経済産業省、総務省、警察庁、内閣官房サイバーセキュリティセンターは4月24日、「春の大型連休に向けて実施いただきたい対策について(注意喚起)」を発表した。
継続するランサムウェア攻撃被害や、活動を再開したマルウェア「Emotet」、さらには日本の政府機関・自治体や企業のホームページ等を標的としたDDoS攻撃など、依然として厳しい情勢の下で春の大型連休を迎える。大型連休がサイバーセキュリティに与えるリスクを考慮し、適切な管理策によるサイバーセキュリティの確保について、サプライチェーンも含めて検討するよう呼びかけている。
注意喚起では、「セキュリティ対策の実施に関する責任者」と「情報システムを利用する職員等」に対象を分け、それぞれ長期休暇期間前の前後で実施事項を記載している。具体的な事項は次の通り。
●セキュリティ対策の実施に関する責任者向け
・長期休暇期間前の対策
長期休暇期間中のセキュリティインシデント発生時の対処手順及び連絡体制の確認
バックアップ対策の実施
アクセス制御に関する対策
ソフトウェアに関する脆弱性対策の実施
利用機器・外部サービスに関する対策
職員等への注意喚起の実施
・長期休暇期間明けの対策
長期休暇期間中に電源を落としていた機器に関する対策
ソフトウェアに関する脆弱性対策の実施
不正プログラム感染の確認
サーバ等における各種ログの確認
●情報システムを利用する職員等における実施事項
・長期休暇期間前の対策
機器やデータの持ち出しルールの確認と遵守
利用機器に関する対策
・長期休暇期間明けの対策
メール確認の前にOSやアプリ、不正プログラム対策ソフトなどを最新の状態にするなど
なお、独立行政法人 情報処理推進機構(IPA)でも、大型連休や夏期休暇、年末年始などの前に注意喚起を行っている。こちらは「管理者」「利用者」「個人」に分け、それぞれ休暇の前と後での対策について記載している。回数を経てこなれた感はあるが、具体的な対策に踏み込んでいる今回の注意喚起も大いに参考になるだろう。
