長期休暇における情報セキュリティ対策とは?

更新日 : 2022年07月06日

vacation.png

長期休暇に多発するウィルス感染や情報漏洩にご注意ください。

年末年始やゴールデンウイークなどの長期休暇の時期は、毎年セキュリティ事故が多発します。

ウェブサイトや標的型攻撃メールによるウイルス感染、ID、パスワードの不正利用、従業員が休暇中に自宅で仕事をするために、USBなどで組織外に持ち出した機密情報の盗難、紛失、誤操作、最近では、SNSへの書き込みから個人情報が漏洩し思わぬ被害が発生するなど、情報システム管理者が不在になることが多いこの時期は、トラブル発生時の対処の遅れから、被害が拡大してしまう可能性があります。このような事故を未然に防ぐために、以下を参考に適切な対策を実施してください。



長期休暇の前にやっておくべきこと

システム管理者向け

1. インシデント発生時の緊急連絡網が整備・周知されていることを確認する
2. 休暇中に必要最低限の機器が稼働していることを確認する
休暇中に稼働の必要がない機器は、電源を落とすなどの適切な対応をしてください
3. 重要なデータのバックアップを行う
4. サーバのOSやソフトウエアなどに最新の修正プログラムが適用されていることを確認する。Webサーバ上で動作するWebアプリケーションの更新もあわせて行う
5. 社員、職員が業務で使用しているPCやスマートフォンのOSやソフトウエア、その他のネットワークにつながる機器に修正プログラムの適用漏れがないかを確認し、社員、職員向けに同様の確認を行うように周知する



社員、職員向け

1. インシデント発生時の連絡先を確認する
2. 業務で使用しているPCやスマートフォンのOSやソフトウエアなどに、最新の修正プログラムが適用されていることを確認する
 - Adobe Acrobat/Reader
 - Microsoft Office
 - Microsoft Windows
 - Oracle Java
 ※これら以外のOSやソフトウエアも必要に応じて修正プログラムを適用する
3. パスワードに、容易に推測できる文字列 (名前、生年月日、電話番号、アカウントと同一のものなど) や単純な文字列 (12345, abcde, qwerty, passwordなど) を設定していないかを確認し、設定している場合は、適切に変更する
4. 業務遂行の為、PCやデータを持ち出す際には、自組織のポリシーに従い、取り扱いや情報漏えいに細心の注意を払う





長期休暇の後にやるべきこと

休暇明けは、以下の対応を行ってください。

システム管理者向け

1. 導入している機器やソフトウエアについて、休暇中に修正プログラムが公開されていた場合は、修正プログラムを適用するとともにその情報を社員、職員に向けて周知する
2. 社員、職員に対して、休暇中に持ち出していたPCなどを確認するとともに、それらを組織内のネットワークに接続する前に、ウイルスチェックを行うよう周知する(必要に応じて確認用のネットワークを別途用意する)
3. 休暇期間中のサーバへの不審なアクセスやサーバの不審な挙動がないかを確認する
(サーバへのログイン認証エラーの多発、深夜など利用者がいない時間帯のログイン、サーバやアプリケーションなどの脆弱性を狙った痕跡など)
4. Webサーバで公開しているコンテンツが改ざんされていないかを確認する
(不正なファイルが設置されていないか、コンテンツが別のものに書き変わっていないか、マルウエア設置サイトに誘導する不審なコードが埋め込まれていないかなど)


社員、職員向け

1. 出社後すぐに、ウイルス対策ソフトの定義ファイルを最新の状態に更新する
2. 休暇中に持ち出していたPCやUSBメモリなどは、使用前にウイルスチェックを行う
3. 休暇中に修正プログラムが公開されていた場合は、システム管理者の指示に従い、修正プログラムを適用する
4. 休暇中に受信したメールの中には攻撃者からの不審なメールが含まれている可能性があるため、本文の内容および添付ファイルを十分に確認し、安易に添付ファイルを開いたり、メールに記載されているリンク先にアクセスしたりしないように注意する

詳細はIPA(情報処理推進機構)「長期休暇における情報セキュリティ対策」をご覧ください。(https://www.ipa.go.jp/security/measures/vacation.html




セキュリティの運用はJBサービス OPTi Secureにお任せください。

JBサービスの統合運用サービス「OPTi Secure」は、高度なセキュリティ技術を有する専門部門SOC(Security Operation Center)による24時間365日の運用・監視体制と全国のサービス拠点が連携し、お客様ごとのセキュリティ要件や運用環境に応じた最適な商品やサービスを一元化してご提供します。

情報セキュリティ対策に関するご質問・ご相談はお気軽にお問い合わせください。


contact1.png

関連サービス
セキュリティ教育サービスSecuLiteracy(セキュリテラシー)

セキュリティ教育サービスSecuLiteracy(セキュリテラシー)

見逃しがちなセキュリティ対策といえば従業員に対するセキュリティ教育です。SecuLiteracy(セキュリテラシー)とは、様々なサイバー攻撃のテクニック・ツール・ノウハウ等に精通した認定ホワイトハッカーがご支援するセキュリティ教育サービスです。企業・組織のセキュリティレベルの向上・可視化を実現したい企業・組織の方々にお勧めしたいサービスです。

詳しく »