夏休みを安心して楽しもう!長期休暇前後に行うべき15の対策と注意点-is702

大企業では夏季休暇として休みを集中せず、分散して取得するなどが増えていますが、多くの企業や組織ではまもなく”お盆休み”という一大行事が控えています。今年は既にオリンピック休暇中という方もいらっしゃるかもしれませんが…。
一般的に連休シーズンはセキュリティインシデントが発生しやすくなると言われています。今回は、「休暇前」「休暇中」「休暇後」のパート別に従業員が行うべき対策と注意点をis702から紹介します。

休暇前の心構え

”お盆休み”などの大型連休に起こりやすいセキュリティインシデントとしては、次のようなものがあります。

  • 「従業員が持ち出した機器の盗難、紛失、マルウェア感染」
  • 「従業員が持ち出した業務データの漏えい」
  • 「企業内ネットワークへの不正侵入をきっかけとしたマルウェア感染と情報漏えい」
  • 「DDoS攻撃*によるサービスの停止や遅延」

*DDoS攻撃とは標的のWebサイトに集中的にアクセスして大量の処理負荷を与えることで、サービスを停止に追い込む攻撃

休暇中は開放的になり気も緩みます。もちろんリラックスするための休暇なので、それはそれで良いことですが、”念のため”と業務使用のPCやスマホを休暇先に持ち出した場合はセキュリティ意識を持つことが大切です。長期休暇に入る前にあらためて対策を確認しておくことにしましょう。

 

休暇前/休暇中/休暇後の対策、15項目

従業員が長期休暇に向けて行うべき対策、休暇中の注意、休暇後の対策として以下に15の項目を示します。
これらは、勤務先と自身をさまざまなセキュリティ脅威から遠ざけるために日頃から実践したい対策でもあります。

<休暇前に行うべき8つの対策>

1.勤務先のセキュリティポリシーやガイドラインを確認し、遵守する
組織から貸与された機器やデータの持ち出し、外部からの組織内ネットワークへの接続、私用の端末やインターネットサービスの利用などは、勤務先に認められている場合に限ることは改めて言う必要もないでしょう。
勤務先に無断で行った行動が原因で情報漏えいなどが生じた場合、懲戒の対象になるだけでなく、損害賠償を請求される可能性も否めません。勤務先によって定められたセキュリティポリシーやガイドラインを確認し、遵守しましょう。
(セキュリティポリシーやガイドラインがない場合は、社内の情報システム担当者に確認しましょう)

2.緊急連絡体制と対応手順を知っておく
セキュリティインシデントが発生した場合に迅速に対応できるよう、自組織内にとどまらず子会社や関連会社、取引先なども含めた緊急連絡体制と対応手順を押さえておく必要があります。特に直近ではテレワークの導入で社内規定が変更されている場合もあるため、最新のものがどこに保管されているのか確認しておきましょう。

3.スマホやタブレット端末、パソコンなどの機器を厳重に管理する
休暇に際し、勤務先に置いておくパソコンなどの機器はサスペンドなどではなく、シャットダウンさせましょう。(ネットワークから切り離しておくことが重要です)こうしておくことで、外部からの不正アクセスによるマルウェア感染や情報漏えいのリスクを低減できます。
また、盗難を防ぐため、帰宅時に機器を錠付きの引き出しやロッカーにしまっておくことも忘れてはなりません。勤務先から貸与されたスマホやタブレット端末についても休暇中に紛失したり、私的使用したりしないよう注意しましょう。

4.OSやソフトを最新バージョンに保つ
原則として、PCのOSやソフトの開発元から更新プログラムが提供された場合は速やかに適用することが推奨されています。これはOSやアプリケーションの脆弱性(セキュリティの弱点)を悪用してマルウェアに感染させる手口もあるためです。
しかしながら、企業によっては更新プログラム適用による社内システムへの影響を事前に検証し、その上でアップデートのタイミングを従業員に指示する場合もあります。最新があるからといってアップデートすると社内システムが使えなくなるなどのトラブルも考えられますので、勤務先の規定に従うことが重要です。

5.セキュリティソフトを適切に更新しながら利用する
セキュリティソフトを利用することでマルウェアに感染したり、不正サイトにアクセスしてしまうリスクは下がります。貸与されたPCであれば、インストールされているセキュリティソフトを適切に更新し、最新の状態に備えることで脅威から身を守りましょう。

6.インターネットサービスのアカウントを厳重に管理する
WebメールやMicrosoft 365などへの不正ログインを防ぐためには、以下のようなことが求められます。

  • サービスごとに異なるIDとパスワードの組み合わせを使用すること
  • 第三者に推測されにくく、なるべく長くて複雑なパスワードを設定すること
  • 可能であれば二要素認証機能を有効にすること

上記のパスワードの基本を理解した上で、勤務先にて定められた方法でアカウント情報を管理する必要があります。
また、”すぐに忘れてしまうから”とポストイットで張っておくなど、他人の目につく場所にパスワードを置いておくのは論外です。
メモとして管理する場合も、一部を歯抜けにしておくなど容易に第三者が悪用できないようにしておきましょう。

7.PCやスマホの画面をロックする
PCやスマホ、タブレット端末から目を離すときは必ずスクリーンロック(画面ロック)をかけるようにしましょう。
これは端末を専用のロック画面に切り替えることで第三者に作業内容を盗み見られたり、勝手に操作されたりすることを防ぎます。
使用再開時に用いるパスワードやPIN(4桁以上の暗証番号)には第三者に推測されにくいものを設定してください。また、ロック中の画面に業務関連のメッセージや予定のプレビューが表示されないよう、通知設定も確認しておくとよいでしょう。

8.バックアップをとる
PCの盗難や紛失、故障、マルウェア感染などに伴うデータ消失への備えも忘れてはいけません。日頃から重要なファイルのコピーをとり、勤務先に指定された場所に保管しておきましょう。
しかしながら、”バックアップをとる”からといって、勤務先に無断で私用のクラウドストレージや外付けハードディスクを使用するのはセキュリティの観点からはやっていはいけない行為となります。
(IT部門の関与しないシャドーITを利用することにより、データが外部に流出するセキュリティリスクは高まると言えるでしょう)

<休暇中に注意すべきこと>

9.偽警告にだまされない
「ウイルスに感染している可能性があります」などの警告メッセージを表示するWebサイトにはくれぐれも注意が必要です。
たとえ不安を覚えても警告メッセージ内のボタンを不用意に押すことがないように心がけましょう。
それらは広告であったり、デタラメな内容でサポート詐欺サイトなどの入り口になっていることが多いためです。

10.メールの真偽を慎重に確認する
たとえ著名な企業や実在する人物からのメールでも何らかの理由をつけてURLリンクや添付ファイルを開かせようとしたり、電話をかけさせようとしたりするものは疑ってかかる必要があります。ラテラルフィッシングという内部情報を利用した手口も横行しているからです。
例えば、情報システム部門の担当者をかたって「パスワードの更新が必要」などと呼びかけるメールはフィッシングサイトにつながっているかもしれません。少しでも怪しいと感じた場合はメール以外の手段で差出人とされる人物に事実確認をするか、セキュリティ担当者に通報するようにしましょう。
また、業務用サービスなどのアカウントへのログインはブックマークに登録した公式サイトか社内ポータル経由で行うことを習慣づけておくと間違いが少なくなります。

11.スミッシングやヴィッシングに引っかからない
スミッシング(SMSによるフィッシング詐欺)の被害も後を絶たない状況です。実在する配送業者をかたって「不在のため持ち帰りました」などと呼びかける偽の不在通知メッセージを見たことはあるのではないでしょうか。SMSだからと安心せず、そこから不正サイトに誘い込まれないよう注意するようにしましょう。
ヴィッシング(音声によるフィッシング詐欺)は立場などを偽ってもっともらしい要件を述べ、標的とする企業の従業員から情報を聞き出す手法になります。取引先や支社の従業員になりしまし、特定の社員の連絡先を聞き出そうとする電話がかかってくることもあります。「他人の情報は公開しない」ことを原則に、こちらから連絡をするように聞き出しましょう。

12.勤務先のテレワーク規定に従う
休暇中にカフェや自宅で仕事をするケースもあるでしょう。今はテレワークを採用している企業も多く、休暇中に限ったことではないかもしれません。
このような場合、境界防御を行っているセキュリティが強固なオフィスでの勤務時に比べ、情報漏えいやマルウェア感染などのリスクは高まります。勤務先のテレワーク規定を確認し、それに従うことが必要です。
また、カフェなどの公共の場での作業時は盗み見や盗み聞きによる情報漏えいのリスクもあります。ネットワークの安全性だけでなく、周囲の環境にも注意が必要です。

<休暇後に行うべき3つの対策>

13.OSやソフトの更新プログラムの有無を確認し、必要に応じて適用する
まずはOSやソフトのアップデート情報をチェックしてみましょう。休暇中に開発元から更新プログラムが提供されているかもしれません。しかし、企業によって更新プログラム適用のルールは異なります。それ故、アプリケーションごとに勤務先の規定に従ってください。

14.持ち出し機器のウイルス検索を行う
社外に持ち出していた業務用のパソコンやスマホ、USBメモリなどのウイルス検索は必須と言えるでしょう。セキュリティソフト/アプリを最新の状態にした上でスキャンを実行してください。
感染が疑われる場合はセキュリティ担当者に報告して指示を仰ぐなど、勤務先が定める手順どおりの対処が必要です。

15.メールのチェックを慎重に行う
長期休暇明けは大量のメール対応に追われ、スパムメールへの警戒を怠りがちです。
メールの真偽を確認することなくURLリンクや添付ファイルを不用意に開くことはやめておきましょう。
また、日頃からメールの真偽を確認するよう、習慣にしておくとよいでしょう。
それでも不審なメールを見つけた場合は、セキュリティ担当者に報告し、指示を仰いでください。

 


本記事は、トレンドマイクロ様の許諾によりインターネットセキュリティナレッジ「is702」の内容を元に作成しております。
ソース:https://www.is702.jp/special/3882/partner/101_g/

関連記事

カテゴリー:

セキュリティニュース

情シス求人

  1. チームメンバーで作字やってみた#1

ページ上部へ戻る