この度、10月1日〜3日に開催される「DX総合EXPO」に出展することが決まりました!前回6月にも出展したDX総合EXPO、会場は東京...
長期休暇前必須!セキュリティ対策チェックリスト13選!
目次
こんにちは!ワニたんです。
お盆休みはどのように過ごされましたか?
連日多忙な業務でお疲れのことと思いますので、大型連休くらいはのんびり過ごしたいですよね。
(ワニたんも家族と自宅でのんびり過ごしていました!)
しかし、長期休暇中はセキュリティ担当者の不在や羽を伸ばした先でのセキュリティ被害など、セキュリティリスクが高まる期間です。せっかくの楽しい時間を過ごしている間に痛い目に合うなんてこともあるのです。
そんな大惨事を起こさないために、今回は長期休暇前に必ずしておくべきセキュリティ対策についてまとめました。
長期休みに懸念されるセキュリティリスクと対策
リスク① 古いバージョンで脆弱性を突かれる
ネットワーク機器、ソフトウェアなどのバージョンを最新にしておかないと、休暇中は特に担当者が不在なことをいいことに、第三者がサイバー攻撃などを仕掛けてくるリスクが高まります。
⇒リスク①の対策
休みに入る前に脆弱性診断を行い、対策の必要がある機器やソフトウェアのバージョンを最新にアップデートしておきましょう。
リスク② データが改ざんされてしまう
セキュリティ対策ツールを導入していたとしてもすり抜けられてしまうケースもないとは言い切れません。外部からアクセスできるネットワークを保持している企業の場合は特に、第三者によるデータの改ざんが起きてしまう可能性があります。
⇒リスク②の対策
万が一被害が起きても復元できるよう、データのバックアップを取っておきましょう。バックアップデータ自体がランサムウェア攻撃によって暗号化されてしまう被害もあるため、ネットワークで繋がらないよう対策することも大切です。
リスク③ 公開されたネットワークの利用により不正アクセスされる
長期休暇、外出先でどうしても作業をしたいとき、パブリックネットワークを利用してしまうことも少なくありません。しかし、誰でも利用できてしまうパブリックネットワークは安全性が低いネットワークであり、第三者によって不正アクセスされてしまう可能性もあります。
⇒リスク③の対策
休暇前にそのようなリスクがあることをしっかり全社員に周知することはもちろん、各社員はできるだけパブリックネットワークを利用しないことが重要です。どうしても作業をしたい場合は、誰でもアクセスできるようなパブリックネットワークではないことや、暗号化通信に対応しているネットワークかどうかを確認しましょう。
リスク④ 社員のSNS投稿でトラブルが多発
休暇中は多くの人が旅行に行ったり実家に帰ったりと楽しい時間を過ごすことと思います。楽しい思い出をSNSに気軽に投稿できる時代ですが、個人が特定されているSNSアカウントで長期間の旅行計画などを書き込むことは危険です。悪意のある第三者が担当者の不在を狙って攻撃してくる危険性があります。また、DMによるなりすましで個人情報を抜き取られたり、SNSを乗っ取られたりというリスクもあります。注意力が散漫になる長期休暇は特に注意しましょう。
⇒リスク④の対策
SNSを投稿する際は、機密情報や個人情報が特定されるような投稿は絶対にしてはいけません。また、会社全体でSNSの利用に関するリテラシー教育も行うようにすることで、社員のリスクに対する理解度が高まります。注意力が散漫になる長期休暇は、SNSの利用に特に注意しましょう。
リスク⑤ 休暇中に社員が機密情報を持ち帰り、外部に漏洩してしまう
普段会社に出勤して作業している人も、長期休暇中は何かあったときのためにPCや資料を持ち帰るってしまうこともあるでしょう。しかし、何も対策しないまま外出先や自宅で作業をしてしまうと機密情報を漏洩するリスクがあります。
⇒リスク⑤の対策
機密情報が記載された書類の持ち出しは禁止するといったルールづくり・周知の徹底や、安全なリモートアクセスが可能なツールを導入することで社外での作業でも情報漏洩のリスクを下げることができます。
セキュリティ担当者が長期休暇前に社員へ周知すべきチェックリスト
チェックリスト | ポイント | |
---|---|---|
☑︎ | ①システムのアクセスについて | 社内の機密情報やシステムに対するアクセスを制限し、必要な場合はVPN(インターネット上に仮想の専用線を設定し、特定の人のみが利用できる専用ネットワーク)などの安全なリモートアクセスを使用するよう社員に促す。 |
☑︎ | ②セキュリティポリシーと手順 | 休暇前に社員にセキュリティポリシーと手順を復習させ、情報の適切な取り扱いとセキュリティ意識の向上を図る。 |
☑︎ | ③情報の持ち出しルール | 休暇中は社内のデバイスやシステムにアクセスせず、会社の情報を持ち出さないよう社員に徹底を促す。持ち出しがどうしても必要な場合は承認を得るよう社員に伝える。 |
☑︎ |
④電話などによるパスワードの 盗み出し |
ソーシャルエンジニアリング攻撃と言われるような電話などによるなりすましやパスワードの盗み出しの対策について教育する。 |
☑︎ |
⑤バージョンアップと パッチ適用 |
休暇中のモバイルデバイスやパソコンのセキュリティソフトウェアを最新の状態に保ち、セキュリティパッチを適用するよう社員に指示する。 |
☑︎ |
⑥不審なメールやリンクへの 注意喚起 |
不審なメールやリンクに注意し、不審なメールやリンクがあれば速やかに報告するよう社員に促す。 |
☑︎ | ⑦SNS投稿について | 家族や友人との会話やSNS投稿に注意し、会社の機密情報やセキュリティに関わる情報を漏洩させないよう社員に周知する。 |
☑︎ | ⑧緊急時の対処 | 休暇中もセキュリティアラートや通知をチェックし、緊急時の対応が必要な場合は速やかに対処するよう社員に指示する。セキュリティ被害の報告手順を社員に明確に伝え、緊急時の対応が迅速に行われるよう確認する。 |
☑︎ | ⑨パスワードの管理や設定 | パスワードの適切な管理と強力なパスワードの使用を徹底し、複数認証などの利用を推奨する。 |
☑︎ | ⑩物理的なセキュリティ対策 | 物理的なセキュリティ対策(施設の鍵の管理や閉鎖回路テレビの監視)を確認し、不正侵入や盗難のリスクを最小限に抑える。 |
☑︎ |
⑪デバイスやシステムの共有 について |
会社のデバイスやシステムを家族や友人と共有しないよう社員に徹底する。 |
☑︎ |
⑫オンラインサービスの利用 について |
休暇中のオンラインサービスの利用において、偽のウェブサイトや詐欺に注意し不審な行動があれば速やかに報告するよう社員に促す。 |
☑︎ |
⑬クラウドサービスの利用 について |
社員が利用するクラウドサービスや共有ファイルのアクセス権を適切に管理し、不正アクセスを防止する。 |
もしもセキュリティ被害に遭ったら…
これまで本ブログで解説してきた休暇中のセキュリティリスクには、情報漏洩に関連する脅威が多く挙げられました。普段から注意しなければならない情報漏洩ですが、長期休暇中は特に社員が遠出をしたりPCの扱いが自由に行われてしまったりなどリスクが高くなります。
情報漏洩を絶対にしないようにするという対策はもちろんですが、自社のセキュリティ対策とは関係なく、自社で利用しているサービスが原因となり情報漏洩してしまうケースも少なくありません。
⇒メールアドレスを入れるだけ!自社の漏洩状況をチェック!
そこで我々SMSデータテックは、第三者が悪用するために個人情報が取引されている「ダークウェブ」という一般人は通常閲覧できない深層にあるブラウザを監視して企業の個人情報流出を発見するツール「ダークウェブアイ」を開発しました。
ダークウェブアイは現在特許出願中の最新技術を活用し、リアルタイムで情報漏洩の結果を可視化することが可能です。企業のメールアドレスを入力するだけでリスクが分かります。このツールはIBMのDXチャレンジ2022でベストテクノロジー賞にも選ばれました。
自社で情報漏洩が起きていないか、現状を確認してみてはいかがでしょうか。
おすすめイベント・セミナー 一覧へ
9月25日(水)に「【生成AI vs 生成AI】脅威にも対策にもなるって本当?」のセミナーを開催いたします。 生成AI あなたはこの言...
2024年9月10日(火)に、簡単にパワポを作成できる「パワポ生成AI」についてのセミナーを開催いたします。 8月9日に開催した同様の...