年末年始における情報セキュリティの要点:新たな年を安全に迎えるために
年末年始が迫っています。長期休暇を迎えるにあたり、自社のセキュリティ対策は万全でしょうか。
12月21日、独立行政法人情報処理推進機構(以下、IPA)は「2023年度 年末年始における情報セキュリティに関する注意喚起」のページを公開しました。
長期休暇時のセキュリティリスクとして、休暇中の隙を突いた攻撃によるインシデント発生の可能性があることや、休暇中に貯まった大量の電子メールを休暇後に余りチェックせず開いてしまうことによるウイルス感染のリスクが増加すること等が挙げられます。
さらに、休暇中はシステム管理者の不在によりインシデント発生時の対応に遅れが生じることや、そのせいで想定していなかった事象へと発展し思わぬ被害が発生することで、長期休暇後の業務継続に影響が及ぶ可能性が考えられます。
このような事態を回避するためにも、長期休暇前と後で適切なセキュリティ対策を実施することが求められます。
長期休暇前の対策
緊急連絡体制の確認
長期休暇中に認知したインシデントの対応が休暇明けになると、被害が拡大する恐れがあります。不測の事態に備えて、長期休暇前に委託先企業を含めた緊急連絡体制や連絡先、対応手順等を確認し、連絡体制を更新しておきましょう。
バックアップ対策の実施
ランサムウェア攻撃等に備えて、重要なデータや機器設定ファイルに対してバックアップ対策を実施しましょう。またバックアップに対しての攻撃も想定し、バックアップデータはネットワークから切り離し、変更不可とするなどの対策を検討しましょう。
アクセス制御の実施
アクセス権限の確認、多要素認証の利用、不要なアカウントの削除等により、本人認証を強化するとともに、個々の利用者にパスワードが単純でないか確認させる必要があります。また外部ネットワークからアクセス可能な危機へのアクセスは必要なものに限定しましょう。
長期休暇中にメンテナンス作業などで社内ネットワークへ機器を接続する予定がある場合は、ウイルス感染した機器を接続することによりウイルスをネットワーク内に拡散しないため、機器接続ルールを事前に確認し遵守する必要があります。
ソフトウェアの脆弱性対策の実施
脆弱性対策の状況を確認し、必要に応じてセキュリティパッチの適用やソフトウェアのバージョンアップを実施します。また長期休暇中に公表された重要な脆弱性情報をすぐに確認し対応の検討が行われる体制を整えておきましょう。
機器やデータの持ち出しルールの確認と遵守
情報システムを利用する職員は、長期休暇中に社外にPCやデータ等を持ち出す場合、持ち出しルールを事前に確認し遵守しましょう。
利用機器に関する対策の実施
機器のファームウェアを最新にアップデートします。また長期休暇中に使用しないサーバやクライアントPCの電源はOFFにしましょう。
長期休暇中の対策
持ち出した機器やデータの厳重な管理
長期休暇中に社外での作業が必要な場合は機器やデータを持ち出す必要があります。その際、ウイルス感染や紛失・盗難等による情報漏えいを防ぐには、持ち出した機器やデータの厳密な管理が求められます。
持ち出しデータの管理方法として、弊社は暗号化をお奨めしています。持ち出しが必要なファイルをあらかじめ暗号化しておけば、仮にPCやUSBを紛失したり、BYODがウイルスに感染してファイルが流出しても、外部の第三者にはファイルを閲覧することができません。
さらに弊社の暗号化ソリューション『DataClasys』は、暗号化ファイルを利用できる機器を特定のクライアントPCに限定することもできますので、より強固な漏えい対策を実現することが可能です。
長期休暇明けの対策
電源を落としていた機器に関する対応
電源をOFFにしていた機器は、端末起動後に不正プログラム対策ソフトウェア等の定義ファイルを確認し、古い状態のままになっている場合は最新の状態に更新してから利用を開始しましょう。
ソフトウェアの脆弱性対策の実施
長期休暇中に公開されたOSやソフトウェアの修正プログラムがあれば適用しましょう。
各種ログの確認
サーバ等の機器に対する不審なアクセスがないか、VPN、ファイアーウォール、監視装置等のログやアラートで確認しましょう。もし何らかの不審なログが記録されている場合は、早急に詳細な調査等の対応を行う必要があります。
持ち出した機器等のウイルスチェックの実施
長期休暇中に持ち出していたパソコンや、データを保存していたUSBメモリ等に対してセキュリティソフトでスキャンを行い、ウイルス感染をしていないか確認しましょう。
不審なメールに注意
長期休暇明けに溜まったメールを確認する前に、利用機器のOS・アプリケーションに対する修正プログラムの適用やセキュリティソフトの定義ファイルの更新を実施しましょう。
また不審な添付メールを開いたり、リンク先にアクセスしないよう注意しましょう。不審な点があれば開封前にシステム管理者へ報告し、指示に従って行動しましょう。
長期休暇期間を機に自社のセキュリティ対策の見直しを
上記で紹介したセキュリティ対策は長期休暇に限らず普段から注意が必要なものが多く含まれています。この機会に自社のセキュリティ体制の見直しを行ってみるのはいかがでしょうか。
なお、弊社のDataClasysは持ち出し機器からの漏えいだけでなく、サーバやクライアントPCへのサイバー攻撃、内部不正による漏えい、誤送信・誤操作による漏えいなど多くのセキュリティリスクに対応できます。自社のセキュリティレベル向上をご検討の際は、是非お問い合わせ下さい。