長期休暇の時期は、システム管理者が不在になることも多く、ウイルス感染や不正アクセスなどの被害が発生した場合の対処が遅れてしまい、自組織のシステム環境に大きな被害が及んだり、顧客にウイルス感染の被害が及んだりする可能性がある。このような事態を防ぐために、組織として対策を検討する必要があるだろう。

独立行政法人情報処理推進機構(IPA)では、8月は多くの人が夏季休暇を取得する時期であることから、8月4日に長期休暇における情報セキュリティー対策を公表したので、本稿で解説させていただきたい。

緊急時に備え連絡体制を整備

組織のシステム管理者は、長期休暇前に、不測の事態が発生した場合に備えて、委託先企業を含めた緊急連絡体制や対応手順などが明確になっているか確認していただきたい。その際は、組織体制や電話番号に変更がないか注意が必要である。また、長期休暇中に使用しないサーバーなどの機器は電源を切ることを推奨する。

長期休暇明けは、長期休暇中に公開されたOSや各種ソフトウエアの脆弱(ぜいじゃく)性を狙った攻撃が多く見られる。修正プログラムの有無を確認し、必要な修正プログラムを適用するよう従業員へ案内していただきたい。また、長期休暇中に電源を切っていたパソコンは、セキュリティーソフトの定義ファイル(パターンファイル)が古い状態のままになっている。電子メールの送受信やウェブサイトの閲覧などを行う前に定義ファイルを更新し、最新の状態にするよう従業員へ案内していただきたい。

加えて、サーバーなどの機器に対する不審なアクセスが発生していないか、各種ログを確認することも必要である。何らかの不審なログが記録されていた場合は、早急に詳細な調査などの対応を行う必要がある。

従業員への注意徹底を

従業員は、長期休暇中に社外での業務対応のためパソコンなどの機器やデータなどの情報を持ち出す場合は、持ち出しルールを事前に確認し、順守していただきたい。また、長期休暇中に使用しない機器は電源を切ることを推奨する。

長期休暇中は、自宅などに持ち出したパソコンなどの機器やデータは、ウイルス感染や紛失、盗難などによって情報漏えいなどの被害が発生しないよう、厳重に管理していただきたい。

また、公衆無線LANの利用には注意が必要である。空港やホテルなど、多くの場所で公衆無線LANサービスが提供されているが、不正に設置されたアクセスポイントへの誤った接続や盗聴などにより、第三者に通信内容を知られてしまう可能性がある。第三者に知られては困る情報をやりとりする場合は、SSLで暗号化されていること(ブラウザーのアドレス欄の文字が「https」で始まっていること)を確認してから送受信するようにしていただきたい。

加えて、行楽などの外出前や外出先でのSNS投稿にも注意が必要である。例えば、SNSに旅行の計画を書き込んだ場合、内容によっては、旅行のため長期休暇中は不在であることが広く知れ渡ってしまう可能性がある。また、撮影した写真をSNSに投稿したことで位置情報が知られたり、他者のプライバシーを侵害してしまったりなどのトラブルに発展する可能性もあるため、投稿内容や投稿範囲に注意が必要である。

長期休暇明けは、システム管理者の指示に従い必要な修正プログラムの適用とセキュリティーソフトの定義ファイルの更新を行っていただきたい。また、長期休暇中に持ち出していたパソコンや、データを保存していたUSBメモリなどの外部記憶媒体にウイルスが感染していないか、組織内で利用する前にセキュリティーソフトでウイルススキャンを行うことを推奨する。

なお、長期休暇に限らず、日常的に行うべき情報セキュリティー対策も新たにまとめ、併せて公開したので参考としていただきたい。

(独立行政法人情報処理推進機構・江島将和)