目次

  1. GW明け 始業前に確認したい情報セキュリティ
    1. 修正プログラムの適用
    2. 定義ファイル(パターンファイル)の更新
    3. 持ち出した機器のウイルスチェック
    4. 不審なメールに注意
  2. さらにセキュリティ対策を高める対策
    1. 共有設定を見直そう
    2. 脅威や攻撃の手口を知ろう

 IPAの公式サイトは、休暇明けの対策として以下の4つに注意するよう呼び掛けています。IPAが提唱する「情報セキュリティ5か条」も踏まえつつ紹介します。

 IPAは、中小企業自らが情報セキュリティ対策に取り組むことを自己宣言する制度として「SECURITY ACTION」を推進しています。「情報セキュリティ5か条」に取り組むことを宣言することで、1段階目である「一つ星」を使用することができます。これは、対外的に自社のセキュリティ対策への取り組みを示す指標となります。

 OSやソフトウェアが古いまま放置されていると、セキュリティ上の問題点、いわゆる「脆弱性」が解決されないまま残り、それを悪用したウイルスに感染してしまう危険性が高まります。ソフトウェアの開発元は、これらの脆弱性に対応するための修正プログラムや最新版を提供しています。

 長期休暇中にOS(オペレーティングシステム)や各種ソフトウェアの修正プログラムが適用されていない場合があります。修正プログラムの有無を確認し、必要な修正プログラムを適用してください。

 修正プログラムの適用は、システム管理者から指示するようにしてください。

対策例として、以下の点が挙げられています。

• WindowsUpdate(WindowsOSの場合)やソフトウェア・アップデート(macOSの場合)など、ベンダの提供するサービスを必ず実行しましょう。これにより、既知の脆弱性が修正され、安全性が向上します。
• Adobe Readerやブラウザなど、利用中のソフトウェアを最新版に更新しましょう。OSだけでなく、日常的に利用する様々なアプリケーションも常に最新の状態に保つことが重要です。
• 利用中のソフトウェアに脆弱性が存在しないか、MyJVN バージョンチェッカで確認しましょう。

 ID・パスワードを盗んだり、遠隔操作を行ったり、ファイルを勝手に暗号化するウイルスが増加しています。これらのウイルスは、システムに侵入し、情報の窃盗、システムの破壊、業務の停止など、深刻な被害を引き起こします。

 こうした脅威に対抗するためには、ウイルス対策ソフトを導入し、ウイルス定義ファイル(パターンファイル)を常に最新の状態に保つことが不可欠です。ウイルス対策ソフトは、悪意のあるプログラムの侵入を防ぎ、万が一侵入されてしまった場合でもその活動を検知・駆除するための基本的な防御策です。

 長期休暇中に電源を切っていたパソコンは、セキュリティソフトの定義ファイル(パターンファイル)が古い状態のままになっている場合があります。電子メールの送受信やウェブサイトの閲覧等を行う前に定義ファイルを更新し、最新の状態になっていることを確認してください。

 そのほかの対策として、以下の点が推奨されています。

  • 統合型のセキュリティ対策ソフトの導入を検討しましょう。ウイルス対策だけでなく、ファイアウォールや不正侵入検知など、複数のセキュリティ機能を備えたソフトは、より広範な脅威からシステムを守ることができます。
  • OSに標準搭載されているセキュリティ機能を有効活用しましょう。OSには基本的なセキュリティ機能が備わっている場合があります。これらを適切に設定し、活用することも重要です。

 長期休暇中に社員が持ち出していたパソコンや、データを保存していたUSBメモリ等の外部記憶媒体にウイルスが混入していないか、組織内で利用する前にセキュリティソフトでウイルススキャンをしてください。

 休暇明けのメールボックスには大量のメールが届いている場合があります。なかには、実在の企業などを騙った不審なメールも含まれています。

 こういったメールの添付ファイルを開いたり、本文中のURLにアクセスしたりすると、ウイルスに感染したり、フィッシングサイトに誘導されたりしてしまう可能性があります。

 不審なメールを受信していた場合、「添付ファイルは開かず」、「本文中のURLにはアクセスせず」、システム管理者に報告するよう指示してください。

 長期休暇明けに社員にセキュリティ対策を呼び掛けるのをきっかけに自社の対策を見直すきっかけにしましょう。セキュリティ対策を高めるには次のようなことも大切です。

 データ保管などのウェブサービスや、ネットワークに接続された複合機などの設定を間違ったために、無関係な人に情報を覗き見られるトラブルが増加しています。意図しない範囲でファイルや機器へのアクセスが許可されていると、機密情報が外部に漏洩してしまう可能性があります。

 無関係な人が、ウェブサービスや機器を使うことができるような設定になっていないか、定期的に確認しましょう。

• ウェブサービス、ネットワーク接続の複合機・カメラ、ハードディスク(NAS)などの共有範囲を限定しましょう。必要な人のみにアクセス権限を与えるように設定することで、情報の機密性を保ちます。
• 従業員の異動や退職時には、速やかに共有設定を変更(削除)しましょう。組織内の人事異動や退職に伴い、不要になったアクセス権限は迅速に削除することが情報漏洩防止につながります。
• テレワークで使用するパソコン等は他者と共有しないようにしましょう。個人の端末を複数人で共有すると、セキュリティ管理が難しくなり、情報漏洩のリスクが高まります。
• 共有せざるを得ない場合は、別途ユーザーアカウントを作成しましょう。ユーザーごとにアカウントを分けることで、それぞれの利用状況やアクセス権限を管理しやすくなります。
• 外出先でフリーWi-Fiを使うときには、パソコンのファイル共有をオフにしましょう。フリーWi-Fiのような不特定多数が利用するネットワーク環境では、悪意のあるユーザーが存在する可能性があるため、自身の端末の共有設定を無効にしておくことが安全です。

 近年、取引先や関係者と偽ってウイルス付のメールを送ってきたり、正規のウェブサイトに似せた偽サイトを立ち上げてID・パスワードを盗もうとしたりするなど、サイバー攻撃の手口はますます巧妙になっています。これらの手口を知らなければ、自身が被害者になるリスクが高まります。

 対策には以下のものがあります。

• IPAなどのセキュリティ専門機関のウェブサイトやメールマガジンで、最新の脅威や攻撃の手口に関する情報を入手しましょう。専門機関は最新のサイバー攻撃動向や対策情報を提供しています。
• 利用中のインターネットバンキングやクラウドサービスなどが提供する注意喚起を確認しましょう。各サービスプロバイダは、自社のサービスを狙った攻撃やその対策について情報提供を行っている場合があります。