冬休みに気をつけたいセキュリティ対策（システム管理者編）：年末年始でも忘れずに

毎度おなじみですが、年末年始の長期休暇で注意すべきセキュリティ対策のポイントをお届けします。こちらはシステム管理者向けです。

[ITmedia]

　年末年始の長期休暇は、会社のPCから離れる時間が長く、自宅などではいつも以上にPCやモバイル機器などに触れる機会が増えるでしょう。セキュリティ対策では普段とは違った準備や心構えが必要です。情報処理推進機構（IPA）やJPCERT コーディネーションセンターによる長期休暇での注意点を紹介します。今回はシステム管理者編です。

　年末年始はシステム管理者も不在になりがち。セキュリティインシデントが深刻化している昨今では、万一の事態から大きな被害につながる恐れも高まっています。IPAでは標的型攻撃メールやDDoS攻撃、Webサイトを通じてマルウェア感染を狙う「ドライブ・バイ・ダウンロード」、ID・パスワードの不正利用などへの警戒を呼び掛けています。また、社員の不注意などによるマルウェア感染や情報漏えいのリスクも高まるでしょう。各機関では以下のポイントを挙げています。

その1：緊急対応体制、盗難・紛失時の連絡体制

　インシデント発生など不測の事態に備えて、委託先企業を含めた緊急連絡体制や、PC、スマートフォン、タブレットの盗難・紛失時の連絡体制などの対応手順が明確になっているか再確認する。

その2:最新バージョンを利用

　管理しているサーバやPC、スマートフォン、タブレットのOSに修正プログラムを適用し、最新のバージョンに更新することで脆弱性を解消しておく。Windows ユーザーは「Windows Update」や「Microsoft Update」を、Macユーザーは「ソフトウェア・アップデート」を利用すべし。

その3：修正プログラムを適用

　サーバやPC、スマートフォン、タブレットのアプリケーション、また、WebアプリケーションCMS（コンテンツ管理システム）などのシステムに修正プログラムを適用し、最新のバージョンに更新する。

その4：定義ファイルを更新

　セキュリティソフトの定義ファイル（パターンファイル）を最新の状態に設定し、休暇後にも確認する。

その5：情報持出しルールの徹底

　業務用端末でデータなどを組織外に持ち出す場合のルールを明確にし、従業員に再徹底する。また、本来持ち出してはいけないデータが入っていないかを事前にその都度確認する。個人所有の端末を業務に使用している場合では組織のルールから逸脱していないか確認する。データを保管したUSBメモリなどの紛失に備え、適切な暗号化を行い、その手続きが適切に運用されているかも確認する。

その6：アクセス権限の再確認

　情報システムにアクセスできる権限が適切に割り当てられているか再確認する。外部から接続可能なサーバで不要なサービスが動作していないか再確認する。休暇中に使用しないサーバやPCの電源は切るよう従業員にも再徹底する。

その7：情報取扱いルールの徹底

　ファイル共有ソフトによる情報漏えいが起きないよう、業務関係の情報を扱う場合の注意点を従業員に再徹底する。重要なデータのバックアップも行う。

その8：パスワード管理の徹底

　業務で使うIDやパスワードと同じものを、その他の業務や私的に利用しているなら速やかにパスワードを変更する。パスワードが初期設定のままになっていないかも確認する。

その9：サイバー攻撃対策の点検

　現在運用しているシステムやサービスにおけるサイバー攻撃対策状況を点検し、対策の強化が必要であれば、早急に実施する。