【再確認】今年2019年ゴールデンウィークのセキュリティ対策

年末年始、ゴールデンウィーク、お盆休みなど、毎年お決まりの長期休暇前には、必ずセキュリティ対策の確認が各所より出てきます。今回ちょっと違うのは改元に伴い、休みが長めになることです。

でも、その対策内容に大きく変わりはありません。毎回(年)多少のトレンド事件的なものはありますが、特別目新しいものが増えている訳でもなく、一度キッチリ確認してしまえば、その後はメンテナンス程度の確認だけで十分と考えています。

ここではIPAのゴールデンウィークにおける情報セキュリティに関する注意喚起について確認していきます。

まず3つの大項目は、1.組織のシステム管理者向け、2.組織の利用者向け、3.家庭の利用者向けに別れています。また各項目は、長期休暇前、休暇中、休暇明けについて書かれています。組織の利用者向けについてピックアップしてみます。

■ 組織の利用者向け

~ 長期休暇前の対策 ~

1.機器やデータの持ち出しルールの確認と遵守

読めば「当たり前だろう!」なことなのですが、セキュリティ事故には必ずそれっぽい大義名分のような言い訳がついています。

休み前に終わらなかった仕事のデータだから仕方ないとか、持ち帰りたくないけど業務止めるわけにも行かないし…、休み明けにそのまま動けるように持って帰っとこう等々、基本的には何よりも仕事を優先する方々なのですが、それと遵守ルールは違います。

持ち出す機器やデータは、通勤道中の紛失盗難や、自宅保管中に泥棒が入ったなど、経験的に普段の土日とかよりも発生確率が高いように思います。

2.社内ネットワークへの機器接続ルールの確認と遵守

これも上記の1に連動しますが、普段使用しない媒体からウィルス感染したり、何らかの不具合が出たりと通常以外の使い方が誘発するトラブル等です。それでも無理に繋げようとすると、何かのセキュリティ対策を遮断したりしなければならず、結果大体いいことはありません。

3.使用しない機器の電源OFF

電源が入っていない機器は、それ自体が熱による発火もしませんし、外部ネットワークから繋がることもありません。こういう物理的に電源が入ってないものは、どれだけ頑張っても動きようがありません。

最近はWi-Fi環境ですが、以前は使わないときにLANケーブルを物理的に外ことを習慣にしていました。おそらく懐かしいと思い方も多いかと………こういう物理対策は最強ですw

~ 長期休暇中の対策 ~

4. 持ち出し機器やデータの厳重な管理

前項目の1と重複します。それでも持って帰ったものは、厳重に管理して下さい!ってことです。状況にもよりますが、できるだけ持ち出さずに済む方法を考えるのもリスク回避です。何が起きるかわからない危険を伴っているので、持ち出しには大きな責任があるってことを必ず考えなくてはなりません。

~ 長期休暇明けの対策 ~
5.修正プログラムの適用

これは何とも言いようがないのです。通常新しいものは古いものに問題があったりして改善されたものが出てくるのですが、その新しいものが当たり付のケースが稀にあります。要は新しいものを適用すると、適用前より問題が出たり、最悪動かなくなる等々、大当たりになってしまうのです。こればかりは何ともわからないです。毎回、検索してチェックするってことをすれば多少は当たらなくなるかもですが、最新のものだと検索に出てこないなど…どうすればいいのですかね? ヤバイかもということだけを知り、あとは当たりを引かない!という気迫くらいしか思いつきませんw

6.定義ファイルの更新

ウィルス対策ソフトの更新ファイルは、長期休暇になるほど更新されてない期間も更新量も多くなります。休み明けにロケットスタートの如くバリバリ業務を進めたいのに、更新待ちなんかしてられない…よくわかります。しかし、ちょっとの時間を待てなかったために、もっと多くの時間とセキュリティ事故という犠牲を払うならば、ここはキッチリしていた方が全然いいですよ。

これも事故がおきると、○○だから、△△だったから、など、それなりの事情は出てきますが、これは事故後の後付でしかありません。

7.持ち出し機器のウイルスチェック

上記の6を行った後にやっておきましょう。順番は必ず6の後でなければ意味が無いです。これも多少の時間と手間は要しますが、こういうちょっとした地道な積み重ねを怠らないことが重要です。でもこれって、セキュリティ以外でも十分に必要なことだと思うのですが実践率は高くないのが残念なところです。

8. 不審なメールに注意

不審なメールは開かない!とか、パスワードは英数記号でなきゃダメ!みたいな最も正しく理想的セキュリティな方々が多くいます。だったらダメじゃなくて、まず実践的なこと言ってからダメ出しする!パスワードの作りから教えろよ!って話です。パスワードについてはこちらを参照下さい。

メールにしても、不審と思って開くメールってあるのでしょうか? 特殊な事情でもなければ、ほとんどの方は不審と思っているメールを開かないと思います。不審なメールと思えないから開くのであって、それがトリガーとなり後に傷口を拡大して行っているだけです。

・前項目6の対策で、多少は危険も軽減できます。

・変な長ったらしいURL、○○.com/4b6d97ac8987e0c47fe22eb76 や、短縮URL ○○.com/zt2dh1z みたいな飛ぶまで何かわからないものは、クリックしない。アドレス(固有な長ったらしい部分より前)を検索してみるなどである程度は確認できます。見た目、何か変と思うような違和感を大切にすれば、何かちょっとした差異に気づきやすくなると思います。

・添付ファイルか、変な誘導先のURLに注意くらいしかありません。

本文に書かれた文字を読んで気分が悪くなるような表現があっても、ここでいう問題にはなりません。と言っても、直接影響を与える攻撃と考えれば、敵視点に立てばそれで成功なのかも知れません。

長期休暇になればなるほどメール数も多く溜まり、見落としが出てきそうです。

1.結論としては、機械的に出来るウィルス対策のようなものは、最新状態にしておく。

2.目視確認をしなければわからないものについては、いつも以上に慎重に注意して操作する。

本当に基本的な「こういうことが一番大切」です。

The following two tabs change content below.

新倉茂彦

TCNIC Co., Ltd. 代表取締役 / セキュリティプロデューサー / M.B.A. 経営情報学修士 / 密教学修士ブログ
日々,目の前で起きる「セキュリティ」なことだけを考えています。表があれば裏があるように、様々な視点から見て考えるように意識しています。 人の「こころ」に興味を持ち、仏教的アプローチからセキュリティを探求中。

全体のセキュリティ強度を向上する⇒1人1人の「意識と行動」の習慣化

鎖は一番”弱い輪”以上に強くなれない(ブルース・シュナイアー)

どれ程の強い鎖であっても、たった1ヶ所でも弱っていれば、全体の強度は「弱い鎖」と同レベルまで低下します。

例えば、グループウェア等「1人でも安易なパスワード」を使っていることで、そのシステムの入口となる強度は弱い鎖(1人のパスワード)まで低下します。

例え簡単なレベルのセキュリティ対策であっても、全体の底上げが出来るのであれば、弱い鎖のままよりは「よほど効果的」であり「最も有効な方法」の1つとなります。
しかし、弱点を見つめる方法も解らず、その補強なしに「強度」ばかりを追及する対策では、「強い鎖はより強く」なるだけで全体の強度は「まったく上がっていません」
上の鎖と同じ状態のままで…しなやかさも欠け「ブチッ」と・・・いつ切れてもおかしくない組織を多く見てきました。