「前例のないGW10連休、セキュリティ上どう備えるべき？」専門家、徳丸浩さんに聞いた：『徳丸本 第二版』についても直撃（1/3 ページ）

10連休を迎える2019年のゴールデンウイーク、改元に合わせて想定される具体的なリスクと対処法とは――情報セキュリティ専門家の徳丸浩さんに詳しく聞きました。

[高橋睦美，ITmedia]

　年末年始、あるいは夏期休暇やゴールデンウイークなどの長期休暇で情報システム部門が手薄になる時期には、情報処理推進機構（IPA）やJPCERTコーディネーションセンター（JPCERT/CC）といったセキュリティ機関が休暇前後のセキュリティ対策を呼び掛けるのが通例ですが、2019年は一味違う備えが必要かもしれません。

　というのも、2019年のゴールデンウイークには、皇位継承に伴って前例のない「10連休」が到来するためです。しかも情報システムの観点からは、「元号の変更とそれに伴うシステム改修」という、2000年問題以来の大きな課題も待ち受けています。

　予想の付かないこの事態を前に、情報システム部門やセキュリティ部門の担当者はどのように備えるべきでしょうか。「徳丸本」こと『体系的に学ぶ安全なWebアプリケーションの作り方』の著者であるEGセキュアソリューションズの代表取締役、徳丸浩氏に尋ねました。

長期休暇に潜むリスクとは？

EGセキュアソリューションズの徳丸浩代表取締役

　徳丸氏は、「セキュリティという側面から見たとき、長期休暇には安全に働く方向と危険に働く方向の両方があります」と言います。

　「まず、今の多くの問題は、従業員が介在して起こる場合が多い。例えば標的型攻撃の大半は、メールの添付ファイルを開いてしまうことがトリガーになって起こります。すると、長期休暇で社員がいないということは、少なくともその間は問題は起きないということです」（徳丸氏）

　つまり、休暇中にメールで攻撃を受けた場合、休暇が明ければいずれ何らかの問題が生じるかもしれませんが、少なくともメールを開かない間は大丈夫、というわけです。

　一方でリスクもあるといいます。「システム要員がいない状況で怪しいメールを開いてしまうと、マルウェアに感染してしまい、しかもなかなか気付かないことになります。その上、休暇中でもサーバ類は動いていることが多いため、システム要員が対応する頃には感染PCからサーバが攻撃され、保存されていた機密情報を外部に持ち出された後、ということも起こり得るでしょう」（徳丸氏）

　そうしたリスクは、外部からの攻撃だけではありません。「見張りの目がなくなるのだから、内部犯にとっては天国のような状況とも言えます」と徳丸氏。故意ではなくても、“つい出来心で試してみたら、何と初期パスワードのまま運用されていたため上司や同僚のアカウントでログインできてしまった”なんてことが起こる可能性も考えられるといいます。

改元対応に追われるIT部門、「詐欺」横行の可能性も

　例年、ゴールデンウイークのような長期休暇は、システムのメンテナンスに当てられることが少なくありません。世の中は10連休といっても、改元に伴うさまざまなシステム改修の確認や対応で「休むどころではなくがっつり出勤」という情報システム担当者もいることでしょう。

　「おそらく改元対応のためにさまざまなアップデートも走るので、仮に不正アクセスがなくてもトラブルが起こる可能性はあります」（徳丸氏）

　もちろん、内製が中心だった2000年問題当時とはシステムの作り方が大きく変わり、パッケージやクラウドサービスの採用が増えていることもあり、今回はそこまでの作業量は必要ないだろうと同氏は予測しています。

　けれど、新元号の発表から改元までの期間が1カ月と短い上、2000年問題当時のノウハウを知る世代の多くが現場を退いています。昨今の人手不足から、情報システム部門全体の組織としての力が落ちていることを考えると、何らかのトラブルが起こる可能性は十分にあります。

　「（移行）期間の短さを考えると、システム改修に当たってリハーサルまでやり切れるところは少ないでしょう。やむを得ず仮置きのデータでテストすることになるでしょうが、それはそれで本番環境に仮置きデータが残るといった事故が起きる可能性があります」（徳丸氏）

　もう一つの注意点は、改元という一大イベントに合わせて、多くの詐欺が横行する可能性だと同氏は指摘します。「例えば、『Microsoftが元号変更用のアップデートに失敗したので、至急こちらのアップデートを適用してください』といった内容で誘導を図れば、Microsoftが最近アップデートに失敗していることもあり、引っ掛かってしまう人は多いのではないでしょうか」と同氏は語り、注意深く対処する必要があると強調しました。