長期休暇前後に起こり得るトラブルとその対策とは

　8月に、長期の夏期休暇を予定している企業は多いことでしょう。夏期休暇のような全社員が不在となる長期休暇中は、社内のシステムにセキュリティ問題が発生しても迅速な対応ができなかったり、社員が自宅作業のためにPCなどを持ち出した際の紛失トラブルが起きたりするケースがあります。また、緊急対応のために、急遽出社しなければならないということも起こり得るでしょう。

　悪意のある第三者にとって社員がいない長期休暇中は、不正アクセスやウイルスメールの送信など、セキュリティトラブルを引き起こす絶好の機会といえます。情報セキュリティ対策は、いつも以上の備えを考えておくべきでしょう。今回は、長期休暇中に起こり得るトラブルを防ぐための対策を紹介します。

長期休暇中に起こり得るセキュリティインシデント

　長期休暇中に起こり得るセキュリティインシデントとしては、物理的なケースと情報資産のケースが考えられます。物理的なケースとしては、社外秘などの重要書類や、PCなどの機器・設備といった、情報が記録された「物」の盗難・紛失が挙げられます。

　一方、情報資産のケースとしては、社内システムやPCにデータとして保管された顧客情報や営業資料、事業計画などの不正アクセスによる情報漏えいが挙げられます。物理的なケースより持ち出される情報量は多くなる可能性が高いため、そのリスクは計り知れません。

　また、長期休暇中も稼働しているシステムへの不正アクセスは、被害が甚大になる可能性があります。システム管理者も長期休暇中のため発見・対応が遅れるからです。

　さらに、長期休暇にあたって社員がノートPCやUSBメモリといった機器を持ち帰っていた場合、紛失やウイルス感染するリスクもあります。この場合も問題の発覚や対処が通常時と比べると遅くなる可能性は否めません。

長期休暇前後にやっておくべきセキュリティ対策

　長期休暇中に起こり得るトラブルにどう対処すればいいのでしょうか？　具体的な対策としてIPA（情報処理推進機構）による「長期休暇における情報セキュリティ対策」を、「長期休暇前」「長期休暇後」に分けて紹介します。

　「長期休暇前」として、まずPCはOSやウイルスソフトのアップデートを行い、最新の状態にした上で、休暇前の最終日には全てのネットワークから個人PCを切り離し、PCを含む社内にある全デバイスの電源を落とします。

　システム担当者は最悪の状況に備えて重要なシステムのバックアップを行うほか、稼働させておく必要がある機器については、緊急対応のためにリモートアクセスの設定を行っておきます。

　なお長期休暇中は、緊急時にシステム担当者がすぐオフィスに出社できるとは限りません。社外からアクセスする権限を持った社員同士で、連絡を取り合える体制を日頃から構築しておきましょう。

　次に、全社員を対象に、機器やデータの持ち出しルールを定めましょう。機器を持ち帰らないに越したことはないのですが、業務上どうしても必要な場合は、持ち出すものを上長に報告する、顧客データが入ったものは持ち出さない、紛失した場合の対応を明確にしておくことが大事です。

　そして忘れてはならないのが、「オフィスの施錠」「防犯カメラの起動状況の確認」といった、物理的なセキュリティです。システム面でどれだけ堅牢な対策を行っても、セキュリティインシデントはシステムの外から発生するケースもあります。必ず施錠や防犯カメラの最終確認を行うようにルールをつくり、管理責任者を決めておきましょう。

　続いて、「長期休暇後」の手順ですが、休暇後にPCなどの機器を立ち上げたら、真っ先にOSやセキュリティソフトのアップデートをしましょう。万が一、休暇中に重大なセキュリティホールが発見されていた場合、対策が施されたアップデートを行わずにインターネットに接続するのはリスクを伴います。メールを開封する際は、標的型メールなどが送られている可能性もありますので、添付ファイルの開封や記載されているURLをクリックする際は、細心の注意を払いましょう。

　ノートPCやUSBメモリなど、休暇中に外部へ持ち出した機器は、社内のネットワークに接続する前にウイルスの感染などがないかチェックします。そして、持ち出しの許可を得た上長やシステム担当者に対し、感染チェックをクリアしたことを示すチェックリストを提出しましょう。システム担当者は、社内システムに対して不審なアクセス、侵入の痕跡がないかログを確認します。

システム担当者が不在時のトラブル！どうする？

　大企業から中小企業までいえることですが、社内システム管理の極端な属人化はリスキーです。悪意のある第三者によるアクセスがなくても、機器のトラブルなどにより、本来稼働しているはずのシステムが長期休暇中に停止し、業務に支障をきたすこともあるでしょう。長期休暇中でシステム担当者が不在の場合でも、業務機能が停止しないような、安定した体制を構築する必要があります。しかし、システム担当者に常時連絡可能という状況は非現実的です。

　その備えとして、システムの保守・運用のアウトソーシングが考えられます。システムトラブルの原因は複層的なことが多いので、保守を一元化して任せられる専門家に依頼しておくと安心でしょう。

　またセキュリティ事故の発見が遅れて対応が後手に回らないようにするために、監視サポート体制も考えておきたいところです。専門家が通信状態をモニタリングする体制なら、不正な通信などがあった場合にすばやく検知して、被害の拡大を防ぐことができます。

　本記事では「長期休暇時のトラブル対策」というテーマで解説しましたが、今後は夏期休暇や年末年始以外でも、システム担当者や責任者が数日間不在となるケースは、日常的に増えてくることでしょう。

　その要因の1つは、2019年4月から施行された年次有給休暇取得の義務化です。これによって、休暇の取得時期が多様化しつつあります。つまり、セキュリティインシデントの際に必要な人間が社内にいないケースが、1年中いつでも発生し得るのです。夏期休暇をきっかけに、社内のセキュリティ体制を見直してみましょう。