長期休暇に潜むセキュリティリスクに備える―今こそ見直したいセキュリティ体制

年末年始などの長期休暇期間は、サイバーセキュリティのリスクが高まるとされています。一年を通してサイバー攻撃の危険性は存在し、特にランサムウェアによる身代金を目的とした攻撃は、いつでも発生する可能性があります。

しかし、従業員が一斉に現場を離れる長期休暇は、企業のネットワークへこっそり侵入する攻撃者にとって絶好の機会となり得ます。このようなサイバー攻撃は、機密情報の漏えいやシステム障害を引き起こし、企業の信用に深刻な損害を与える可能性があります。長期休暇に潜むリスクを把握し、この機会を利用してセキュリティ体制の見直しを進めていきましょう。

1. 長期休暇中のサイバーリスクの実態

年末年始のように企業が長期間休業する期間は、通常と比較してセキュリティ体制が手薄になる傾向があります。この期間は、セキュリティ担当者を含む多くの従業員が不在となり、システムの異常を迅速に発見したり、万が一インシデントが発生した場合に適切な対応を取ることが難しくなります。

そのような状況を狙い、サイバー攻撃者が行動を活発化させることは想像に難くありません。長期休暇中におけるサイバーリスクの特徴を、攻撃者の視点も交えて確認していきましょう。

1-1. 年末年始に潜む危険

年末年始は多くの企業が休業し、ほとんどの部署で従業員が不在となります。IT部門も例外ではありません。セキュリティ担当者も長期休暇を取るため、サイバーリスクが高まる時期といえるでしょう。

攻撃者はターゲット企業やその背景となる国の文化について事前に調査をします。日本の年末年始やゴールデンウイーク等、長期休暇の期間であることはカレンダーを入手すれば容易に把握可能です。 例えば、業務時間内であれば監視ツールの控えめな通知を運用担当者が確認し、念のためセキュリティ担当者に相談、という様な対応が迅速に行われます。しかし、休暇中は、緊急性の高い警報だけ対応することとし、それ以外の通知は連休明け、という場合もあり、対応が遅くなる可能性があります。

1-2. 攻撃者の視点から見るリスク

サイバー攻撃者が長期休暇中を狙う理由は上記のとおり明確です。もし、何らかの異常が通知されても、運用担当者の確認が連休明けとなったり、緊急性の高い警報があっても、対応が遅れるリスクがあります。主要な担当者が旅行に出かけているようなときであれば、連絡がついたとしても効果的な対応を行うのは難しいでしょう。サイバー攻撃者にとって、長期休暇のタイミングは狙い目なのです。

サイバー攻撃者が何をこっそり活動するかというと、システムやネットワークへの侵入、侵入範囲の拡大、権限の昇格、大量の機密情報の転送など、ランサムウェア実行によるシステム破壊・証拠隠滅の手前までになります。長期休暇中に狙われやすいのは、これらの目立たない活動の中でも、特にトライ＆エラーを伴う等の検知されやすい攻撃です。

2. 企業が取るべき防御策

企業は長期休暇中のサイバーリスクを把握し、対策すべきです。まずは、長期休暇中にインシデントが発生した場合の連絡体制を確認し、システムやネットワークに関する脆弱性対応を徹底するなど、基本的な対策の再確認と実行が重要です。独立行政法人情報処理推進機構（IPA）も、年末年始など長期休暇に向けた具体的なセキュリティ対策を公開していますので、これらの体系化された情報を活用し、リスク軽減に努めることが有効です。

ここでは、長期休暇前に企業が準備すべきポイント、休暇明けに確認すべき事項、さらにIPAが提案する高度なセキュリティ対策について紹介します。

2-1. 長期休暇前に準備すべきこと

長期休暇中にはサイバーリスクが高まるため、企業は事前にセキュリティ対策を確認し、準備すべきです。この事前準備により、リスクを最小限に抑え、安心して休暇を過ごすことができます。

まず、前提としてインシデント発生時の緊急連絡・対応体制が整備されている必要があります。主要な関係者の旅行等予定を把握し、緊急時に連絡がつく手段を具体的に確認してきます。例えば、機器からの通知は外部SOCにより長期休暇中も確認されるのか、外部SOCからの連絡を社内担当者の誰も受けられない日は生じないか、プライベートの連絡先を外部SOCへ一時的に伝える必要はないか、外部SOCがないなら、ある程度社内要員が休暇中もシフトでリモート接続し確認・監視するか、等です。このような備えは、いざというときの迅速な対応に直結します。

次に、一斉休暇が徹底される業種向けですが、休暇中のリモートアクセス許可条件を明確に設定し、使用しない接続機器の電源をオフにするなど、不要なアクセスルートを遮断することも効果的な対策です。このような措置により、サイバー攻撃者が侵入を試みる余地を大幅に減らすことができます。

更に、長期休暇中にも稼働させるシステムやネットワーク機器に関する脆弱性対応を確認・徹底し、リスクを最小化すべきです。例えば、パッチの適用にシステムの再起動が必要などの要件が生じた場合、長期休暇の早めのタイミングでのシステム停止をアナウンスし実行する等、良い機会にもなるでしょう。

以上の基本的なセキュリティ対策を着実に実行するだけでも、休暇期間中のサイバーリスクを大幅に軽減できます。企業の安全を守るためには、事前準備を怠らず、リスクに備えた体制を整えることが大切です。

2-2. 休暇明けに確認すべきポイント

長期休暇前だけでなく、休暇明けにも実行すべき基本的なセキュリティ対策があります。
まず、休暇明けにも休暇前同様、直ちに取り組むべきは、システムやネットワーク機器に関する脆弱性対応です。手動で対応が必要なシステムについて、長期休暇期間に深刻な脆弱性が公表されているか確認し、最優先でパッチ適用等による解消をすべきです。また、自動でアップデートされる脆弱性やセキュリティソフトの定義ファイルなども、エラーが生じていないか等、確認し対応すべきです。

これらの基本的な対応を怠ると、システムやネットワークのどこかに脆弱性が残り、攻撃者にとって格好の標的となるおそれがあります。

また、不審な電子メールへの対策も重要な要素です。長期休暇中に多くのメールを受信した中に、ランサムウェアやフィッシング詐欺が仕込まれている可能性があります。従業員には、多くのメールを捌かなければいけない状況であっても、見覚えのない送信元からのメールや、不明なリンクや添付ファイルを含むメールを開かないよう、休暇前から周知すべきです。これにより、従業員が無意識に攻撃の一端を担う事態を防ぐことができます。

さらに、システム運用やセキュリティの担当者は、休暇中の通知やログを確認することも欠かせません。不審な動作が記録されていないか確認し、異常が見つかった場合には速やかな対応が必要です。

2-3. さらに詳しく―IPA推奨の対策

独立行政法人情報処理推進機構（IPA）は、日本におけるIT分野の安全性向上と人材育成を推進する中心的な機関として、さまざまな活動を行っています。その中には、企業がサイバーリスクに備えるための具体的なガイドラインの提供も含まれています。特に「長期休暇における情報セキュリティ対策」の提案は、休暇期間中のリスク軽減に役立つ貴重な指針となるでしょう。

独立行政法人情報処理推進機構「長期休暇における情報セキュリティ対策」
https://www.ipa.go.jp/security/anshin/measures/vacation.html

IPAの提案する対策は、管理者向けだけでなく従業員を含む利用者向けのアプローチも含まれています。たとえば、「機器やデータの持ち出しルールの確認と遵守」は重要なポイントです。従業員がノートパソコンなどの機器を持ち出す際には、紛失や盗難を防ぐために、ルールの明確化と徹底が必要です。また、使用していないノートパソコンの電源をオフにすることも有効です。

これらの具体的な対策は、IPAの推奨を参考にしながら、自社のセキュリティポリシーに組み込むことが求められます。企業ごとに異なる業務形態やシステムに合わせた対応を行い、組織全体でセキュリティ意識を共有することが、効果的なリスク軽減につながります。IPAが提供する情報を活用し、長期休暇中も効果的なセキュリティ体制を維持できるよう整備を進めましょう。

3. 外部専門サービスを活用した備えを

社内にセキュリティ専門家チームがいない場合や、適切な体制が構築できていない場合、長期休暇中のサイバーリスクを最小限に抑えるには、緊急連絡体制の確認や社内ルールの徹底だけでは不十分です。サイバー攻撃による被害は、企業の信用を損なうだけでなく、事業継続や将来的な成長にも深刻な影響を及ぼす可能性があります。そのため、外部の専門サービスを活用することは、セキュリティレベル向上の有効な手段となります。

GSXは、20年以上にわたりサイバーセキュリティ分野で活動してきた企業です。インシデント発生時の緊急対応やマルウェア感染の調査など、多岐にわたるセキュリティ課題に対応してきました。これらの経験をもとに、長期休暇中に企業が直面するリスクを軽減するためのサービスを提供しています。

ここでは、長期休暇の期間に増大するリスクに関連した、GSXが提供するセキュリティサービスをご紹介し、専門家による支援がどのように企業の安全を守るのかをお伝えします。

3-1. 緊急対応サービス

GSXの提供する「緊急対応サービス」は、セキュリティインシデントが発生したときに、迅速かつ的確な初動対応を支援するサービスです。Webサイト改ざんや情報漏えい、ランサムウェアによる破壊といったセキュリティインシデントが発生したときに、調査・分析などから暫定対応などを行って被害の拡大防止につなげます。

主なサービス内容には、Webサイトが改ざんされたときにサーバやファイアウォールなどの調査・解析を行う「Webサイト改ざん調査」、調査・報告・再発防止などインシデント対応に関するアドバイスを行う「アドバイザリー」、マルウェア感染が疑われるコンピュータを調査・解析する「デジタルフォレンジック」などがあります。

3-2. マルウェア感染調査サービス

長期休暇中にランサムウェアをはじめとするマルウェアに感染すると、パソコンやサーバといったエンドポイントへも潜入するおそれがあります。GSXの「マルウェア感染調査サービス」ではエンドポイントセキュリティ製品「CrowdStrike Falcon」を使用し、これまでの対策では検知できなかったマルウェアを特定できるようになります。これにより、感染範囲の特定や感染した端末の除去などの対策を行い、一定期間マルウェアが検出されなかった範囲が安全であることが確認され、復旧の判断が可能となります。

3-3. CSIRT構築運用支援サービス

長期休暇中のサイバー攻撃に備えるには、インシデント発生を前提とした体制の構築が必要です。GSXの「CSIRT構築運用支援サービス」は、企業内におけるインシデント対応体制＝CSIRT（Computer Security Incident Response Team）の構築と運用を強力にサポートします。CSIRT構築運用支援サービスでは組織の現状を調査してインシデント対応に必要な課題を整理、対応方針の決定、CSIRTを構築するための規程や要領、対応フローなどを整備します。CSIRTの構築によって外部組織と連携しながら、サイバー攻撃に対処できる体制ができるのです。

3-4. IT-BCP文書雛形パッケージ

長期休暇中にサイバー攻撃を受けてITシステムが停止した場合でも、事業を継続できる体制を整えることが重要です。GSXの「IT-BCP文書雛形パッケージ」はインシデント発生時におけるIT-BCP（業務継続計画）を明確化し、対応手順や役割分担の文書化をサポートするサービスです。

IT-BCP文書雛形パッケージではBCPの前提となる、事業継続管理（BCM）も範囲に含まれています。そのため、教育・訓練の実施やインシデント検知、ディザスタリカバリー（DR）環境の整備など、非常時における事業継続性の確保に必要な要素が明らかにし、体系的にIT-BCPの作成に取り組むことが可能です。

まとめ

年末年始のような長期休暇中に緊急事態が発生した場合、迅速な対応が難しいという現実があります。サイバーセキュリティ事案ではありませんが、2024年1月1日に発生した能登半島地震での混乱は、そうした課題を浮き彫りにしました。このような状況下では、日頃からの備えが何よりも重要であることを実感された方も多いのではないでしょうか。

長期休暇は、サイバーリスクが高まる危険な時期です。専門知識や体制が十分でない場合、企業内部の防御体制の強化だけでは不十分であり、外部の専門サービスを活用した準備が効果的です。サイバー攻撃は、企業の信用を失墜させるだけでなく、事業継続にも深刻な影響を及ぼす可能性があります。そのため、リスクが高まる長期休暇を迎える前の、ご紹介した備えが求められます。

安全な業務環境を確保するため、そしてリスクを最小限に抑えるために、GSXのセキュリティサービスの活用をご検討ください。私たちは、皆さまの企業が安心して休暇を迎えられるよう、専門的な知識と豊富な経験を活かして全力でサポートいたします。

【執筆】
グローバルセキュリティエキスパート株式会社
プリンシパルコンサルタント
和田直樹
-------
GSXにて20年以上、様々な業種の企業に対するセキュリティ支援に従事。