コラム

 公開日: 2017-08-11 

長期休暇のセキュリティ対応 − IT機器も休暇入りさせましょう

今年もお盆休みの時期が来ました。全社で夏期休暇が設定されている会社もあるでしょう。こうした長期休暇は、年末年始やゴールデンウィーク等、年に数回発生します。
この長期休暇を情報セキュリティの面から見ると、長期休暇期間は社内のIT環境を利用する社員がほとんどおらず、IT環境を運用、監視する情報システム部門の担当者も出社しないため、社内のIT機器は言わば「開店休業」の状態になりがちです。そのため、不正アクセスや情報漏えいがあっても誰も気付かずに放置されてしまい、休暇明けまでに被害が拡大してしまうというリスクがあります。社内ITの運用・監視を外部委託している会社もありますが、外部委託先が不審な事象を発見しても、委託元会社の担当者に連絡が取れないと原則限られた対応しか取れません。結果として、休暇明けに被害調査や復旧作業を行うことになるため、実業務に多大な影響が発生します。
また、休暇中の社員は会社のPC等を使用することがなくても、プライベートで保有するPCやスマートフォンは使用するでしょう。旅行やイベントなどに出かけると、気の緩みからプライベートのIT機器に由来する思わぬ事故が発生し、会社や自宅に被害を与えかねない事象になるかもしれません。
毎年のことなのでお分かりの方も多いと思いますが、長期休暇に情報セキュリティの観点から実施すべき対処内容を纏めましたので、参考にしてください。

情報システム部門の管理者や担当者向け

長期休暇の時期はIT担当者も休暇を取得します。特に全社で一斉休暇となる場合は、社内のIT環境や情報システムを運用する担当者は出社しません。また、IT運用を外部に委託する場合でも、トラブルが発生した場合の対処については委託元会社の判断を仰ぐ必要があります。よって、社内のIT環境や情報システムについては極力使用すべきではありません。社員が休暇を取得するのであれば、IT機器も休ませるくらいの気持ちがあるべきです。

(休暇前の対応)
・長期休暇中でも稼働させる必要のあるIT機器や情報システムを選定する。
対外的に情報発信するWebサーバーや、社外からの受信もあり得るメールサーバー等は稼働させるべきだと思いますが、社員のみが使用するサーバー等のIT機器や情報システムは極力使用しないようにすべきです。また、社内のIT環境が使用できない状況をつくりだすことで、社員が休暇中に働くことの難しい環境にするという考え方もできます。

・使用しないサーバー等、IT機器の電源をOFFにする
長期休暇中は稼働状況を確認できないため、異常や不適切行為があっても放置せざるを得ません。よって、前項で稼働させると決定した以外の機器は完全にシャットダウンし、電源をOFFにすべきです。こうすることで、担当者不在時に不正アクセス等が行われるリスクを減らすことができます。

・緊急連絡体制を確認する
不正アクセス等の不測の事態が発生した場合に備え、社内IT環境を運用する外部委託先を含む緊急連絡体制や対応手順等が明確になっているか、連絡先や連絡手段が有効かを確認してください。
※緊急連絡先は滅多に使用されないため、変更されても気づかないことが多いです。定期メンテナンスをかねて確認するようにしてください。

(休暇明けの対応)
・修正プログラムを適用し、パターンファイルを更新する
日本の慣習上は長期休暇であっても、グローバルの悪質なハッカーにとっては関係ありません。むしろ、この期間に様々な攻撃を行う好機と捉えている場合もあります。また、長期休暇期間でもOSやソフトウェアなどの様々な脆弱性が発見され、対応活動が継続して行われています。休暇明けに電源を入れ、IT機器を再起動したらまずOSや各種ソフトウェアの修正プログラムを適用し、セキュリティソフトのパターンファイル更新を行うべきです。
サーバー機に対する作業は業務開始前にある程度時間をとって実施するよう、スケジュールすることをお勧めします。
また、クライアントPCについても同様の措置が必要ですが、アクセスが集中することを避けるための対策を検討し、社内にアナウンスすることも必要です。

・稼働状況と各種ログを確認する
長期休暇中に稼働していたサーバー等のIT機器に対して不正アクセス等のサイバー攻撃が行われていないかどうかを検証するため、稼働状況やログを確認してください。もし不審な動作やログが確認された場合は迅速に詳細な調査等を行ってください。

IT環境や情報システムの利用者向け

全社で一斉休暇が設定される会社であれば、原則社内ネットワークにアクセスしないと割り切って休暇に入るべきです。もしトラブルが起きても、社内に対応してくれる担当者がいない可能性があります。中には、もしものために、と考えてPC等を持ち帰る人もいますが、旅行等で家を空ける場合は、一緒に持ち歩くことも、家に置いていくこともリスクがあります。無用なトラブルを避けるためには、PC等は原則持ち帰るべきではありません。

(休暇前の対応)
・機器やデータの持ち出しルールを確認し、遵守する
長期休暇中のPC等機器や社内データの持ち出しは原則禁止すべきです。社内サーバー等のIT機器を電源OFFにして使えない状況にすることで、作業できない環境をつくりだすことも有効です。
しかし、取引先が休暇期間でない、等の理由から、休暇期間中にPCやデータを社外に持ち出さざるを得ないケースもあります。その場合は、社内申請やデータ管理等の持ち出しルールを事前に確認し、遵守してください。

・社内ネットワークへのPC等機器の接続ルールを確認し、遵守する
自宅に持ち帰ったPCや、プライベートのPCが自宅環境でウィルス感染する可能性も否定できません。ウィルス感染したPC等を社内ネットワークに接続すると、ウィルスを社内に拡散させる可能性があります。(実際に報告されている事例です)
長期休暇中に社内ネットワークへPC等機器を接続する予定がある場合、社外からの機器接続ルールを事前に確認し、遵守してください。

・メールボックスを整理する
メールボックスの容量の制約は以前ほど厳しいものではないと思いますが、それでも容量ギリギリまでメールを溜め込む方もいます。休暇中はメールが蓄積される一方なので、容量オーバーして重要なメールが受信できないという事態にならない様、不要なメールやゴミ箱のメールは休暇前に削除してメールボックスを整理すべきです。また、重要性の低い外部メーリングリストの一時停止や、メールの不在通知設定、等についても検討ください。

・使用しないPC等機器の電源をOFFにする
日常、PC等をシャットダウンせず、スリープ状態で退社する方もいます。しかし、長期休暇中に同じ状況だと、外部から不正アクセスされてPCが乗っ取られても、誰にも分らないまま遠隔操作され、社内の重要情報が漏えいしたり、サイバー攻撃の踏み台にされたりする可能性があります。長期休暇の前には、PCをシャットダウンし、電源をOFFにすべきです。

(休暇中の対応)
・社外に持ち出したPC等機器やデータを厳重に管理する
当然ですが、自宅等に持ち出したPC等機器やデータは、ウィルス感染や紛失、盗難等による情報漏えい等の被害が発生しないよう、厳重に管理すべきです。

(休暇明けの対応)
・修正プログラムを適用し、パターンファイルを更新する
休暇明け後に出社してPCの電源を入れたら、まずはOSや各種ソフトウェアの修正プログラム適用と、セキュリティソフトのパターンファイル更新を行ってください。
ただし、社内のネットワーク環境によっては、アクセスが集中してネットワーク速度低下等の弊害が発生する可能性があるので、情報システム部や運用委託会社のアナウンスを確認の上、対応ください。

・不審なメールを受信していないか確認する
長期休暇明けはメールボックスに数多く蓄積されたメールを確認しなければなりません。場合によっては、メール確認だけでその日が終わってしまうこともあります。だからと言って不用意に送信元や内容を確認しないまま添付ファイルを展開したりするとウィルス感染する可能性があります。攻撃者はこうした状況を想定して、不正なメールを送信する可能性もあります。面倒かもしれませんが、メールの送信元や内容をきちんと確認した上で、添付ファイルに対応することが必要です。
上述したように、メーリングリストの一時停止やメールの不在通知設定は、未読メールの蓄積数を抑える効果もあります。

・社外に持ち出したPC等のウィルスチェックを実施する
長期休暇中に持ち出していたPCや、データを保存しているUSBメモリ等の外部記憶媒体にウィルスが感染していないか、社内で使用する前にセキュリティソフトでウィルススキャンを行ってください。

休暇中のプライベート機器の使用について

休暇中で会社のPCを使用したり、社内ネットワークにアクセスしたりすることが無くても、プライベートのPCやスマートフォンなどを使用することはあるでしょう。特にBYODを許可している会社であれば、プライベートで使用する携帯端末にも会社の情報等が保存されている場合もあります。不慣れな土地でプライベート機器を使用することで、思わぬリスクが顕在化する可能性があるので、注意が必要です。

・無料の公衆無線LANの利用に注意する
空港やホテル、飲食店等で提供される無料の公衆無線LANサービスを利用する際に、暗号化されていない無線LANに接続すると第三者に通信内容を知られてしまう可能性があります。できるだけ暗号化通信が設定されている(パスワードを入力する)公衆無線LANサービスを利用すべきです。
また、最近は正規の公衆無線LANサービスの近くに、似たような名称の不正なアクセスポイントが設置されていることもあります。このような不正なアクセスポイントに誤って接続してしまうと、自分の行っている通信がすべて筒抜けになってしまいます。接続するアクセスポイント名はきちんと確認すべきです。
特にIDやパスワード等の認証情報を入力するサイトを利用する際には、暗号化された無線LANを使用することは必須です。

・不用意なSNS投稿等に注意する
長期間の旅行に関する情報や現地での状況をリアルタイムで投稿すると、第三者に会社や自宅の不在期間がわかってしまうことになり、様々なトラブルを引き起こす可能性があります。投稿内容や投稿時期については注意して行うべきだと考えます。

上記内容に関連して、ご相談や質問などがございましたら、お気軽にご連絡ください。
お問い合わせフォームは、こちらです。

デルタエッジコンサルタントでは、情報セキュリティに関して以下の様なサービスを提供しております。
・セキュリティ規程等の策定、改訂
・セキュリティ環境の調査と改善提案
・社内IT環境のセキュリティ強化支援
・従業員に対するセキュリティ教育
・情報セキュリティ対策のマネジメント化支援

詳細は、弊社ホームページの「情報セキュリティ対策支援」を参照ください。

/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_
ITを有効活用し、課題を解決します
デルタエッジコンサルタント株式会社
金子 清隆
URL  http://www.deltaedge.co.jp
/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_

この記事を書いたプロ

デルタエッジコンサルタント株式会社 [ホームページ]

経営コンサルタント 金子清隆

東京都中央区日本橋大伝馬町13-7 日本橋大富ビル3階 [地図]
TEL:03-6869-8336

  • 問い合わせ

このコラムを読んでよかったと思ったら、クリックしてください。

「よかった」ボタンをクリックして、あなたがいいと思ったコラムを評価しましょう。

2

こちらの関連するコラムもお読みください。

<< 前のコラム 次のコラム >>
最近投稿されたコラムを読む
サービスメニュー

日常業務の中で、あるいは報道や世間の動向を見ている中で、以下のように感じたことはないでしょうか。・「現状にどこか満足できない」、「どこかに課題がありそう...

お知らせ

企業や組織はIT部門やITリーダーに対して、戦略的にITを活用したビジネスを実施するための貢献を期待する様になっています。一方で、IT部門の多くは以下の理由により...

 
このプロの紹介記事
金子清隆・ITコンサルティング・デルタエッジコンサルタント株式会社

ITを中小企業のビジネスに有効活用するには?ITの運用方法やコストでお悩みの方に(1/3)

 2013年9月にデルタエッジコンサルタント株式会社を立ち上げた金子清隆さん。中小企業の業務改善をサポートするコンサルティングをベースに、特にITの最適化を通して顧客のビジネスを陰から支えています。 「ITとビジネスとの関係は年々密接に...

金子清隆プロに相談してみよう!

朝日新聞 マイベストプロ

中小企業の実情を踏まえた、最適コストによるIT活用をご提案

会社名 : デルタエッジコンサルタント株式会社
住所 : 東京都中央区日本橋大伝馬町13-7 日本橋大富ビル3階 [地図]
TEL : 03-6869-8336

プロへのお問い合わせ

マイベストプロを見たと言うとスムーズです

03-6869-8336

勧誘を目的とした営業行為の上記電話番号によるお問合せはお断りしております。

金子清隆(かねこきよたか)

デルタエッジコンサルタント株式会社

アクセスマップ

このプロにメールで問い合わせる
プロのおすすめコラム
情報セキュリティのセルフチェックをしてみませんか。

昨今、情報漏えいやランサムウェア等の情報セキュリティに関する事故、事件が相次いで発生しています。さらに、マ...

[ セキュリティ ]

サイバー空間をめぐる脅威の状況(平成29年上半期)

先日、警察庁より「平成29年上半期におけるサイバー空間をめぐる脅威の情勢等について」が公表されました。これに...

[ セキュリティ ]

FAKEニュース(偽ニュース)に惑わされないために

最近はネット上にFAKEニュース、または偽ニュースと呼ばれる、事実とは異なるニュースが氾濫しています。先日も「...

[ リスク管理 ]

世界規模のランサムウェア攻撃に注意

現在、世界規模でランサムウェアによる感染被害が報告されいることはご承知だと思います。今回観測されているラ...

[ セキュリティ ]

事業者が取り扱う「個人情報」とは?-改正個人情報保護法施行前の確認

2015年夏に改正された個人情報保護法が今年(2017年)の5月30日に施行されることが正式に決定しました。現行法では...

[ 個人情報保護 ]

コラム一覧を見る

スマホで見る

モバイルQRコード このプロの紹介ページはスマートフォンでもご覧いただけます。 バーコード読み取り機能で、左の二次元バーコードを読み取ってください。

ページの先頭へ