多くの企業や組織ではまもなく大型連休に入ります。一般に連休シーズンはセキュリティインシデントが発生しやすくなるものです。今回は、「休暇前」「休暇中」「休暇後」のパート別に従業員が行うべき対策と注意点を紹介します。
休暇中もセキュリティ意識を持つことが大切
大型連休に起こりやすいセキュリティインシデントには次のようなものがあります。「従業員が持ち出した機器の盗難、紛失、マルウェア感染」「従業員が持ち出した業務データの漏えい」「企業内ネットワークへの不正侵入をきっかけとしたマルウェア感染と情報漏えい」「DDoS攻撃(標的のWebサイトに集中的にアクセスして大量の処理負荷を与えることで、サービスを停止に追い込む攻撃)によるサービスの停止や遅延」などです。長期休暇に入る前にあらためて対策を確認しておきましょう。
休暇前に行うべき8つの対策
従業員が長期休暇に向けて行うべき対策として以下に8つの項目を示します。これらは、勤務先と自身をさまざまなセキュリティ脅威から遠ざけるために日頃から実践したい対策でもあります。
1.勤務先のセキュリティポリシーやガイドラインを確認し、遵守する
組織から貸与された機器やデータの持ち出し、外部からの組織内ネットワークへの接続、私用の端末やインターネットサービスの利用などは、勤務先に認められている場合に限ります。勤務先に無断でとった行動が原因で情報漏えいなどが生じた場合、懲戒の対象になるだけでなく、損害賠償を請求される可能性もあります。勤務先によって定められたセキュリティポリシーやガイドラインを確認し、遵守しましょう。
2.緊急連絡体制と対応手順を知っておく
セキュリティインシデントが発生した場合に迅速に対応できるよう、自組織内にとどまらず子会社や関連会社、取引先なども含めた緊急連絡体制と対応手順を押さえておきましょう。テレワークの導入で社内規定が変更されている場合もあるため、最新のものに目を通しておきましょう。
3.スマホやタブレット端末、パソコンなどの機器を厳重に管理する
休暇にあたって勤務先に置いておくパソコンなどの機器は電源を切り、ネットワークから切り離しておきましょう。これにより、外部からの不正アクセスによるマルウェア感染や情報漏えいのリスクを低減できます。また、盗難を防ぐため、帰宅時に機器を錠付きの引き出しやロッカーにしまっておくことも忘れてはなりません。勤務先から貸与されたスマホやタブレット端末についても休暇中に紛失したり、私的使用したりしないようにしてください。
4.OSやソフトを最新バージョンに保つ
一般にパソコンのOSやソフトの開発元から更新プログラムが提供された場合は速やかに適用することが推奨されます。OSやソフトの脆弱性(セキュリティの弱点)を悪用してマルウェアに感染させる手口もあるためです。ただし、企業によっては更新プログラム適用による社内システムへの影響を事前に検証し、その上でアップデートのタイミングを従業員に指示する場合もあります。勤務先の規定に従いましょう。
5.セキュリティソフトを適切に更新しながら利用する
セキュリティソフトを利用することでマルウェアに感染したり、不正サイトにアクセスしたりしてしまうリスクを下げられます。セキュリティソフトを適切に更新しながら利用し、最新の脅威からも身を守りましょう。
6.インターネットサービスのアカウントを厳重に管理する
WebメールやMicrosoft 365などへの不正ログインを防ぐためには、「サービスごとに異なるIDとパスワードの組み合わせを使用すること」「第三者に推測されにくく、なるべく長くて複雑なパスワードを設定すること」「可能であれば二要素認証機能を有効にすること」が必須です。勤務先に定められた方法でアカウント情報を管理してください。他人の目につく場所にパスワードを置いておくのは論外です。メモとして管理する場合も、一部を歯抜けにしておくなど容易に第三者が悪用できないようにしておきましょう。
7.パソコンやスマホの画面をロックする
パソコンやスマホ、タブレット端末から目を離すときは必ずスクリーンロック(画面ロック)をかけましょう。これは端末を専用のロック画面に切り替えることで第三者に作業内容を盗み見られたり、勝手に操作されたりすることを防ぐ仕組みです。使用再開時に用いるパスワードやPIN(4桁以上の暗証番号)には第三者に推測されにくいものを設定してください。また、ロック中の画面に業務関連のメッセージや予定のプレビューが表示されないよう、通知設定も確認しておきましょう。
8.バックアップをとる
パソコンの盗難や紛失、故障、マルウェア感染などに伴うデータ消失への備えも必須です。日頃から重要なファイルのコピーをとり、勤務先に指定された場所に保管しておきましょう。勤務先に無断で私用のクラウドストレージや外付けハードディスクを使用するのは厳禁です。
休暇中に注意するべきこと
1.偽警告にだまされない
「ウイルスに感染している可能性があります」などの警告メッセージを表示するWebサイトにはくれぐれも注意してください。たとえ不安を覚えても警告メッセージ内のボタンを不用意に押してはいけません。それらの多くはデタラメで、サポート詐欺サイトなどの入り口になっているためです。
2.メールの真偽を慎重に確認する
たとえ著名な企業や実在する人物からのメールでも何らかの理由をつけてURLリンクや添付ファイルを開かせようとしたり、電話をかけさせようとしたりするものは疑ってかかりましょう。たとえば、情報システム部門の担当者をかたって「パスワードの更新が必要」などと呼びかけるメールはフィッシングサイトにつながっているかもしれません。少しでも怪しいと感じた場合はメール以外の手段で差出人とされる人物に事実確認をするか、セキュリティ担当者に通報しましょう。また、業務用サービスなどのアカウントへのログインはブックマークに登録した公式サイトか社内ポータル経由で行うことを習慣づけてください。
3.スミッシングやヴィッシングに引っかからない
スミッシング(SMSによるフィッシング詐欺)の被害も後を絶ちません。実在する配送業者をかたって「不在のため持ち帰りました」などと呼びかける偽の不在通知メッセージから不正サイトに誘い込まれないよう注意しましょう。ヴィッシング(音声によるフィッシング詐欺)は立場などを偽ってもっともらしい要件を述べ、標的とする企業の従業員から情報を聞き出す手法です。取引先や支社の従業員になりしまして特定の社員の連絡先を聞き出そうとする電話がかかってくるかもしれません。
4.勤務先のテレワーク規定に従う
休暇中にカフェや自宅で仕事をするケースもあるかもしれません。その場合、セキュリティが強固なオフィスでの勤務時に比べて情報漏えいやマルウェア感染などのリスクが高くなります。勤務先のテレワーク規定を確認し、それに従ってください。カフェなどの公共の場での作業時は盗み見や盗み聞きによる情報漏えいのリスクもあります。ネットワークの安全性に加え、周囲の環境にも留意しましょう。
休暇後に行うべき3つの対策
1.OSやソフトの更新プログラムの有無を確認し、必要に応じて適用する
OSやソフトのアップデート情報をチェックしてください。休暇中にそれらの開発元から更新プログラムが提供されているかもしれません。ただ、企業によって更新プログラム適用のルールは異なります。勤務先の規定に従ってください。
2.持ち出し機器のウイルス検索を行う
社外に持ち出していた業務用のパソコンやスマホ、USBメモリなどのウイルス検索は必須です。セキュリティソフト/アプリを最新の状態にした上でスキャンを実行してください。感染が疑われる場合はセキュリティ担当者に報告して指示を仰ぐなど、勤務先が定める手順どおりに対処してください。
3.メールのチェックを慎重に行う
長期休暇明けは大量のメール対応に追われ、スパムメールへの警戒を怠りがちです。メールの真偽を確認することなくURLリンクや添付ファイルを不用意に開いてはいけません。日頃からメールの真偽を確認することを習慣化しておくとよいでしょう。不審なメールを見つけた場合はセキュリティ担当者に報告し、指示を仰いでください。
Copyright © 2023 Trend Micro Incorporated. All rights reserved.
