新しい働き方に対応した長期休暇前後の情報セキュリティ対策とは

新しい働き方に対応した長期休暇前後の情報セキュリティ対策とは

新たな感染症の発生・感染拡大により、私たちの生活様式や働き方には大きな変化が起きました。

長期休暇期間中はセキュリティインシデントが発生した際の対処が遅れてしまいがちです。また最近では、事業継続計画の一つとしてオフィスにとらわれない働き方(リモートワーク・テレワーク)を導入するなど、働き方に変化があった組織も多くいらっしゃるかと思います。

長期休暇に入る前には、情報セキュリティ対策に漏れがないかどうかを本コラムでチェックを行ってみてはいかがでしょうか。

目次

  1. 長期休暇前にやるべきこと
    • システム管理者がやっておくべきこと
    • 一般ユーザーがやっておくべきこと
  2. 長期休暇の後にやるべきこと
    • システム管理者がやっておくべきこと
    • 一般ユーザーがやっておくべきこと
  3. 一般ユーザーが実施したかどうかの確認方法
  4. セキュリティポリシーを満たしていない端末からのアクセスを拒否するには
  5. 一般ユーザーが怪しいメールを開かなくなる教育方法とは
  6. まとめ

長期休暇前にやるべきこと

システム管理者と一般ユーザーの観点から、休暇前に実施すべきセキュリティ対策をご紹介します。

システム管理者がやっておくべきこと

  • インシデント発生時の緊急連絡網が整備・周知されていることを確認
  • 休暇中に稼動する機器・インスタンスが必要最小限であることを確認
  • 重要なデータのバックアップ
  • OSやソフトウエアなどに最新の修正プログラムが適用されていることを確認
  • OSを最新のものにバージョンアップする
  • 利用中のウイルス対策ソフトウェアのパターンファイルが最新になっていることを確認
  • IT資産のログ取得状況を確認
  • 休暇中のシステム管理者や社員・職員によるサーバ等の利用予定を確認
  • 社員・職員に対し、利用している機器のOSやソフトウェアに最新の修正プログラムが適用されているか周知

一般ユーザー向け

  • インシデント発生時の連絡先を確認する
  • 利用しているPCやスマートフォン等のOSやソフトウェアに最新の修正プログラムを適用しているか確認
  • 利用しているPCやスマートフォン等のOS・アプリケーションを最新のものにバージョンアップする
  • ウイルス対策ソフトのパターンファイルを最新にする
  • ウイルス対策ソフトでウイルススキャンを実施する
  • 休暇中にPCやデータを持ち出す際には、組織のルールに従い取り扱いや情報漏えいに細心の注意を払う
  • 休暇中に届いた不審なメールは開かない・クリックしない

▲目次に戻る

長期休暇の後にやるべきこと

休暇明けに実施すべきセキュリティ対策に関しても、システム管理者と一般ユーザーの観点でご紹介します。

システム管理者向け

  • 長期休暇直前に発見された脆弱性をチェックする
  • ウイルス対策ソフトのパターンファイルを最新にする
  • OSやソフトウェアを最新のものにバージョンアップする
  • アプリケーションに修正プログラムを適用する
  • 社員・職員に対し、利用している機器のOSやソフトウェアに最新の修正プログラムを適用したか周知
  • Webサーバで公開しているコンテンツが改ざんされていないかを確認
  • 一般ユーザーに貸し出していた機器がマルウェア感染していないかの確認
  • 長期間停止していたシステムの動作確認する
  • アクセスログを確認し、不審な利用・アクセスがなかったか確認する
  • 社内ネットワークに接続した端末から不審な通信が行われていないか監視を一定期間強化する

一般ユーザー向け

  • ウイルス対策ソフトのパターンファイルを最新にする
  • ウイルス対策ソフトでウイルススキャンを実施する
  • 利用しているPCやスマートフォン等のOS・アプリケーションを最新のものにバージョンアップする
  • 休暇中に修正プログラムが公開されていた場合は、システム管理者の指示に従い修正プログラムを適用する
  • 休暇中に届いた不審なメールは開かない、クリックしない

▲目次に戻る

一般ユーザーが実施したかどうかの確認方法

長期休暇前後のセキュリティ対策を一般ユーザーに周知する際に、一人ひとりが実施したか不安になる方も多いのではないでしょうか。実施したかどうかをアンケートで調査するとなると、アンケートの作成はもちろん集計するにも手間や時間がかかります。

Microsoft 365を導入済みの組織であれば、Microsoft Formsでチェックリストを作成することをお勧めします。Microsoft Forms ではクイズやアンケートを簡単に確認でき、誰が終わっていないかも一目でわかります。

▲目次に戻る

セキュリティポリシーを満たしていない端末からのアクセスを拒否するには

長期休暇中に一般ユーザーが業務上で利用している端末を社外に持ち出す場合、システム管理者として下記のような心配はありませんか?

  1. 機器の紛失・盗難にあった際の情報漏洩
  2. 業務に関係ないアプリケーションを社員がパソコンにインストール
  3. セキュリティ要件に準拠するようバージョンアップをしているか

Microsoft Intuneでは、これら3つを解決します。Microsoft Intuneでできることやメリットに関しては、「Microsoft Intuneとは?Intuneでできることや4つのメリットについて 」コラムで紹介していますので併せてご確認ください。

  • 1.情報漏洩対策

    ポイント

    端末が紛失・盗難にあった際、端末のデータを削除できます。

    • 会社のデータのみを削除するリタイヤ
    • 工場出荷時の設定へリセットするワイプ
  • 2.業務に関係ないアプリを制御

    ポイント

    業務に関係ないアプリケーションのインストール・利用を防ぐようコントロール可能です。

    不正なアプリケーションによるセキュリティインシデント発生も防ぎます。

  • 3.セキュリティポリシーの維持

    ポイント

    パスワードポリシーを満たしていない場合や、社内で規定しているOSバージョンに上げていない場合など、ポリシーを満たしていない端末からのアクセスを拒否できます。

▲目次に戻る

一般ユーザーが怪しいメールを開かなくなる教育方法とは

組織が被害に遭っているセキュリティ脅威の多くは、メールが関係しています。

昨今では、取引先や経営者を名乗りビジネスメールを装って金銭を要求したり、添付ファイルを開かせマルウェアに感染させたりなど巧妙な手口が増えてきています。

このような攻撃から機密情報を守るためには、「定着性の高いセキュリティ教育」の実施が大切です。従業員一人ひとりのセキュリティ意識を向上させ、怪しいメールやサイトに対して対処できるようなセキュリティ教育を実施しましょう。

認定ホワイトハッカーが支援するセキュリティ教育サービスのご紹介

まとめ

今回は、新しい働き方に対応した長期休暇前後の情報セキュリティ対策をご紹介しました。

セキュリティ対策が不十分な状態でテレワークを利用し続けてしまうと情報漏洩などのリスクが高まります。

ユーザーの生産性・利便性を損なうことなく新しい働き方へシフトできるようにも、情報セキュリティ対策を漏れなく実施しましょう。

関連記事

セキュリティ教育サービスSecuLiteracy(セキュリテラシー)
セキュリティ教育サービスSecuLiteracy(セキュリテラシー)

セキュリティ教育サービスSecuLiteracy(セキュリテラシー)

見逃しがちなセキュリティ対策といえば従業員に対するセキュリティ教育です。SecuLiteracy(セキュリテラシー)とは、様々なサイバー攻撃のテクニック・ツール・ノウハウ等に精通した認定ホワイトハッカーがご支援するセキュリティ教育サービスです。企業・組織のセキュリティレベルの向上・可視化を実現したい企業・組織の方々にお勧めしたいサービスです。

セキュリティ教育サービスSecuLiteracy(セキュリテラシー)へ