夏季休業前後のIT&情報セキュリティ対策

もうすぐ夏休みという企業も多いかと思いますが、連休前後、特に暑い時期は端末や機器の取扱いや例外的な業務対応の実施に注意が必要です。

そこで今回は、連休前後のセキュリティ対策について、Q&A形式でまとめてみました。

Q.1 休業中に出社して業務対応しなければいけない場合、どんなことに注意したらいい?

A.1 通常時以上にリスクがあることを社員に周知しておきましょう。

休業中のオフィスは周囲に他の人がいないため「監視」が行き届かないため、通常の勤務時以上にリスクがあります。そのことを社員に周知したうえで、リスクを低減するための対策を実施しておきましょう(以下はあくまでも一例です)。

主なリスク主な対策
不正侵入、端末などの不正持出オフィスの鍵管理、不正侵入対策(セキュリティ会社との契約)、端末や機器の管理(鍵のかかるロッカーにしまうなど)
業務データの不正利用(不正持出)サーバ・データへのアクセス制限設定、端末や機器のログ取得、私物端末等のサーバ・ネットワークなどへのアクセス禁止設定
社内ルール無視社内ルールの策定と周知、違反した場合の罰則規定
問題発生時の対応遅れ休業中の緊急連絡先の周知、初期対応の教育実施

Q.2 休業中の対応のために会社のPCやスマホを持ち帰らせてもいいか?その場合どのようなリスクがあるか?

A.2 端末持出は企業のセキュリティポリシーに従い、適切な対策を実施しておきましょう。

端末の持ち出し(持ち帰り)の許可は企業のセキュリティポリシーに従って決定し、個人の判断で持ち出すことは絶対に避けましょう。そのうえで、例えば次のようなリスク対策の実施も必要になります。

紛失・盗難対策端末管理ツール(サービス)の導入など、遠隔強制ロック(強制初期化)や位置情報取得を有効化する、対応する保険に加入しておく
マルウエア感染対策セキュリティソフトの導入、利用できる通信回線の制限設定、USBメモリなど外部媒体のアクセス禁止設定(それらを管理できるツールの導入)、不審なメールやサイトへの注意喚起と教育の実施
情報漏えい対策重要ファイルなどへのアクセス制限設定、社外からのサーバ(データ)へのアクセス制限設定、VPNやVDIなどの導入とアクセス用IDの管理

併せて、社外での端末やデータの利用ルール・申請手順を決め、社員に周知しておくことも不可欠です。

休業中の緊急連絡手段(システム管理者が不在・メーカーサポートも休みなどが想定され、トラブル発生時のリスクが高くなるため)

端末やデータの持出の可否判断基準、申請手順(持出申請方法や条件など)

端末やデータの利用管理・利用手順(自宅以外で使用しない、公共Wi-Fiを使用しない、高温になる車内などに放置しない、旅行先などに持っていかない、無断で設定を変更したりデータを複製したりしない、など)


Q.3 その他、休業中・休業前後に注意したほうがいいことはありますか?

A.3 機器の管理、セキュリティ対策など、通常よりも注意するべきことがあります。

長期休業中使用しない機器(サーバ、NAS、ルーターやHUB、プリンターなど)は確実に電源を切っておきましょう。高温や落雷によって機器が故障する可能性があります。電源を入れたままにしておく場合、機器のある部屋のエアコンも付けたままにする、無停電装置に接続しておくなど、高温や停電による機器の故障リスクへの対策を忘れないようにしましょう。

休業明けには、長期間起動させなかった端末や、社外に持ち出して使用した端末をそのまま使用することにはリスクがあります。例えば、次のようなリスクが考えられるため、適切な対策を実施したうえで使用するようにしましょう。

リスクの例対策の例
OSやソフトウェアの修正プログラムが適用されていない(古い状態)ためにマルウエアに感染するかもしれないOSやソフトのアップデート実施(ウイルス対策ソフトの定義ファイルは端末起動時に自動で更新されるよう設定しておく)
持ち出して使用した端末がマルウエアに感染しているかもしれない社内ネットワークに接続する前にウイルス対策ソフトによる検査を実施する
休み中に社内設備が不適切に使用され、社内ネットワーク内にマルウエアが侵入しているかもしれないネットワーク内のすべての端末でウイルス対策ソフトによる検査を実施する
大量に届いているメールの中から不審なメールの添付ファイルを誤って開いてしまうかもしれないEMOTETやランサムウエアに関する注意喚起と教育、ウイルス対策ソフトの導入
長期間使用していなかった機器で不具合が発生するかもしれない予備機の準備、データのバックアップ取得

休業中は出社しない&端末やデータを持ち帰らない(持ち帰らせない)ことが基本ですが、やむを得ず対応しなければならないこともあり得ます。

そのような場合にどのように対応するのか、どんな行為を許可し、どんな行為を禁止するのかについては業務内容や企業のセキュリティポリシーによって異なるため、自社の状況に応じた適切な対策を実施するようにしましょう。

ただし、通常よりも情報漏えい・マルウエア感染のリスクは各段に高くなることを企業も利用する社員もじゅうぶんに理解し、利便性を最優先にしてしまったり、一部の従業員のやりやすい手段を採用してしまったりするのは避けましょう

また、夏季休業期間は、機器やサービス提供者(メーカー)も休業していることが多く、トラブルが発生した場合に適切に対応できない可能性がありますのでご注意ください。