JPCERT/CC、ゴールデンウィーク前にチェックすべきセキュリティ確認項目

JPCERTコーディネーションセンター(JPCERT/CC)は4月23日、ゴールデンウィークの長期休暇期間におけるコンピューターのセキュリティ対策に関する記事を公開した。

長期休暇期間中は異常事態の発生に気づきにくく、不正アクセスなどの発見が遅れる可能性があるため、JPCERT/CCは長期休暇に入るシステム管理者、および社員・職員に向けて注意を促すとともに、休暇前に行っておくべき対応を紹介している。

JPCERT/CCが推奨する対応は以下の通り。

●システム管理者向け

• インシデント発生時の連絡網が整備・周知されていることを確認する。
  
• サーバーのOSやソフトウェアなどに最新のセキュリティ更新プログラムが適用されていることを確認する。Webサーバー上で動作するWebアプリケーションの更新も忘れずに行う。
  
• 重要なデータのバックアップを行う。
  
• ベンダーのサポートが切れているOSやソフトウェアを使用し続けていないか確認する。
  
• 不要なサービスを無効にしているかどうか確認する。
  
• 各種サービスへのアクセス権限を必要最低限に設定する。
  
• 休暇中の業務遂行のために特別にシステムなどへのアクセス制御を変更する場合、通常の状態に戻す手順やスケジュール、およびそれに合わせた監視体制が整備されているか確認する。
  
• 休暇中に使用しない機器の電源を切る。
  
• 社員・職員が業務で使用しているPCやスマートフォンのOSにソフトウェアのセキュリティ更新プログラムの適用漏れがないか、社員・職員向けに再度周知する。
  

●社員、職員向け

• インシデント発生時の連絡先を確認する。
  
• 業務で使用しているPCやスマートフォンのOSやソフトウェアなどに最新のセキュリティ更新プログラムが適用されていることを確認する。
  
• パスワードに容易に推測できる文字列(名前や生年月日、電話番号、アカウントと同一のものなど) や安易な文字列(12345、abcde、qwert、passwordなど)を設定していないか確認し、他のサービスで使用していない文字列を設定する。
  
• 業務遂行のためにデータを持ち出す際には、自組織のポリシーに従い、その取り扱いや情報漏えいに細心の注意を払う。
  
• 業務で使用しているPCやスマートフォンなどを休暇期間中に自宅で使用する場合は、業務で認められた用途以外に使用しない。
  

また、JPCERT/CCのWebサイトでは、休暇明けの対応も紹介されている。