最終更新日:2025年8月5日
年末年始やゴールデンウィークなどの長期休暇は、セキュリティ被害が多発する時期です。休暇明けは、溜まったメールの確認や業務に追われ、「なりすましメールを開いてしまう」などのうっかりミスが起こりやすくなります。また、長期休暇中は情報システム管理者を含む従業員の大部分が不在になるため、万が一の被害発生時に対応が遅れ、被害が拡大するリスクも高まります。
今回は、これらのセキュリティ被害を防ぐために、長期休暇に向けて実施すべき情報セキュリティ対策についてご紹介します。
まず、長期休暇によって考えられるセキュリティ被害についてご紹介します。
長期休暇中も稼働し続ける社内ネットワークやインターネットの境界にあるファイアフォール、VPN機器は、サイバー攻撃の標的となります。特に、ネットワーク・ファイアフォール・VPN機器などの脆弱性を突いた「ネットワーク貫通型攻撃」のリスクが高まることから、IPA(情報処理推進機構)においても、長期休暇前にこれらの機器の脆弱性の対策やネットワーク貫通型攻撃に関する注意喚起を繰り返し行っています。
出典元:IPA情報処理推進機構「2025年度 夏休みにおける情報セキュリティに関する注意喚起」
長期休暇中に自宅で作業するため、パソコンやUSBメモリを社外に持ち出す従業員もいると思います。しかし社外への持ち出しは、ウイルス感染や紛失、不正アクセスによる情報窃取といったリスクが高まります。特に注意が必要なのは、長期休暇明けです。もし持ち出した機器がウイルスに感染していた場合、社内ネットワークに接続することで社内全体にウイルスが拡大する恐れがあります。
また、第三者が不正アクセスできるフリーWi-Fiを利用した場合、情報が窃取される危険性もあります。
長期休暇中は気が緩んでいるため、何気なく投稿したSNSに「社外秘の情報」や「顧客・取引先の個人情報」を記載してしまい、情報漏えいが起こる可能性があります。
長期休暇中は情報システム管理者やセキュリティ担当者が不在となり、システムの監視やログの確認といった日常的な運用業務や管理が手薄になります。もし休暇中にウイルス感染や情報漏えいが発生した場合、検知や初期対応が大幅に遅れるため、攻撃者は時間をかけて内部ネットワークに侵入し、ウイルス拡散や機密情報の持ち出しなど、被害を拡大させることが可能になります。
次に、長期休暇に入る前に対応しておくべき情報システム管理者向けのセキュリティ対策についてご紹介します。
長期休暇中のセキュリティリスクを周知するとともに、インシデント発生時に迅速な対応ができるよう、以下の内容について確認・整備・周知を徹底しましょう。
・緊急時の社内連絡体制(連絡フローが現在の組織体制に沿っているか、など)
・緊急時の連絡先(各担当者の電話番号を最新状態に更新する、など)
・対応手順(どのような事象が発生した際には誰に連絡し、どのような初動対応を取るべきか、など)
長期休暇中は、情報漏えいやウイルス感染のリスクが高まるため、不要な機器やデータの持ち出しを行わないよう、持ち出しルールを整備・周知しましょう。また、パソコンや外部記憶媒体を社内ネットワークに接続する場合は、ウイルス拡散のリスクがあるため、社内ネットワークへの接続ルールも併せて徹底しましょう。
不正アクセスや火災防止のために、不要なパソコン・サーバ等の機器は電源を落とすなど、長期休暇中は必要最低限の機器のみ稼働させましょう。
データの紛失やウイルス感染するリスクを踏まえて重要なデータのバックアップを行いましょう。また、ネットワークに繋がるサーバ・機器のOSやソフトウェア、ウイルス対策ソフトを最新版にアップデートし、Webサーバ上で動作するアプリも併せて更新しましょう。
次に、長期休暇に入る前に対応しておくべき従業員向けのセキュリティ対策についてご紹介します。
長期休暇に向けて周知されている緊急時の社内連絡網、パソコン等の機器やデータの持ち出しルール、社内ネットワークへの接続ルールなどを事前に確認し、遵守してください。
業務で使用しているパソコンや社用携帯のOS、ソフトウェア、ウイルス対策ソフトを最新版にアップデートしてください。また、長期休暇中に使用しない機器は電源を落としましょう。
設定しているパスワードが単純な文字列や推測しやすい文字列でないか確認し、必要があれば適切に変更してください。
次に、長期休暇中に注意すべきセキュリティ対策についてご紹介します。
長期休暇中、自宅などに持ち出したパソコンやデータは、ウイルス感染や紛失、不正アクセス、情報漏えいのリスクがあります。厳重に管理し、不要な社内ネットワークへの接続や持ち運びは行わないでください。また、長期休暇中は不正なメールが多発する傾向にあるため、メールを確認時には十分な注意を払ってください。
投稿したSNSに社外秘の情報や顧客・取引先の個人情報を載せないよう十分に注意しましょう。また、施設にあるフリーWi-Fiは誰でも自由に利用できる一方、第三者が情報を盗むために利用している可能性があります。そのため、ネットワークに接続する際はWi-Fi環境にも十分注意しましょう。
最後に、長期休暇明けに対応すべきセキュリティ対策についてご紹介します。
長期休暇中に電源を切っていたパソコンは、セキュリティソフトの*定義ファイル(パターンファイル)が古い状態のままになっています。そのため、休暇明けの出勤時は定義ファイルを更新し、最新の状態にしてからメールの送受信やウェブサイトを利用してください。
また、長期休暇中にサーバ・機器のOSやソフトウェア、ウイルス対策ソフトの最新の修正プログラムが公開されている可能性があります。修正プログラムの有無を確認し、最新版があればアップデートしましょう。
*定義ファイル
ウイルス対策ソフトが持っている、ウイルスを見つけるためのデータベースのこと。ウイルスに含まれている特定の文字列や、特徴的な動作パターンなどが登録されています。
各種ログを確認し、サーバ・アプリケーションの脆弱性を狙った痕跡やログイン承認エラーの多発など、不審なアクセスが発生していないか確認してください。また、公開しているWebコンテンツに不正なファイルの設置、コードの埋め込み、書き換えなどの改ざんがないかを確認しましょう。
もし不審なログが記録されていた場合は、速やかに調査を行ってください。
長期休暇明けは、社内ネットワークに接続する前に必ずウイルススキャンを実施してください。持ち出し機器(パソコン、USBメモリなど)をセキュリティソフトでチェックし、安全であることを確認してから社内ネットワークに接続しましょう。
長期休暇明けは、不正メールによるサイバー攻撃が多発する傾向にあります。溜まった受信メールを開く際は、本文や添付ファイル、リンク先に十分に注意してください。不審なメールを発見した場合は、絶対に開かず、速やかにシステム管理者に報告して指示を仰ぎましょう。
以上、長期休暇に向けて実施すべき情報セキュリティ対策についてご紹介しました。
― 長期休暇によるセキュリティリスク
― 長期休暇前にすべきセキュリティ対策 ~ システム管理者向け ~
― 長期休暇前にすべきセキュリティ対策 ~ 従業員向け ~
― 長期休暇中に注意すべきセキュリティ対策
― 長期休暇後にすべきセキュリティ対策
年末年始やゴールデンウィークなどの長期休暇の時期は業務に追われる・社内体制が異なることから普段以上にセキュリティ対策を強化する必要があります。ウイルス感染は一台の機器から社内全体にまで被害を拡大する恐れがあるため、長期休暇前は必ずセキュリティリスクを周知しましょう。また、長期休暇前・長期休暇中・長期休暇後はそれぞれ実施すべきセキュリティ対策が異なるため、長期休暇に向けて今からセキュリティ対策をしっかり行いましょう。
< 関連記事はこちら>
