大型連休や年末年始などの長期休暇の時期は、多くの一般企業では従業員が一斉に休暇を取得します。こうした長期休暇は、社内IT環境の面から見ると、
「休暇中は社内のIT環境を利用する従業員は非常に少ない(はず)」
「社内のIT環境を運用、監視するシステム管理担当者も不在」
という状況になる一方で、業務上やむを得ず出社したり、リモート作業を行ったりする従業員のため、
「社内のIT環境や情報システムは稼働させておく」
必要があります。また、WebサイトやECサイトなどの対外的なサービスについても同様です。そのため、不正アクセスや情報漏えい等のセキュリティ事故や、システム停止等の事案が発生しても、誰も気付かず、仮に誰かが気付いても対処できずに放置されるため、休暇明けに気づいた時点で被害が拡大してしまうリスクがあります。社内IT環境の運用・監視を外部委託しているケースでも、委託元会社の担当者に連絡が取れないと対応は限定されがちです。結果として、休暇明けトラブル対応を行った上で被害調査や復旧作業を行うため、実業務に多大な影響が発生する可能性があります。
また、昨今では新型コロナウイルス対策の関係上、リモートワークを実施する従業者が多くなっていますが、自社のネットワークや情報システムにアクセス可能なPC等を自宅に置いたままで家を空けていると、自宅に放置されたPC等を経由して社内ネットワークに不正アクセスされたり、情報漏えいが発生したりするリスクも考えられます。
長期休暇に情報セキュリティの観点から実施すべき対処内容を纏めましたので、参考にしてください。
長期休暇中はIT機器やネットワークも停止させるのが一番
繰り返しになりますが、長期休暇の時期はIT担当者も休暇を取得します。特に一斉休暇となる企業では、社内のIT環境や情報システムを運用する担当者は出社しません。また、IT運用を外部委託している場合でも、トラブルが発生した場合の対処については委託元会社の判断を仰ぐ必要があります。IT機器を直接操作する必要があっても、休業中の委託元会社に立ち入ることもできません。
そもそも、従業員がいないのにIT機器やネットワークを稼働したままにするから、不正アクセス等が行われても発見されないリスクが大きくなるわけですから、社内のIT環境や情報システムを停止させてしまえばリスク自体が小さくなります。従業員が一斉に休暇を取得するのであれば、社内のIT環境も可能な限りシャットダウンして電源をオフにし、休ませておくべきです。
休暇前に情報システム部門が行うべきこと
それでも稼働させなければならないIT機器や情報システムも存在します。例えば対外的な情報発信を行うWebサイトや、取引先等からの連絡を受けるメール等のコミュニケーション環境、昨今増加しているECサイト、等が考えられます。また、企業の業態や一部の従業者の都合等で、追加的にIT機器や情報システム等も稼働させなければならない状況もあるかもしれません。よって、休暇前には面倒ですが、稼働させておくIT機器や情報システムを選定する必要があります。近年の働き方改革を踏まえ、社員が休暇中に働くことを難しくするよう、経営層の合意の下で社内のIT環境を使用できない状況をつくりだす、という考え方もできます
同時に、不正アクセス等の事態が発生した場合に備え、外部委託先を含む緊急連絡網や対応手順等が明確になっているか、連絡先や連絡手段が有効かを確認することも必要です。特に緊急連絡網や記載されている連絡先は変更されるべき箇所が反映されていないこともあります。こうした長期休暇前に定期メンテナンスを兼ねて確認すべきです。
休暇明けに情報システム部門が行うべきこと
日本の慣習上は長期休暇であっても、グローバルの悪質なハッカーにとっては関係ありません。むしろ、この期間に様々な攻撃を行う好機と捉えている場合もあります。また、長期休暇期間でもOSやソフトウェアなどの様々な脆弱性に対処する修正プログラムの配布は継続して行われています。よって、休暇明けにはまずOSや各種ソフトウェアの修正プログラムを適用し、セキュリティソフトのパターンファイル更新を行うべきです。特にサーバー機に対する作業は業務開始前に完了できるよう、スケジュールする必要があります。クライアントPCについても同様の措置が必要ですが、アクセスが集中することを避けるための対策を検討し、社内にアナウンスすべきです。
同時に、長期休暇中に稼働していたサーバー等のIT機器の稼働状況やログを確認し、不正アクセス等のサイバー攻撃が行われていないかどうかを検証すべきです。もし不審な動作やログが確認された場合は迅速に詳細な調査等を行う必要があります。
IT環境や情報システムを利用する従業員が行うべきこと
休暇中は原則社内のIT環境にアクセスしないと割り切るべきです。もしトラブルが起きても誰も対処してくれません。特にPC等を自宅に持ち帰ってリモートワークを行う従業員は、帰省や旅行等で家を空ける場合に業務用のPCを一緒に持ち歩くことも、家に置いていくこともリスクがあります。無用なトラブルを避けるためには、可能であればPC等は自社オフィスに置いてから休暇に入るべきです。
自宅に業務用のPCを置いておく、あるいは、自分が所有するPCをリモートワークで使用している場合、休暇中に家を空ける時は、PCの電源を落とすと同時に、ネットワークケーブルを外す、自宅のWi-Fi機器も電源オフする、等の措置で、少なくとも外部からの侵入を防止することができます。
休暇明けにPCを起動した際、上記と同様、OSやソフトウェアの修正プログラムを適用する必要があります。この場合、社内ネットワークに接続するPC等の多くがほぼ同時にアクセスするため、情報システム部門の指示に基づき対応すべきだと考えます。
もう一つ、特に注意するのは不審メールです。長期休暇明けはメールボックスに数多く蓄積されたメールを確認しなければなりません。場合によっては、メール確認だけでその日が終わってしまうかもしれません。そのため、注意力散漫になってしまい、通常時には無視するような不審なメールでも、送信元や内容を確認しないまま不用意に添付ファイルを展開する可能性が高くなります。攻撃者はこうした状況を想定して、不審なメールを送信してくるものです。面倒かもしれませんが、メールの送信元や内容をきちんと確認した上で、メールや添付ファイル等に対応することが必要です。
上記内容に関するご相談やお問い合わせについては、「お問い合せ」のページからご連絡ください。
デルタエッジコンサルタントでは情報セキュリティ全般にわたっての
・脆弱生の可能性を確認する簡易診断
・情報セキュリティに関する現状評価や見直し支援、ルール等の作成支援
・情報セキュリティに関する研修や訓練等の支援
等のコンサルティングサービスを提供しております。
詳細は、こちらのページをご確認ください。
==>「情報セキュリティ対策支援サービス」
興味や関心がございましたら、ぜひご連絡ください。
