これから大型連休が始まります。多くの会社でまとまった休みを取る社員がいることでしょう。毎年恒例ですが、連休前になると情報セキュリティに関して「戸締りをしっかりとしてください」というような注意喚起がなされます。
それらをまとめると、ゴールデンウィーク中のセキュリティ対策としては以下のようなことが言われています。
- 会社の情報持ち出し規定の確認
- 不要なマシンの電源を切っておく
- 休暇中に自宅でウイルスに感染しないように気を付けること
- Windowsに更新プログラムを適用して最新の状態に保つこと
- アプリケーションに更新プログラムを適用して最新の状態に保つこと
- パターンファイル(ウイルス定義ファイル)を最新にすること
- ワンクリック詐欺などに気を付けること
- 緊急連絡網を確認すること
これらは毎年言われていることです。しかもこれらは日常的に実施すべきことで、何もゴールデンウィークに限ってやるべきことではありません。仮に、これらをメールで社員全員に配信したとして、はたしてどれくらいの効果があるでしょうか?
年中行事と化した、形ばかりの注意喚起では、セキュリティ担当者の責任を果たしたとは言えません。セキュリティ担当者の仕事は「リスクを軽減すること」であり「注意喚起した」といって責任を果たしているとは言えないのです。
ゴールデンウィークのような長期休暇の際に特有のリスクとしては以下のようなものが挙げられます。
- 無人のオフィスでウイルスが蔓延する
- サーバーが“ガブ”られ、管理者にも連絡がつかない
- 家族サービスのために「やむなく」業務ファイルを持ちだす
- 旅先で業務ファイル入りのパソコンを紛失する
- 旅先で利用したパソコン、無線LANやネットワークでパスワードなどが盗まれる
長期の休暇を取る場合でも仕事は待ってはくれません。どうしてもやっておかなくてはいけない仕事がある場合には「USBメモリーは利用禁止です」「業務ファイルを個人のメールアドレスに送信してはいけません」などとポスターを貼っておいても効果は高くありません。会社のため、自分のためと思っているのですから情報は持ち出されることでしょう。
これらの情報持ち出しのリスクの低減のためには、外部記憶メディアの利用制限や利用記録の取得、メールの添付ファイルの監視、Webメールの制限・監視などの具体的にシステムで対策を講じないと効果はとても限定的となります。当社で提供している自宅パソコンの検査でも、企業側が思っているよりも大量の業務ファイルが検出されます。これは「やむなく」持ち出されたものがほとんどなのです。
また、業務ファイルを取り扱ったり会社にアクセスできるパソコンを旅先に持ち運ぶことにも十分に注意が必要です。特に海外では「普通に」パソコンが盗まれると思ってください。スーツケースからパソコンが盗まれたという話は珍しくありません。必ず機内持ち込みとして貴重品と同様に身の周りに置いてください。
また、ゴールデンウィーク後に出社したときが最も危険であると言えるでしょう。それは「まずメールだ」とみんながいっせいにメールを読み始めることです。パソコンは恐らくWindows Updateなどを処理しているでしょうし、同時にAdobe製品やJavaアプリケーションのパッチも一斉に適用され始めることでしょう。
それでもメールを読む方がきっと早いので、最新の閲覧しただけで感染するタイプのウイルスならその場で感染してしまうかもしれません。リンク先をクリックしただけで“ガブ”られてしまうかもしれません。
このための対策としては「注意してください」「パッチを当てて下さい」という生ぬるいものではなく、「Windows UpdateとAdobe製品、Javaのパッチを手動で適用もしくは手動で自動更新を確認して、それが終了するまでは一切業務を行ってはいけない」という厳格なルールを徹底する必要があります。エレベータホールの前に貼りだすか、個人のパソコンに張り紙をするなどしなければ出社、即感染を防ぐことはできません。