安心して新年を迎えるための、万全な情報セキュリティ対策 (2015/11/21 ESET セキュリティブログ)
サラリーマンであれば、比較的長期となる休みが1年の中で何回かあります。
年末年始、ゴールデンウイーク、シルバーウイーク・・・ちなみに2016年のゴールデンウイークは平日2日休みを取れば10連休のようです。長いですね。休みの間は家でじっとしているわけではなく、旅行や帰省など、普段と違う行動パターンで暮らしている方も多いと思います。
長期間の連休で人が出社しない期間があるとセキュリティ事故などは少ないと思われがちですが、実際はむしろ連休のほうがセキュリティ面での不具合が発生していることが多いようです。
今回は、年末年始に陥りがちなセキュリティ面の管理ミスやどのように対策を進めるべきか、について書いてみます。
■年末年始に情報セキュリティの事故は発生する
例えば、普段からものすごく忙しい人すべてが年末年始の期間に限って、スパッと仕事を中断してしまうでしょうか?
年末年始に何か具体的な案件がない場合でも、「何かあったら困るから」と言って書類を家に持ち帰ったり、データをUSBメモリやCD、DVDなどに保存し、持ち帰っているかもしれません。
もし、家で仕事するようなことになると、セキュリティ対策を行なっていない環境で仕事をして大事なデータをまるごと流出してしまったり、年明け出社時にウイルス感染してしまったデータを企業内のネットワークに持ち込まれる可能性もあります。
しっかりと日程管理ができているのであれば問題はないかもしれませんが、年末年始は稼働(営業)日数が少なかったり、「年内に片付けないといけない急ぎ仕事が入ってきた」といった駆け込み案件が増えるものです。本来あるはずの作業時間が圧迫され、当初計画した仕事を進められないかもしれません。
休み前になるとそわそわし、気が緩んで、普段では発生しないポカミスが発生することもあります。仕事を手っ取り早く終わらせようとするため、所在不明なソフトウェアを使ったり、仕事自体がおろそかになったり、普段では想像がつかない行動をすることもあるでしょう。
また、年末年始は忘年会や新年会も多いシーズンです。
パソコンやスマートフォンなどをどこかに置き忘れてきたり、それらが丸ごと入ったカバンごと盗難に遭う可能性もあります。もし盗まれたカバンに機密情報が入ったデータがパスワードなしで入っていたとしたら、流出の可能性はぬぐいきれません。
■事前に出来る、いくつかの対策
年末年始は、トラブルが発生したときに対応が遅くなる傾向があります。
例えば、システム管理者が不在になる場面が多かったり、組織内の連絡が滞ったりするケースがあります。
また、担当者がトラブルになっていたとしても本人が気づいていなかったり、「まずい!」と思って隠蔽するケースも考えられます。
ウイルス感染や情報セキュリティの事故を防ぐためには、事前に傾向をつかんでおき、対策を行なうことが有効です。
■対策ができているか対策をいま一度確認しましょう
○連絡網
・緊急時の連絡網は整備されていますか?
また、せっかく作ったのであれば連絡網は、十分周知、機能していますか?
・休暇時の連絡網は通常使用しているメールが通じないこともあるので、オフラインとなる場面も考慮するほうがよいです。
○トラブル対応
・年末年始の前後に点検を行なう用意がされていますか?
・トラブルになった際の対応を決めていますか?
・トラブルになった際にシステム担当者が迅速に対応できる環境は整っていますか?
○休暇に備える
・使用しない機器(PC、プリンタ、サーバなどの機器、無線LANのアクセスポイントなど)は電源を切りましょう。
・情報を持ち出す際のルールは徹底されていますか?
・データのバックアップはとっていますか?
・クリスマスメールやあけおめメール(年賀状メール)などが来た際、きちんと対応できますか?
・重要な書類や外部記録メディアは鍵のかかる引き出しなどへ保管していますか?
■データ持ち出しのルール化をしておく
○持ち出しルールの徹底
・組織外に企業のパソコンや機密データ等を持ち出す際のルールを明確にし、従業員に周知しましょう。
・パソコンやデータを紛失した場合に備え、適切な暗号化を行ないましょう。
・紛失等のトラブルに対応するための手続きが適切に運用できているか確認しましょう。
○情報漏えい対策ルールの徹底
持ち出したデータを利用する環境不全や、Winny等のファイル共有ソフトの不正利用による漏えい事故が起きないよう、従業員に情報セキュリティについて正しく伝えましょう。
○ツールでルール化してみる
IPA(独立行政法人 情報処理推進機構)では、公開されているファイル共有ソフト(Winny、Winnyp、Share)による『情報漏えい』を防ぐためのソフトウェアを公開しています。利用を検討してみましょう。
情報漏えい対策ツール: http://www.ipa.go.jp/security/winny119/
■従業員の情報セキュリティの意識を高める
データ持ち出しやアクセス制限に関わる申請書が組織内に存在し、徹底したルール化がされていると、従業員に情報セキュリティへの意識を高めることができます。
まだルール化をまだ実行されていないのであれば、書類作りから始めることがスムーズなルール化の第一歩です。
下記は一例です。
- 社内ネットワーク接続申請書:新しい人が入ったりした際の書類。
- 端末持込申請書:BYOD(Bring Your Own Device)等、個人の機器を企業に持ち込む対策としての書類。
- ネットワーク機器登録申請書:新しい機器を入手した際の書類。
- 端末・ノートパソコン持出申請書:社有のパソコンなどを外に持ち出す可能性がある人向けの書類。
- リモート接続申請書:外出先や家で仕事をする人向けの書類。
- 情報セキュリティ事件・事故報告書:もし何かトラブルが発生した際に提出してもらう書類。
いかがでしょうか?
いよいよ慌ただしくなる師走を迎えます。 この年末年始を機に、ぜひみなさんのセキュリティ環境を点検してみてください。
- 関連記事
- スマホのセキュリティ第二弾~無線LANとのつきあい方を検証する
- 日中サイバー防衛最新情勢(1/2) 日本政府への攻撃は100万件以上!
- 日中サイバー防衛最新情勢(2/2) 国内セキュリティ企業がウィルスばらまき
- [大阪・和泉市]全職員に非接触型手のひら静脈認証を導入
- 【ネット選挙】なりすまし文書への対策、地方に波及 – PDF 電子署名が無償で可能に
- [PR]28パターンで考える“あなたの会社の”マイナンバー対策