2015年も残りあとわずかですね!
年末年始は長期休暇を予定されている方も多いのでないでしょうか?
家でのんびりしたり、旅行や帰省など、いろんな過ごし方がありますよね(*´v`*)
でも「長期間の連休で人が出社しないから、セキュリティ事故などは起きないだろう」なんて油断していませんか??
実際はむしろ連休のほうがセキュリティ面での不具合が発生していることが多いようです・・・!
そこで今回は、年末年始に陥りがちなセキュリティ面の管理ミスの現状とともに、どのように対策を進めるべきかについてお伝えします。
■年末年始に情報セキュリティの事故は発生する
例えば、普段からものすごく忙しい人すべてが年末年始の期間に限って、スパッと仕事を中断してしまうでしょうか?いえ、なかなかそうはいかないですよね ノ(´д`*)
年末年始に何か具体的な案件がない場合でも、「何かあったら困るから」と言って書類を家に持ち帰ったり、データをUSBメモリやCD、DVDなどに保存し、持ち帰っているかもしれません。
もし、家で仕事するようなことになると、セキュリティ対策を行なっていない環境で仕事をして大事なデータをまるごと流出してしまったり、年明け出社時にウイルス感染してしまったデータを企業内のネットワークに持ち込まれる可能性も・・・!
しっかりと日程管理ができているのであれば問題はないかもしれませんが、年末年始は稼働(営業)日数が少なかったり、「年内に片付けないといけない急ぎ仕事が入ってきた」といった駆け込み案件が増えるものです。本来あるはずの作業時間が圧迫され、当初計画した仕事を進められないかもしれません。
休み前になるとソワソワし、気が緩んで、普段では発生しないポカミスが発生することもあります。仕事を手っ取り早く終わらせようとするため、所在不明なソフトウェアを使ったり、仕事自体がおろそかになったり、普段では想像がつかない行動をすることもありますよね。
また、年末年始は忘年会や新年会も多いシーズンです!
パソコンやスマートフォンなどをどこかにウッカリ置き忘れてきたり、それらが丸ごと入ったカバンごと盗難に遭う可能性もあります。もし盗まれたカバンに機密情報が入ったデータがパスワードなしで入っていたとしたら、流出の可能性はぬぐいきれません ((((;゚Д゚)))
■事前に出来る、いくつかの対策は?
年末年始は、トラブルが発生したときに対応が遅くなる傾向があります。例えば、システム管理者が不在になる場面が多かったり、組織内の連絡が滞ったりするケースがあります。
また、担当者がトラブルになっていたとしても本人が気づいていなかったり、「まずい!」と思って隠蔽するケースも考えられます。
ウイルス感染や情報セキュリティの事故を防ぐためには、事前に傾向をつかんでおき、対策を行なうことが有効です。
■対策ができているか対策をいま一度確認しましょう
○連絡網・緊急時の連絡網は整備されていますか?
また、せっかく作ったのであれば連絡網は、十分周知、機能していますか?
・休暇時の連絡網は通常使用しているメールが通じないこともあるので、オフラインとなる場面も考慮しておきましょう。
○トラブル対応
・年末年始の前後に点検を行なう用意がされていますか?
・トラブルになった際の対応を決めていますか?
・トラブルになった際にシステム担当者が迅速に対応できる環境は整っていますか?
○休暇に備える
・使用しない機器(PC、プリンタ、サーバなどの機器、無線LANのアクセスポイントなど)は電源を切りましょう。
・情報を持ち出す際のルールは徹底されていますか?
・データのバックアップはとっていますか?
・クリスマスメールやあけおめメール(年賀状メール)などが来た際、きちんと対応できますか?
・重要な書類や外部記録メディアは鍵のかかる引き出しなどへ保管していますか?
■データ持ち出しのルール化をしておく
○持ち出しルールの徹底・組織外に企業のパソコンや機密データ等を持ち出す際のルールを明確にし、従業員に周知しましょう。
・パソコンやデータを紛失した場合に備え、適切な暗号化を行ないましょう。
・紛失等のトラブルに対応するための手続きが適切に運用できているか確認しましょう。
○情報漏えい対策ルールの徹底
持ち出したデータを利用する環境不全や、Winny等のファイル共有ソフトの不正利用による漏えい事故が起きないよう、従業員に情報セキュリティについて正しく伝えましょう。
○ツールでルール化してみる
IPA(独立行政法人 情報処理推進機構 )では、公開されているファイル共有ソフト(Winny、Winnyp、Share)による『情報漏えい』を防ぐためのソフトウェアを公開しています。利用を検討してみましょう。
情報漏えい対策ツール: http://www.ipa.go.jp/security/winny119/
■従業員の情報セキュリティの意識を高める
データ持ち出しやアクセス制限に関わる申請書が組織内に存在し、徹底したルール化がされていると、従業員に情報セキュリティへの意識を高めることができます。まだルール化を実行されていないのであれば、スムーズなルール化の第一歩として、書類作りから始めてみてはいかがでしょうか? (*・д・)b
下記は一例ですのでご参考ください。
- 社内ネットワーク接続申請書:新しい人が入ったりした際の書類。
- 端末持込申請書:BYOD(Bring Your Own Device)等、個人の機器を企業に持ち込む対策としての書類。
- ネットワーク機器登録申請書:新しい機器を入手した際の書類。
- 端末・ノートパソコン持出申請書:社有のパソコンなどを外に持ち出す可能性がある人向けの書類。
- リモート接続申請書:外出先や家で仕事をする人向けの書類。
- 情報セキュリティ事件・事故報告書:もし何かトラブルが発生した際に提出してもらう書類。
~・~・~・~・~・~・~・~・~・~・~・~・~・~
いかがでしたか。
この年末年始を機に、ぜひみなさんのセキュリティ環境を点検してみてくださいね (*゚▽゚)ノ
ページ下部の「いいね!」「ツイート」「g+1」「B!」をポチッと押して
ご家族、お友達にも、ぜひ情報をシェアしていただけると幸いです♪
-------------------------------------------------------
▼ セキュリティマガジンはどなたでも無料でご購読いただけます。
皆さんのお申し込みを心よりお待ちしています♪
-------------------------------------------------------
■ 免責事項について
-------------------------------------------------------
記事の内容には細心の注意を払っておりますが、
掲載された情報の誤り、内容を実施したことによって生じた不具合や
トラブル等に関して、ChatWork株式会社は一切責任を負わないものとします。
くれぐれもユーザー様ご自身の責任のもとでおこなっていただきますよう
お願いいたします。
