IT

情シスなら知っておきたい、 長期休暇のセキュリティ対策方法

執筆者:大塚 一樹

情報システム担当者やIT担当者にもお休みは必要です。しかし、全員が一斉に休む長期休暇は、システムセキュリティの要注意期間でもあります。経済産業省所管の中期目標管理法人である独立行政法人情報処理推進機構(IPA)では、長期休暇に先立ちさまざまな注意喚起を行っています。
間近に迫った夏季休暇、お盆休みの社内セキュリティ対策はどうあるべきか?
企業の大切な“情報”を管理する情報システム担当としては、年々高まるセキュリティリスクや、働き方の多様化による新たなリスクも踏まえた上で、対策を練る必要があるでしょう。
そこで今回は長期休暇のセキュリティ対策方法についてご紹介します。

長期休暇前後はサイバー攻撃が急増!不正送金にも要注意

休暇期間が近づくとウィルスメールやフィッシングメールが増加する傾向にあります。中には、休暇で浮き足立っている人をターゲットにしたウィルス、休暇で即時対応ができないことを見越したアタック、休暇後、大量に溜まったメールに乗じて添付書類を開かせようとする行為も。
情報システム担当者としては、社員への注意喚起を徹底すべきですが、近年のサイバー攻撃はますます複雑、高度化しています。

平成28年3月、警察庁が発表した「平成27年中のインターネットバンキングに係る不正送金事犯の発生状況等について」によると、「2016年(平成27年)のネットバンキング不正送金事件は1495件で、被害額は約30億7300万円。史上最悪の被害額」となりました。ネットバンキングの普及で、口座自体が増えていることも被害急増の要因ですが、内訳を見ると、企業口座、法人の被害が特に増加傾向になっています。
個人に比べると一回当たりの被害額が大きい法人口座は、14億6,600万円と前年から4億円近く被害額が上昇しています。

これまで長期休暇中のセキュリティリスクと言えば、

(1)Webサイト改ざんや不正アクセス
(2)ウィルスメール
(3)サーバーなどの脆弱性を突いた侵入、情報漏えい

などが主でしたが、近年ではこれに加えて

(4)社員の社外からのアクセス
(5)無線LANなど、ネットワーク環境のリスク

など、カバーしなければいけない範囲が広がり、よりリスクの高い相手を特定した上で攻撃してくる「標的型サイバー攻撃」にも備えなければいけません。

多様化するサイバー攻撃に対応するために必要な対策

近年では、あらゆるものがインターネットにつながり、ノマドやテレワークの普及で社外からのアクセス窓口を設けることも増えてきました。こうした現状にもかかわらず、多くの企業やそこで働く社員のセキュリティへの意識は高まるどころか、数年前とほとんど変わりません。そこは時間をかけて、周知徹底していかなければいけないのですが、まずは基本的な対応策を実行しましょう。

具体的に休暇前と休暇後に分けて、基本的な対策をご紹介します。

休暇前

◆緊急時対応の体制構築

緊急事態が起きた際の指示命令系統、対応を構築した上で、社内で共有しておきましょう。外部委託している場合は、委託先の緊急連絡先や対応の手順なども明確にしておくべきです。

◆機器やデータの持ち出しルールの策定と徹底

社用パソコンや記憶媒体、データなど、情報を持ち出すルールを策定し、社員に徹底する。

◆修正プログラム、アップデートの適用

運用スタイルによっては、サーバーシステムなどを稼働し続ける必要があります。長期休暇前のアップデート、パッチの適用は必ず徹底しましょう。

◆可能な限りバックアップデータをスタンバイしておく

サーバーデータのバックアップ、個人レベルではメールデータのバックアップを行い、万が一の際のデータの復元に備えましょう。

◆使用しない機器の電源をオフにする

本当に必要な機器以外の電源を落とすことも重要です。サーバーなど常時稼働が必要のないクライアントPCの電源、侵入のリスクがある無線LANも必要がなければオフラインにしておきましょう。

休暇後

◆就業時のメールチェックなどの注意喚起

大量のメールを処理しなければいけない長期休暇明けは、ウィルスメールに特に注意が必要です。社員に注意喚起を促すアラートを発しましょう。

◆ログのチェック

サーバーが可動していた場合は、休暇中のログをチェックして、不審なアクセスがないか確認します。クライアントPCの使用履歴、リモートホストの使用なども確認しておきましょう。

◆修正プログラム、アップデートの適用

休暇中に猛威を振るったウィルスなどの情報をチェックしつつ、セキュリティソフトの定義ファイルを最新の状態にしましょう。OSやアプリケーションの修正プログラムの提供、更新があれば速やかに適用します。

理想は完全オフ!共有サーバーへのアクセスやメールもリスクに

i-vacation-security-02.png

長期休暇中は心置きなく休みたいところですが、世間が概ね休暇に入るお盆時期を除いて、自分の休暇期間にクライアントから緊急対応を迫られる連絡が来ることも珍しくありません。これがヨーロッパ諸国なら数週間に及ぶバカンスの間は、不在通知が飛んでそのままという対応がスタンダードなのですが、日本の現状ではそうも言っていられません。

こと休暇に関しては「欧米諸国を見習おう」という動きもありますが、実は、アメリカとヨーロッパでは長期休暇に対する考え方が少し違います。期間の長短に差があるものの、ヨーロッパ諸国は法律で「○週間以上の休暇」が義務づけられている場合がほとんどです。それに対してアメリカは、2週間程度の休みを各自が仕事に支障の出にくいときに取得するスタイルが多いようです。

米Entrepreneur誌の2013年の調査によると、アメリカのビジネスパーソンの68%は、休暇中もメールチェックをするそうです。いつでもどこでもネットにつながる社会の到来は、アメリカのビジネスパーソンの労働環境を以前より厳しいものにしているのかもしれません。

日本と言えば、アメリカより休暇への意識が低く、休暇中に職場から問い合わせのメールや電話が来ることも珍しくはありません。出社している別の社員に対応を指示したり、依頼したり、休暇中の本人が遠隔で対応に当たる場合もあるかもしれません。どのような形であれ、外部から社内へのアクセスが生じる状況は、セキュリティの面から見ても、あまり好ましくありません。労働環境面から見てもそうですが、リスクマネジメントの観点からも、休暇中は“完全オフ”が好ましいのです。

i-vacation-security-03.png

旅先でのメールチェックにも要注意!役員のリスク管理意識も高めたい

「メールチェックくらいはしないと」という気持ちはわかりますが、旅先でのメールチェックも、サイバー攻撃の標的になる可能性があります。インターネットセキュリティ企業2016年に発表されたカスペルスキーの調査によると、海外滞在中にサイバー犯罪の被害に遭ったと回答した人の割合は18%で約5人に1人。
企業の役員クラスでは3人に1人にまで上昇するそうです。役員に関しては、標的型サイバー攻撃の対象となる可能性が高く、無防備な個人所有のノートパソコン、タブレットやスマホでメールの送受信を行い、結果としてサイバー攻撃を受けてしまうことも少なくありません。

ある程度安全性が保たれている、職場ネットワークと同じ感覚で業務上の機密情報を扱ってしまうと、思わぬ被害を受けることになるのです。
長期休暇中は海外旅行に行ったり、普段は使わない回線を使って通信を行う機会も増えます。
同じくカスペルスキー社のアンケート調査で「海外滞在中に普段とインターネットに関する行動を変えていない」と答えた人は54%、役員クラスでは62%にも上ったそうです。機密情報を取り扱う管理者でもある情報システム担当者は、役員以上にこうした点に注意する必要があるでしょう。

技術的な対策だけでなくアナログな対策手法も重視すべき

休暇前の対策として、使用機器の電源を落とすという項目を挙げました。
あらゆるものがインターネットにつながるIoT時代を迎え、ネットにつながっている機器の数だけセキュリティリスクを抱え込むことになる問題点も指摘されています。

長期休暇中の企業で特に気をつけたいのが、オフィス内の複合機の存在を利用した攻撃です。攻撃と言っても、実際オフィスにある複合機をハッキングしたり乗っ取ったりするわけではなく、スキャンしたデータ、FAXデータをメールで転送する機能を装いマルウェアを呼び込むウィルスを仕掛けるのが目的です。メール転送の設定をしている社員は、添付されたword文書を複合機からの転送文書と勘違いして開き、不正なマクロを実行してしまうというわけです。

2015年頃から見られるようになったこうしたウィルスメールは、さまざまな不正行為を可能にする「Dridex」がダウンロードされる仕掛けになっています。実際の被害の例を見ると、「Dridex」によって、オンラインバンキングのID、パスワードが収集される、ブラウザ経由でSNSや社内システムのログイン情報が漏れてしまうなどの実害が出ています。休暇中のメールチェックが不正送金の入り口になってしまう可能性もあるのです。

不審なメールへの注意喚起は徹底すべきですが、サイバー攻撃をする側の手口も巧妙化する一方です。複合機の転送機能を模したメールには、アナログな手法ですが、「長期休暇中は転送機能を止める」「電源自体をオフにする」という周知が成されていれば防げる可能性が高まります。

夏季休暇を快適に過ごし、職場に戻って来た後も安心して働くためには、休暇に入る前、休み明けにやるべきことをやっておく準備が大切です。情報システム管理者に求められるのは、技術的なスキルはもちろん、想定されるリスクに対して事前の対策を講じる想像力と対応力です。社員への周知の徹底、休暇時のルール設定、緊急時の対応策と、休暇後の対応…。やるべきことは山積みですが、こうした事前の準備は、あなたの夏季休暇、長期休暇を安息の時間にしてくれるはずです。

VAIOが提案する働き方改革

関連記事

intel CORE i7
インテル® Core™ i7プロセッサー
Intel Inside® 圧倒的なパフォーマンスを

Intel、インテル、Intel ロゴ、Intel Inside、Intel Inside ロゴ、Intel Atom、Intel Atom Inside、Intel Core、Core Inside、Intel vPro、vPro Inside、Celeron、Celeron Inside、Itanium、Itanium Inside、Pentium、Pentium Inside、Xeon、Xeon Phi、Xeon Inside、Ultrabook、Iris は、アメリカ合衆国および/またはその他の国における Intel Corporation の商標です。

※本ページに記載されているシステム名、製品名は、一般に各開発メーカーの「登録商標あるいは商標」です。