年末年始などの長期休暇中は、オフィスを長い間不在にするという普段とは違う状況になりがちです。IPA(独立行政法人情報処理推進機構)では、年末年始における情報セキュリティ対策を呼びかけています。今回は、年末年始など長期休暇の間にとっておきたい情報セキュリティ対策について解説します。
参照:IPA 独立行政法人 情報処理推進機構「夏休みにおける情報セキュリティに関する注意喚起」
目次
( 1 ) 年末年始の長期休暇時に対策が必要な理由
年末が近づいてくると、仕事だけでなく忘年会や仕事納めなどのイベントも多くなり、慌ただしい時期に入ります。有給休暇などを使って年末年始をゆっくり過ごすという人も多いのではないでしょうか。
年末年始の長期休暇期間など、いつもと違う状況は企業を狙う攻撃者にとって絶好の機会です。システムを管理する担当者が不在になることで、マルウェア感染や不正アクセスに気づきにくく、対処が遅れる可能性も高くなります。
IPA(情報処理推進機構)では、「年末年始における情報セキュリティに関する注意喚起」を発表し、組織のシステム管理者、組織の利用者、家庭の利用者、それぞれに対して、長期休暇の前後にとるべき対応を公開しています。
参照:IPA 情報処理推進機構「年末年始における情報セキュリティに関する注意喚起」- 年末年始の挨拶を装ったメール
- 自宅に業務を持ち帰りウイルス感染
- 情報システム担当者と連絡が取れず被害が拡大
- セキュリティ更新ができず、始業時に感染
これらは「いつもとは違う」状況で起こり得るインシデントです。逆に言えば、いつもとは違う状況だからこそ、セキュリティ対策をしっかりとしておく必要があるのです。
( 2 ) 年末年始などの長期休暇前にしておくべき対策
長期休暇中は会社内に人がいなくなる隙をついて、セキュリティインシデント(※1)が発生するリスクが高まります。また、発生した際にも対応が遅れてしまったり、取引先に被害が広がったりする可能性があります。長期休暇前にできる対策としては、どのようなものがあるのでしょうか。
管理者は緊急連絡体制づくりを
管理者(システム担当者)は緊急時に連絡がスムーズにできる体制づくりをしておきましょう。
- 連絡フローや対応手順の策定
- 長期休暇中の社内ネットワーク接続のルール化
- 重要なデータのバックアップ
万が一の事態が起きた際、すぐに対応ができるようあらかじめ準備を整え、従業員にも周知します。また、休暇中に使わないサーバなどの機器は主電源を切っておきましょう。
従業員はルールに従って行動を
休暇中、会社のデータやパソコンを持ち出す場合は、決められた運用ルールを遵守しましょう。
- データやパソコンを持ち出す際の運用ルールの確認
- 社内ネットワーク接続は決められた手順に従う
- ウイルス感染などの事故が発生した際の緊急連絡先の確認
社外にデータやパソコンを持ち出す際には紛失やウイルス感染による情報漏洩が起きないよう注意が必要です。
こうした対策を長期休暇前に講じることで、トラブルを未然に防いだり、万が一トラブルが発生したとしても対処の遅れによる被害拡大を防止したりすることができます。
※1 インシデント:事故・事件など好ましくない状況を指す言葉。情報セキュリティ分野では、コンピュータやネットワークを脅かす状況を言う。
( 3 ) 年末年始の長期休暇明けにはまず安全確認
長期休暇後オフィスに出社した際には、電子メールの送受信やWebサイトの閲覧などを行う前に、確認しておくポイントがあります。
管理者は修正プログラムの更新や各種ログを確認
- 修正プログラムの適用
- パターンファイル(※2)の更新
- 各種アクセスログの確認
休暇中にOSやソフトウェアの修正プログラムが公開されていることがあります。忘れずに確認し、速やかに適用しましょう。また、不審なアクセスがなかったかをチェックしておくことも重要です。
従業員は不審なメールに注意
従業員は管理者の指示のもとで、以下の対応を行います。
- 修正プログラムの適用
- パターンファイルの更新
- ウイルスチェック
また休暇明けにはメールがたまっていると予想されます。特に年末年始は挨拶を装った不審なメールが増加するため、添付ファイルを開いたり、本文中のURLにアクセスしたりせず、疑わしいものは管理者に報告して指示に従いましょう。
※2 パターンファイル:ウイルスを検知するためにウイルス固有のデータパターンを記録したファイル。定義ファイルとも言う。
( 4 ) 普段からできる情報セキュリティ対策
情報セキュリティ対策には普段からしっかり取り組んでおくことが重要です。先にも述べた修正プログラムの適用やパターンファイルの最新化とあわせて、管理者は以下のようなことを日常的にやっておきましょう。
- 定期的なバックアップを行う
- 適切なパスワードを設定、管理する
- 機器やデータの持ち出しルールを決める
- 社内ネットワークへの接続ルールを決める
また、従業員としては以下のようなことに気をつける必要があります。
- 不審なメールに注意する
- 機器やデータの持ち出しルールを守る
- 社内ネットワークへの接続ルールを守る
- ソフトウェアのインストールに気をつける
昨今はテレワークなどオフィスの外で働く機会も増えました。それに伴い、さまざまなサイバー攻撃を受けるリスクも増えているため、明確なルールづくりと従業員への周知が大切です。
( 5 ) まずは自社の情報セキュリティ状況を診断
近年、サイバー攻撃は増加の一途をたどっています。2022年4月には、経済産業省・総務省・警察庁・内閣サイバーセキュリティセンター(NISC)の連名で注意喚起が行われましたが、残念ながらその後も被害は後を絶ちません。ランサムウェア(※3)、Emotet(※4)など、攻撃も巧妙化・多様化しているため、関係府省庁では引き続き注意を呼びかけています。
そうした最新の情報セキュリティリスクに備えるためにも、まずは自社の対策が十分かどうか知ることから始めましょう。サクサでは、Web上で手軽にできる「情報セキュリティ現状診断」を提供しています。20の問いに「はい」か「いいえ」で答えるだけで、自社のセキュリティ状況が把握できます。
- 自社の情報セキュリティ対策の取り組み状況
- 今後、対策を立てるべき問題点
これらを理解したうえで自社に合った情報セキュリティ対策を実現していきましょう。
※3 ランサムウェア:感染したパソコンをロックしたりファイルを暗号化したりして、解除するためのランサム(身代金)を要求する。
※4 Emotet:マルウェアの一種。メールに添付されたOfficeファイルのマクロ機能を利用し、端末へ感染や侵入をすることでメール情報を盗み取る。
( 6 ) まとめ
今回は、年末年始の長期休暇で必要な情報セキュリティ対策について解説してきました。長期休暇は情報セキュリティリスクの高まる期間です。テレワークのように働き方が多様化していることも踏まえて、適切な対策が必要です。まずは、サクサの「情報セキュリティ現状診断」をぜひご活用ください。サクサではこのほかにもさまざまな製品やサービスで中堅・中小企業の課題解決をサポートさせていただきます。ぜひ気軽にお問い合わせください。
経営課題におけるトレンド情報や課題解決にお役立ていただける資料をまとめております。
ぜひ一度お読みください。
