人情報は以下の2種類です。
| 情報の種別 | 含まれるデータ | 件数 |
|---|---|---|
| 本人情報 | 氏名・性別・職種・生年月日・電話番号・住所など | 約1,850件 |
| 緊急連絡先 | 氏名・住所・電話番号・本人との関係 | 約1,750件 |
不正アクセスの確認は2025年11月5日でしたが、公表は2026年3月26日と約5か月のタイムラグがあります。
外部専門家と連携して調査を進めた結果、具体的な漏洩の事実は特定できなかったものの、閲覧された可能性を否定できないと判断されました。
個人情報保護委員会への報告と、対象者への個別通知は実施済みです。
チップス作業所のNAS1台だけで3,600件近い個人情報が入ってたんでしゅか…。現場って意外とデータ多いんでしゅね
ボス建設現場では作業員の安全管理のために様々な個人情報を扱う。問題は、その管理がIT部門の目が届かない場所で行われていることだ。シャドーITの典型だな。
NASの不正アクセスは建設業に限った話ではありません。
リモートワークの普及で「社外からNASにアクセスしたい」という需要が増え、設定を甘くしたまま運用しているケースは少なくないでしょう。
自社のNASが安全に運用されているか、以下のチェックリストで確認してください。
NASは手軽にファイル共有できる反面、セキュリティ設定が不十分なまま使われがちです。
特に拠点や現場に設置された機器は、本社のIT管理から外れやすい点に注意が必要です。
ボス「現場のNASなんて大したデータは入っていない」と思い込んでいないか?個人情報保護法の改正以降、1件でも漏洩すれば報告義務が発生する。管理の死角を放置するな。
チップスうちの会社にもあちこちNASあった気がするでしゅ…。IT部門に報告して棚卸ししてもらうでしゅ!
佐藤工業の事例は、現場に設置された機器のセキュリティ管理という、多くの企業が抱える課題を示しています。
NASの外部公開設定の見直しと、拠点のIT資産棚卸しを今すぐ実施しましょう。
「うちは大丈夫」という思い込みが、次の被害を招きます。
