毎度おなじみですが、年末年始の長期休暇で注意すべきセキュリティ対策のポイントをお届けします。こちらはシステム管理者向けです。
年末年始の長期休暇は、会社のPCから離れる時間が長く、自宅などではいつも以上にPCやモバイル機器などに触れる機会が増えるでしょう。セキュリティ対策では普段とは違った準備や心構えが必要です。情報処理推進機構(IPA)やJPCERT コーディネーションセンターによる長期休暇での注意点を紹介します。今回はシステム管理者編です。
年末年始はシステム管理者も不在になりがち。セキュリティインシデントが深刻化している昨今では、万一の事態から大きな被害につながる恐れも高まっています。IPAでは標的型攻撃メールやDDoS攻撃、Webサイトを通じてマルウェア感染を狙う「ドライブ・バイ・ダウンロード」、ID・パスワードの不正利用などへの警戒を呼び掛けています。また、社員の不注意などによるマルウェア感染や情報漏えいのリスクも高まるでしょう。各機関では以下のポイントを挙げています。
インシデント発生など不測の事態に備えて、委託先企業を含めた緊急連絡体制や、PC、スマートフォン、タブレットの盗難・紛失時の連絡体制などの対応手順が明確になっているか再確認する。
管理しているサーバやPC、スマートフォン、タブレットのOSに修正プログラムを適用し、最新のバージョンに更新することで脆弱性を解消しておく。Windows ユーザーは「Windows Update」や「Microsoft Update」を、Macユーザーは「ソフトウェア・アップデート」を利用すべし。
サーバやPC、スマートフォン、タブレットのアプリケーション、また、WebアプリケーションCMS(コンテンツ管理システム)などのシステムに修正プログラムを適用し、最新のバージョンに更新する。
セキュリティソフトの定義ファイル(パターンファイル)を最新の状態に設定し、休暇後にも確認する。
業務用端末でデータなどを組織外に持ち出す場合のルールを明確にし、従業員に再徹底する。また、本来持ち出してはいけないデータが入っていないかを事前にその都度確認する。個人所有の端末を業務に使用している場合では組織のルールから逸脱していないか確認する。データを保管したUSBメモリなどの紛失に備え、適切な暗号化を行い、その手続きが適切に運用されているかも確認する。
情報システムにアクセスできる権限が適切に割り当てられているか再確認する。外部から接続可能なサーバで不要なサービスが動作していないか再確認する。休暇中に使用しないサーバやPCの電源は切るよう従業員にも再徹底する。
ファイル共有ソフトによる情報漏えいが起きないよう、業務関係の情報を扱う場合の注意点を従業員に再徹底する。重要なデータのバックアップも行う。
業務で使うIDやパスワードと同じものを、その他の業務や私的に利用しているなら速やかにパスワードを変更する。パスワードが初期設定のままになっていないかも確認する。
現在運用しているシステムやサービスにおけるサイバー攻撃対策状況を点検し、対策の強化が必要であれば、早急に実施する。
Copyright © ITmedia, Inc. All Rights Reserved.