10連休の前に注意したいこと

これまでにない大型連休が近づいています。その前に企業や個人で確認しておきたいサイバーセキュリティの対策まとめ。

ゴールデンウイークが近づいてきました。今年は皇位継承に伴い、10連休となります。多くの会社で10連休を採用していることと思います。

長期休暇に入る前に注意したい点を、ITセキュリティの観点からまとめました。

IT管理者の皆さまへ

1. バックアップの確認

休暇に入る前に、重要データのバックアップを改めて確認しておきましょう。休暇明けに何か不具合が起きていた場合でも、バックアップがあれば手の打ちようがあるかもしれません。

2. 会社のセキュリティポリシーを社員に再度伝達

長期休暇前に、改めて社員へ会社のセキュリティポリシーを伝達しましょう。おおむね、以下のような内容がカバーされていると思います。

  • 社用デバイスやデータの持ち出しに関するルール
  • デバイスやデータを紛失した・破損した・盗まれたときの連絡先、その他取るべき行動
  • 緊急時の連絡フロー

特に、何かセキュリティ上の問題が起きた場合の緊急連絡フローは、しっかり確認しておきたいものです。連絡フローは、最新の情報にアップデートされていますか?フローに他社の関係者も含まれている場合があるので、休暇に入る前に連絡フローの予行練習をしておくのもよいでしょう。

このほか、不在通知メールについても注意を払う必要があります。長期不在時に不在通知メールを活用する人もいると思いますが、不在通知メールには良い面だけでなく、悪用されてビジネス上のリスクとなる恐れもあります。たとえば、メールに書かれた情報は、標的型攻撃を実行するのに十分かもしれません。詳しくは以下の記事を参考にしてください。

3. 使わないデバイス(サーバーなど)の電源をオフに

長期休暇に際し、デバイスの電源を落とす場合があります。デバイスの電源オフ/オンには、決められた手順があるのではないでしょうか。連休明けに電源を入れたときに「動作しない!」と慌てないためにも、連休前の週末に予行練習ができれば安心です。

社員の皆さまへ

会社のセキュリティポリシーを確認する

会社のスマホをなくした!盗まれた!業務データが入ったUSBメモリを紛失した!などのトラブルが、休暇中に発生するかもしれません。そんな事態になったときどうすればよいのか、自社のセキュリティポリシーで決められていることと思います。休暇に入る前に、緊急時に連絡すべき担当者、部署、応急処置として取るべき行動などを見直しておきましょう。

改元に絡めた不正行為の可能性について

今回は長期にわたる連休であるだけでなく、元号の変更も行われるので、改元に関連する悪意ある行為が予測されます。

「改元にともない、至急○○する必要があります」。こんな連絡がメールなどで届くかもしれません。

うっかりそのようなメールやメッセージに反応してしまうと、個人情報を盗み取るフィッシングサイトに誘導されたり、悪意あるファイルをダウンロードさせられたりすることになりかねません。Stop(いったん行動を止め)、Think(考え)、Connect(それからアクセスする)の精神で対処しましょう。

 

長期休暇時のセキュリティ対策はIPA(情報処理推進機構)でもまとめています。こちらも参考にしてください。

ヒント

Windows Downdate攻撃から身を守る方法

Windows Downdateは、最新バージョンのOSを古いバージョンにロールバックさせ、脆弱性が残る状態を復活させ、攻撃者がシステムを容易に侵害できるような状態にする攻撃です。この攻撃のリスクを低減するにはどうしたらよいでしょうか?