ゴールデンウィークの休暇が近づいており、旅行等を楽しみにされている方も多いのではないでしょうか。

しかし長期休暇時は攻撃メール等によるウイルスへの感染や外部に持ち出した機器からの情報流出等、

セキュリティ事故の発生が多くなる時期です。さらに管理者が不在になることで対応が遅れ、被害が

拡大する恐れも高くなります。

その上今年は３月にEmotetの活動再開が確認されており、例年以上に注意が必要と言えるかと思います。

IPA（情報処理推進機構）が長期休暇における情報セキュリティ対策について発信しています。

組織の利用者向け、組織のシステム管理者向け、家庭の利用者向けにそれぞれ対策が掲載されていますが、

ここでは、組織の利用者向けに紹介されている対策を引用、ご紹介いたします。是非ご一読ください。

組織の利用者が実施するべき対応

長期休暇前の対策

機器やデータの持ち出しルールの確認と遵守

長期休暇期間中に、社外での対応が必要となるなど、パソコン等の機器やデータ等の情報を持ち出す場合は、持ち出しルールを事前に確認し遵守してください。

使用しない機器の電源OFF

長期休暇中に使用しない機器は電源をOFFにしてください。

長期休暇中の対策

持ち出し機器やデータの厳重な管理

自宅等に持ち出したパソコン等の機器やデータは、ウイルス感染や紛失、盗難等によって情報漏えい等の被害が発生しないよう、厳重に管理してください。

長期休暇明けの対策

修正プログラムの適用

長期休暇中にOSや各種ソフトウェアの修正プログラムが公開されている場合があります。修正プログラムの有無を確認し、必要な修正プログラムを適用してください。なお、修正プログラムの適用については、システム管理者の指示に従ってください。

定義ファイルの更新

長期休暇中に電源を切っていたパソコンは、セキュリティソフトの定義ファイル（パターンファイル）が古い状態のままになっています。電子メールの送受信やウェブサイトの閲覧等を行う前に定義ファイルを更新し、最新の状態になっていることを確認してください。

持ち出し機器のウイルスチェック

長期休暇中に持ち出していたパソコンや、データを保存していたUSBメモリ等の外部記憶媒体にウイルスが混入していないか、組織内で利用する前にセキュリティソフトでウイルススキャンを行ってください。

不審なメールに注意

実在の企業などを騙った不審なメールに関する相談が多く寄せられています。こういったメールの添付ファイルを開いたり、本文中のURLにアクセスしたりすることで、ウイルスに感染したり、フィッシングサイトに誘導されたりしてしまう可能性があります。長期休暇明けはメールが多数溜まっていることが想定されますので、特に注意してメールチェックを行ってください。不審なメールを受信していた場合、「添付ファイルは開かず」、「本文中のURLにはアクセスせず」、各組織のシステム管理者に報告し、指示に従ってください。

IPAのサイトでは、上記の組織のシステム管理者向けの対策の他に、組織のシステム管理者向け、家庭の利用者向けの対策も記載されています。是非合わせてご確認ください。

従業者教育の重要性

漏えい等の事故の原因の大部分は不注意などの人的なミスだと言われています（参考：JPACブログ過去記事）。サイバー攻撃においても、人の不注意や隙といった脆弱性を狙うソーシャルエンジニアリングという手法があります。メール受信者をだましてリンクをクリック等させようとするEmotetもソーシャルエンジニアリングの手法を用いていると言えます。

人的なミスとしてよくあげられるメールやFAXの誤送信の場合は漏えいの件数が比較的少ない傾向にありますが、Emotetに感染してしまうと社内のデータが大量に流出したり、なりすましメールが取引先等に送られるなど、より大きな被害が発生します。

ソーシャルエンジニアリングへの対策としては、組織体制の整備等も考えられますが、従業者への教育、リスクの周知徹底が非常に重要であると言えます。

当機構では従業者教育の一環としてご活用いただける研修付きの個人情報保護資格制度を運営しております。組織内での立場に応じた教育をご用意しており、しっかりと個人情報保護への意識を高め、リスクを周知することが可能です。また、スポットでの集合研修もご相談が可能です。ご興味をお持ちの際はお気軽にお問い合わせください。（お問い合わせフォームはこちら）