情報処理推進機構(IPA)は、多くの人が年末年始の長期休暇を取得する時期を迎えるにあたり、長期休暇における情報セキュリティ対策を案内している。長期休暇の時期は、「システム管理者が長期間不在になる」、「友人や家族と旅行に出かける」など、いつもとは違う状況になりがちだが、このような場合、ウイルス感染や不正アクセス等の被害が発生した場合に対処が遅れたり、SNSへの書き込み内容から思わぬ被害が発生したりする。
最近では外出自粛等の影響により、逆に家でパソコンなどを利用する時間が長くなり、ウイルス感染やネット詐欺被害のリスクが高まることも考えられる。これらのような事態とならないよう、(1)組織のシステム管理者、(2)組織の利用者、(3)家庭の利用者、のそれぞれの対象者に対して取るべき対策をまとめている。長期休暇における情報セキュリティ対策は、管理者向け、利用者向けにそれぞれ休暇前と休暇明けとに分けて案内している。
管理者向けの長期休暇前の対策としては、不測の事態が発生した場合に備えて、委託先企業を含めた緊急連絡体制や対応手順等が明確になっているかを確認することがある。具体的には、連絡体制の確認(連絡フローが現在の組織体制に沿っているか、など)、連絡先の確認(各担当者の電話番号が変わっていないか、など)、社内ネットワークへの機器接続ルールの確認と遵守を挙げている。
ウイルス感染したパソコンや外部記憶媒体等を社内ネットワークに接続することで、ウイルスをネットワーク内に拡散してしまうおそれがある。長期休暇中にメンテナンス作業などで社内ネットワークへ機器を接続する予定がある場合は、社内の機器接続ルールを事前に確認し遵守することや、長期休暇中に使用しないサーバ等の機器は電源をOFFにするよう注意を喚起している。
一方、長期休暇明けの対策では、長期休暇中にOSや各種ソフトウェアの修正プログラムが公開されている場合があるので、修正プログラムの有無を確認し、必要な修正プログラムを適用する。また、長期休暇中に電源を切っていたパソコンは、セキュリティソフトの定義ファイル(パターンファイル)が古い状態のままになっている。電子メールの送受信やウェブサイトの閲覧等を行う前に定義ファイルを更新し、最新の状態にする。
そのほか、サーバ等の機器に対する不審なアクセスが発生していないか、各種ログを確認し、もし何らかの不審なログが記録されていた場合は、早急に詳細な調査等の対応を行う必要がある。なお、IPAでは、長期休暇に限らず、日常的に行うべき情報セキュリティ対策も公開している。被害に遭わないためにもこれらの対策の実施を勧めている。
長期休暇における情報セキュリティ対策は