夏季休暇や年末年始など、企業が長期休暇に入ってしまう時期は、情報セキュリティの面において思わぬリスクが潜んでいます。こうした長期休暇中にトラブルが発生しないために、社員一人ひとりへの注意喚起を行うとともに、問題が起きないようにシステム管理者が対策を取る必要があります。ここでは、長期休暇に入る前に社員への情報セキュリティに対する注意喚起の方法や、会社として取るべき対策についてご紹介していきます。

年末年始に気をつけるべきセキュリティにおけるリスクとは？

年末年始などの長期休暇中は一般社員だけでなく、サーバー管理を行っているインフラ担当者や情報セキュリティ担当者も休暇に入ります。交代制で休暇を取る会社もありますが、トラブルの難易度によっては、出勤している社員では対応できないという事態にもなりかねません。

小さなトラブルでも情報漏洩などの大きなトラブルに発展してしまえば、関連会社や顧客にも被害が及ぶ可能性があります。そのため年末年始などの長期休暇中は、事前の対策が必要となってくるのです。まずは社内全体に情報や端末持ち出しのルール、休み明けのソフト更新を周知徹底させましょう。

さらにサーバー管理者やシステム管理者が長期休暇に入る前に、トラブル発生時の連絡体制の確認や、サーバーへのアクセス制限、データのバックアップといった対策を行うべきです。これらの対処をきちんと行うことで、長期休暇中の情報セキュリティ問題は起こりにくくなります。

では具体的に行うべきセキュリティ対策について、詳しく見ていきましょう。

年末年始の基本的なセキュリティ対策

IPA（情報処理推進機構）などが、年末年始の情報セキュリティに対する注意喚起を行っています。このIPAの情報をもとに、総務も含めた一般社員が年末年始の長期休暇前と休暇明けに行うべき対策をご紹介していきます。

修正プログラムの適用

会社が年末年始などの休暇中でも、PCのアプリケーションやOS、JAVAといった直接触れることがない実行環境の修正プログラムが配布されることがあります。重要なセキュリティに関するものが含まれる可能性があるため、年末年始の修正プログラムは最新のものを適応しましょう。

ファイルの更新

年末年始の長期休暇中に電源を落としているPCは外部から情報を得ることができないため安全ですが、危険なのは年始の仕事始めで電源を入れたとき。起動したらすぐにウィルス対策ソフトの定義ファイルを更新するようにしましょう。ウィルスソフトの定義ファイルを更新する際は、必ず定義のバージョンや更新日が新しいものになっているかを確認するようにしてください。

使用しない機器の電源を切る

PCやスマホ・タブレットといったモバイル端末などを長期休暇中に使用しない場合は、OSやアプリケーションなどの情報を最新にしたうえで、電源を切ります。また休暇明けも更新情報をチェックし、新しいファイルなどが配布されていれば最新のものにします。修正プログラムや定義ファイルの更新を自分の判断でできない場合は、上司やシステム管理者に聞いてから行いましょう。

メールの取り扱いの徹底

年末年始になると、有名企業を名乗った悪質なメールやウィルス添付の迷惑メールが会社のアドレスに送られてくることが増える傾向にあります。長期休暇明けのメールチェックは受信したすべてのメールの送信元アドレスを確認し、ウィルスチェックを行いましょう。メールを開封した際に不審なリンクは絶対にクリックしないように。

企業のシステム管理者が行うべきセキュリティ対策

社内のシステム管理を行っている担当者は、年末年始は特に情報セキュリティに対して対策を行い、不正アクセスやサーバー障害といったトラブルを回避するようにします。

情報取り扱いルールの周知と徹底

企業は取引先の会社や従業員、顧客データなど、さまざまな情報を取り扱っています。これらの情報の取り扱いについて、注意点や行ってはいけない行為など社内でルールをつくり徹底させます。

情報端末持ち出しルールの周知と徹底

従業員にノートPCやスマホ、タブレットなどで自社のデータの持ち出しを許可している企業は少なくありません。これらの持ち出しに関してきちんとルールをつくり、貸出名簿を作成するなどして、万が一のときに連絡を取りやすい環境を整えることが大切です。

特に自宅で使用する場合は、ネット接続の制限を設けていないと、会社の端末からネットにアクセスすることで外部から端末にアクセスされ、情報を盗まれてしまうこともあり得ます。また会社の端末を持ち出したとき、置き引きや盗難に遭うようなことも考えられるため、持ち出しのルールを徹底して守ってもらう必要があります。

緊急時の連絡体制を確認

年末年始は社員全員が休み、あるいは担当者が休みで連絡がつかないこともあります。長期休暇中はこのようなことを踏まえ、端末の紛失や盗難・情報漏洩・サーバートラブルなどを考慮する必要があります。関連会社や委託先を含めた緊急時の連絡先リストや対策手順などをマニュアル化しておきましょう。そのうえで社員に連絡体制を周知しておけば、トラブルの対応がしやすくなります。

アクセス制限の確認

年末年始はニューイヤーイベントと称して、不正アクセスなどが増える傾向にあります。そのため自社の情報システムやHPを設置しているサーバーなどのアクセス権限を確認しておきましょう。特に前任者から引き継いだ場合などは、設定が古いままになっている可能性もあるので、年末年始の長期休暇前に一度確認して、状況を把握しておくとよいでしょう。

サーバー内にある不要なサービスの停止

外部から接続可能なサーバーや、入れ替え・増設したばかりのサーバーは、不要なサービスが運用されたままになっていることがあります。年末年始の長期休暇中のトラブルを避けるためにも、休暇前にチェックし不要なサービスは停止させておくべきです。

データのバックアップ

年末年始の長期休暇中に、サーバーダウンやデータの消失、またウィルスに感染した場合のことを考え、システム管理者は長期休暇前にデータをバックアップしておくことが必須となっています。万が一、サーバー内のデータが破壊・消失された場合や、ウィルス感染してしまった場合は、バックアップデータを使用することで長期休暇前の状態に戻せます。

まとめ

今回は年末年始の長期休暇前に行っておくべきセキュリティ対策についてお話しました。 セキュリティ対策は、本来、長期休暇前後だから行うというものではなく、普段から行うことでトラブルを防ぐことができます。総務としては、日頃から社員への情報の取り扱いや端末貸出のルールなどを周知徹底し、協力してもらうことが大切。またセキュリティ担当は、OSなどの修正ファイルやパッチの更新、サーバーのアクセス管理やバックアップといった作業を定期的に行うようにしましょう。

セキュリティ対策は、会社全体で取り組むべきことです。全社員に意識づけを浸透させながら、特にリスクの高まる年末年始などの長期休暇前後は対策を入念に行い、トラブルを可能な限り防ぐようにしてください。