IPAによる長期休暇のセキュリティに関する注意喚起

夏季休暇、年末年始休暇、ゴールデンウィーク、シルバーウィーク――。こうした長期休暇は、セキュリティに特に注意が必要です。情シス担当者を含む多くの社員が長期間不在になるなど、通常とは異なる体制となるからです。

仮にWebページ改ざんや情報漏洩といったセキュリティインシデントが発生した場合、対応が遅れ、被害が拡大する恐れがあります。その結果、休暇明けの業務に支障をきたしたり、取引先など関係者に悪い影響が及んだりする可能性もあります。

独立行政法人情報処理推進機構（IPA）は8月1日、「2025年度 夏休みにおける情報セキュリティに関する注意喚起」を発表しました。※IPAでは毎年、夏季休暇や年末年始休暇、ゴールデンウィークといったタイミングで同様の発表を行っています。

本発表では、「長期休暇はセキュリティインシデント対応に遅れが生じやすい」などとしたうえで、資料「長期休暇における情報セキュリティ対策」を案内しています。本資料では、企業・組織の管理者、企業・組織の利用者、個人と、それぞれの立場に応じたセキュリティ対策が紹介されています。

本資料をチェックしたことはありますでしょうか。長期休暇におけるセキュリティ対策を考える際に役立ちますので、ぜひ押さえておきましょう。

IPA資料「長期休暇における情報セキュリティ対策」の内容とポイント

ここでは、資料「長期休暇における情報セキュリティ対策」のうち、企業・組織の管理者向けの対策を取り上げます。

※本記事では取り上げませんが、必要に応じて企業・組織の利用者向けの対策、および個人向けの対策もチェックしてみてください。

企業・組織の管理者向けの対策では、長期休暇前と長期休暇明けに分けて実施すべき対策を示しています。

[長期休暇前の対策]
①緊急連絡体制の確認
②社内ネットワークへの機器接続ルールの確認と遵守
③使用しない機器の電源OFF

[長期休暇明けの対策]
①修正プログラムの適用
②定義ファイルの更新
③サーバ等における各種ログの確認

以下、それぞれの内容とポイントをお伝えします。

休暇前の対策：①緊急連絡体制の確認

不測の事態が発生した場合に備えて、委託先企業を含めた緊急連絡体制や対応手順等が明確になっているか確認してください。
連絡体制の確認（連絡フローが現在の組織体制に沿っているか、等）
連絡先の確認（各担当者の電話番号が変わっていないか、等）

※IPAの資料「長期休暇における情報セキュリティ対策」より引用

長期休暇中は対応が遅れがちですが、緊急連絡体制や対応手順などが明確であれば、比較的スムーズに適切な対応を行うことができるでしょう。

休暇前の対策：②社内ネットワークへの機器接続ルールの確認と遵守

ウイルス感染したパソコンや外部記憶媒体等を社内ネットワークに接続することで、ウイルスをネットワーク内に拡散してしまうおそれがあります。長期休暇中にメンテナンス作業などで社内ネットワークへ機器を接続する予定がある場合は、社内の機器接続ルールを事前に確認し遵守してください。

※IPAの資料「長期休暇における情報セキュリティ対策」より引用

長期休暇中にメンテナンスやシステム更新を行うケースは少なくありません。しかし、個々の判断で社内ネットワークに機器を接続するとトラブルに発展することがあるため、事前に社内ルールを確認しておくことが重要です。外部業者に作業を依頼している場合は、あらかじめ周知しておく必要があります。

休暇前の対策：③使用しない機器の電源OFF

長期休暇中に使用しないサーバ等の機器は電源をOFFにしてください。

※IPAの資料「長期休暇における情報セキュリティ対策」より引用

ネットワークに常時接続されている機器は、長期休暇中にサイバー攻撃を受ける可能性があります。そのため、休暇中に使用しないサーバーやネットワーク機器、外部記憶装置、プリンタなどの電源は落としたほうが安全です。この機会に、使用していない機器の廃棄や無効化を検討してもよいでしょう。

休暇明けの対策：①修正プログラムの適用

長期休暇中にOS（オペレーティングシステム）や各種ソフトウェアの修正プログラムが公開されている場合があります。修正プログラムの有無を確認し、必要な修正プログラムを適用してください。

※IPAの資料「長期休暇における情報セキュリティ対策」より引用

休暇明け、休暇中に公開された修正プログラムを適用しないまま業務を再開すると、脆弱性が残ったままの状態となり、非常に危険です。業務が再開する前に、修正プログラムを適用しておきましょう。

休暇明けの対策：②定義ファイルの更新

長期休暇中に電源を切っていたパソコンは、セキュリティソフトの定義ファイル（パターンファイル）が古い状態のままになっています。電子メールの送受信やウェブサイトの閲覧等を行う前に定義ファイルを更新し、最新の状態にしてください。

※IPAの資料「長期休暇における情報セキュリティ対策」より引用

アンチウイルスソフトやエンドポイントセキュリティ製品、IDS（侵入検知システム）、IPS（侵入防御システム）などのセキュリティソフトは、定義ファイルの更新が欠かせません。業務が再開する前に、最新の状態に更新しておきましょう。

休暇明けの対策：③サーバ等における各種ログの確認

サーバ等の機器に対する不審なアクセスが発生していないか、各種ログを確認してください。もし何らかの不審なログが記録されていた場合は、早急に詳細な調査等の対応を行ってください。

※IPAの資料「長期休暇における情報セキュリティ対策」より引用

ログの確認対象としては、各種サーバのログイン履歴や操作履歴、セキュリティソフトのアラート履歴、Webサイトや重要ファイルの更新履歴などがあります。

IPA資料とあわせて押さえたい”長期休暇の二重のセキュリティリスク”

IPAの資料「長期休暇における情報セキュリティ対策」の内容は参考になりましたでしょうか。本記事では、その内容を踏まえつつ、さらに踏み込んで長期休暇特有のセキュリティリスクを整理します。

IPAは「長期休暇はセキュリティインシデント対応に遅れが生じやすい」と指摘したうえで、対策の案内などをしています。しかし、実は、長期休暇は通常時と比べてセキュリティインシデントそのものが発生しやすい傾向があります。

つまり、長期休暇は、「セキュリティインシデントが発生しやすい状況」と「セキュリティインシデント対応に遅れやすい状況」の”二重のリスク”が存在するわけです。この点を押さえておくことは、セキュリティ対策を考えるうえで非常に重要です。

では、なぜ長期休暇は通常時よりもセキュリティインシデントが発生しやすいのでしょうか。主に次の4つの理由があります。

□サイバー攻撃が増えるため
長期休暇中は社員の気持ちが緩みやすくなる傾向があり（出社中の社員も休暇中の社員も）、攻撃者はこうした隙を狙って攻撃してくる
対策例：研修の実施、注意喚起メールの一斉送信など

□物理的侵入リスクが高まるため
長期休暇中の出社率が下がることで、オフィスやサーバルームの監視体制が手薄になり、それだけ物理的侵入のリスクが高まる
対策例：入退室管理の徹底、監視カメラの設置、警備会社との連携強化など

□ヒューマンエラーが発生しやすいため
長期休暇前は業務の進捗確認や急な締め切り対応、大掃除などで慌ただしくなりがちで、それだけ設定ミスや誤操作などのヒューマンエラーが起きやすく、セキュリティインシデントのリスクが高まる
対策例：チェックリストの活用、承認フローの導入、計画的な作業など

□リモートワークが増加するため
長期休暇中はリモートワークが増えるが、オフィスのようにセキュリティが強化された環境ではないことから、セキュリティインシデントのリスクが高まる
対策例：VPNの利用、公共Wi-Fiの利用禁止、リモートワーク対象者の制限など

これらの内容はIPAの発表では直接触れられてはいませんが、情シス担当者があわせて押さえておくべき重要な内容です。

まとめ

お伝えしてきたように、長期休暇はセキュリティに特に注意が必要な期間です。「セキュリティインシデントが発生しやすい状況」と「セキュリティインシデント対応に遅れやすい状況」の”二重のリスク”が存在します。

本記事を、「今年の夏季休暇は適切に対応できたか」など、振り返りを行う際にご活用いただければと思います。改善点を整理することで、今後の長期休暇にも役立てていけるでしょう。チェックリストやマニュアルを作成するのもおすすめです。手間は掛かりますが、年末年始休暇やゴールデンウィークなど利用機会は多く、繰り返し利用できると考えられます。

また、長期休暇は多忙な情シス担当者にとって貴重なリフレッシュの機会でもあります。事前にセキュリティ対策を万全にしておけば、安心して休暇を楽しめますし、休暇明けには高いモチベーションとパフォーマンスで業務に取り組むことができるでしょう。

自社を守るためにも、そして自身の負担を軽減するためにも、長期休暇特有のセキュリティリスクを正しく把握し、継続的に対策を実施していくことをおすすめいたします。

（TEXT：松下一輝、編集：藤冨啓之）