本日から5月。なかにはGW中の方々もいらっしゃるかとおもいますが、休暇明けに要注意したいのが、「情報セキュリティ」です。
本日は独立行政法人情報処理推進機構セキュリティセンター(以下、IPA)が長期休暇に注意したい情報セキュリティ対策についての記事をお届けします。
長期休暇における情報セキュリティ対策
多くの人がゴールデンウィークの長期休暇を取得する時期を迎えるにあたり、IPAが公開している長期休暇における情報セキュリティ対策をご案内します。
長期休暇の時期は、システム管理者が長期間不在になる等、いつもとは違う状況になりがちです。
このような状況でセキュリティインシデントが発生した場合は、対応に遅れが生じたり、想定していなかった事象へと発展したりすることにより、思わぬ被害が発生し、長期休暇後の業務継続に影響が及ぶ可能性があります。
このような事態とならないよう、(1)個人の利用者、(2)企業や組織の利用者、(3)企業や組織の管理者、それぞれの対象者に対して取るべき対策をまとめています。また、長期休暇に限らず、日常的に行うべき情報セキュリティ対策も公開しています。
企業・組織
管理者向け
□長期休暇前の対策
・緊急連絡体制の確認
不測の事態が発生した場合に備えて、委託先企業を含めた緊急連絡体制や対応手順等が明確になっているか確認してください。
連絡体制の確認(連絡フローが現在の組織体制に沿っているか、等)
連絡先の確認(各担当者の電話番号が変わっていないか、等)
・社内ネットワークへの機器接続ルールの確認と遵守
ウイルス感染したパソコンや外部記憶媒体等を社内ネットワークに接続することで、ウイルスをネットワーク内に拡散してしまうおそれがあります。長期休暇中にメンテナンス作業などで社内ネットワークへ機器を接続する予定がある場合は、社内の機器接続ルールを事前に確認し遵守してください。
・使用しない機器の電源OFF
長期休暇中に使用しないサーバ等の機器は電源をOFFにしてください。
□長期休暇明けの対策
・修正プログラムの適用
長期休暇中にOS(オペレーティングシステム)や各種ソフトウェアの修正プログラムが公開されている場合があります。修正プログラムの有無を確認し、必要な修正プログラムを適用してください。
・定義ファイルの更新
長期休暇中に電源を切っていたパソコンは、セキュリティソフトの定義ファイル(パターンファイル)が古い状態のままになっています。電子メールの送受信やウェブサイトの閲覧等を行う前に定義ファイルを更新し、最新の状態にしてください。
・サーバ等における各種ログの確認
サーバ等の機器に対する不審なアクセスが発生していないか、各種ログを確認してください。もし何らかの不審なログが記録されていた場合は、早急に詳細な調査等の対応を行ってください。
利用者向け
□長期休暇前の対策
・機器やデータの持ち出しルールの確認と遵守
長期休暇に社外での対応が必要となるパソコン等の機器やデータ等の情報を持ち出す場合は、持ち出しルールを事前に確認し遵守してください。
・使用しない機器の電源OFF
長期休暇中に使用しない機器は電源をOFFにしてください。
□長期休暇中の対策
・持ち出した機器やデータの厳重な管理
自宅等に持ち出したパソコン等の機器やデータは、ウイルス感染や紛失、盗難等によって情報漏えい等の被害が発生しないよう、厳重に管理してください。
□長期休暇明けの対策
・修正プログラムの適用
長期休暇中にOS(オペレーティングシステム)や各種ソフトウェアの修正プログラムが公開されている場合があります。修正プログラムの有無を確認し、必要な修正プログラムを適用してください。なお、修正プログラムの適用については、システム管理者の指示に従ってください。
・定義ファイルの更新
長期休暇中に電源を切っていたパソコンは、セキュリティソフトの定義ファイル(パターンファイル)が古い状態のままになっています。
電子メールの送受信やウェブサイトの閲覧等を行う前に定義ファイルを更新し、最新の状態になっていることを確認してください。
・持ち出した機器等のウイルスチェック
長期休暇中に持ち出していたパソコンや、データを保存していたUSBメモリ等の外部記憶媒体にウイルスが混入していないか、組織内で利用する前にセキュリティソフトでウイルススキャンを行ってください。
・不審なメールに注意
実在の企業などを騙った不審なメールに関する相談が多く寄せられています※(Emotet(エモテット)攻撃の手口)。こういったメールの添付ファイルを開いたり、本文中のURLにアクセスしたりすることで、ウイルスに感染したり、フィッシングサイトに誘導されたりしてしまう可能性があります。
長期休暇明けはメールが溜まっていることが想定されますので、特に注意してメールチェックを行ってください。不審なメールを受信していた場合、「添付ファイルは開かず」、「本文中のURLにはアクセスせず」、各組織のシステム管理者に報告し、指示に従ってください。
個人
□長期休暇中の対策
・行楽等の外出前や外出先でのSNS投稿に注意
SNSで旅行の計画を書き込んだ場合、内容によっては長期休暇中に不在であることが知られてしまう可能性があります。また、撮影した写真をSNSに投稿したことでトラブルに発展することもあるため、投稿内容に注意してください。
・偽のセキュリティ警告に注意
ウェブサイトの閲覧中に、ウイルスに感染している、パソコンが壊れる等の偽の警告に遭遇する場合があります。表示されたメッセージに従って、操作したり、電話をかけて遠隔操作を許してしまったりすると、最終的に有償ソフトウェアの購入や有償サポート契約へ誘導されます。長期休暇中は、いざというときに相談できる窓口が休止となっている場合があるため、具体的な手口と対処方法を確認し、被害に遭わないように注意してください。
利用しているセキュリティソフトによる警告ではない場合、特にインターネット利用中にブラウザ画面上に表示される警告は偽物である可能性が高いと考えられます。あらかじめ、利用しているセキュリティソフトのマニュアルやヘルプで、脅威が検知された場合の本物の警告画面を確認しておいてください。もし、偽の警告画面が表示された場合は、画面を閉じてください。画面が消せない場合は、ブラウザを強制終了するか、パソコンを再起動してください。
・メールやショートメッセージ(SMS)、SNSでの不審なファイルやURLに注意
実在の企業などを騙った不審なメールに関する相談が多く寄せられています。
こういったメールの添付ファイルを開いたり、本文中のURLにアクセスしたりすることでウイルスに感染したり、フィッシングサイトに誘導されたりしてしまう可能性があります。
また、不審なサイトへ誘導するURLは、ショートメッセージ(SMS)で送られてくる場合や、SNSで投稿されている場合もあります。
長期休暇中は、いざというときに相談できる窓口が休止となっている場合があるため、具体的な手口と対処方法を確認し、被害に遭わないように注意してください。パソコンがウイルスに感染した疑いがある場合はパソコンの初期化を検討してください。フィッシングサイトで情報を入力してしまった場合は、パスワードの変更、カード会社への連絡等、入力した情報の悪用を防ぐ対応をしてください。
□長期休暇明けの対策
・修正プログラムの適用
長期休暇中にOS(オペレーティングシステム)や各種ソフトウェアの修正プログラムが公開されている場合があります。修正プログラムの有無を確認し、必要な修正プログラムを適用してください。
・定義ファイルの更新
長期休暇中に電源を切っていたパソコンは、セキュリティソフトの定義ファイル(パターンファイル)が古い状態のままになっています。電子メールの送受信やウェブサイトの閲覧等を行う前に定義ファイルを更新し、最新の状態にしてください。
企業や組織の方々へ
インターネットに接続された機器・装置類の脆弱性を悪用するネットワーク貫通型攻撃が相次いでいます。本件に関する対策情報として、2023年5月に経済産業省より「ASM(Attack Surface Management)導入ガイダンス」が公開されています。
また、IPAからも2023年8月以降、同攻撃に関する注意喚起を行っています。
攻撃を受けた場合、保有情報の漏えいや改ざん、ランサムウェアへの感染に加え、不正な通信の中継点とされてしまう、いわゆるOperational Relay Box(ORB)化などの被害が予想されます。
ORB化された場合、意図せずに他組織等への攻撃に加担することに繋がります。
そうした事態を未然に防ぐためにも、システム構成やインターネット接点など構成把握、脆弱性対策と日頃のログ監視といったサイバーセキュリティ対策に加え、BCP(事業継続計画)・BCM(事業継続マネジメント)を通じたサイバー以外も含めた危機管理体制が重要となります。
また、IPA NEWS Vol. 70(2025年1月号)では、
家庭用・SOHOルーターのセキュリティ対策やルーターの選定のポイントを紹介していますので、併せて参考にしてください。
セキュリティのすゝめ 家庭用ルーターの乗っ取りも!8つのセキュリティ対策で防御」
https://www.ipa.go.jp/about/ipanews/ipanews202501.html#security
IPAでは、企業組織向けに、セキュリティに関する総合的な相談窓口を設けています。セキュリティインシデントが発生した際などにご活用ください。
IPAサイバーセキュリティ相談窓口(企業組織向け)
https://www.ipa.go.jp/security/support/soudan.html
企業や組織においても、いわゆる「サポート詐欺」の被害発生を継続して確認しています。
偽のセキュリティ警告を表示させて、慌てた被害者に偽のサポート窓口に電話をかけさせ、その上でサポート料金と称した金銭をネットバンキングなどでだましとる手口です。
組織や企業にて、表示された電話番号に電話をかけて、相手にパソコンを遠隔操作されると、パソコン内に機密情報や個人情報が保管されていた場合に、情報漏えい事故としての対応が必要になるかの判断や調査を迫られます。その結果、情報漏えい事故として対外的に発表を行うケースが発生しています。
IPAでは被害に遭わないために、手口の体験ができる「偽セキュリティ警告(サポート詐欺)画面の閉じ方体験サイト」を公開しています。社員・職員向けのセキュリティ研修にご活用ください。
「偽セキュリティ警告(サポート詐欺)画面の閉じ方体験サイト」
https://www.ipa.go.jp/security/anshin/measures/fakealert.html
資料引用:IPA
おわりに
サイバーセキュリティ企業「NordVPN」は2024年8月、世界の人々がセキュリティに対する意識を評価するための国際的な調査「ナショナル・プライバシー・テスト(NPT)」を実施しています。
この調査の結果で、サイバーセキュリティとインターネットプライバシーの知識において、日本は最下位になったといいます。
特に成績が低かったのは、ハッカーから身代金を要求された時の対処法・フィッシング攻撃への対処法、銀行から預金引き出しに関する通知メールが突然届いた場合の対処法、AI技術を利用した詐欺の手口に対する意識でした。さらに、AIを仕事で使う際にどのようなプライバシー問題を考慮すべきか分かっている人の数も調査対象わずか5%と、非常に低い割合となっています。
日本のサイバーセキュリティに対する意識が低い背景には、そもそも従業員に対するセキュリティ教育が行われていないことも原因のひとつとして考えられます。
IPAが発表した「2021年度 中小企業における情報セキュリティ対策に関する実態調査」という資料からは、中小企業がセキュリティ対策投資を行わなかった理由として「必要性を感じていない(40.5%)」「費用対効果が見えない(24.9%)」「コストがかかりすぎる(22.0%)」といった回答が挙がっています。
中小企業は、大企業と比べると予算に限りがあるため、コストに相応の負担が求められるセキュリティ対策に対し、積極的に投資することを諦めがちです。
そのため、セキュリティ対策への意識も高まらず、セキュリティに関する知識や専門人材の不足をかかえたまま、「自分たちは狙われない」という過信、そして目先の業務を優先してしまう点にあります。
こうした対策の複雑さも背景にあり、サイバーテロの被害に遭う危険性が高まるという悪循環に陥っている中小企業は多いことが予想されます。
さらに、弊社の様な建設分野でのセキュリティ習慣を現場も含めて定着させていくには、業界特有の環境に合わせた工夫が必要です。
以下、5つの要素を建設業向けに適用する際のポイントは以下の通りです。
- 経営層のリーダーシップと現場理解:
情報セキュリティを既存の「安全管理」の一部と捉え、「サイバー空間の安全なくして無事故・無災害なし」というメッセージを経営層が強く発信します。
現場の働き方(屋外作業、複数拠点、協力会社連携)を経営層やIT部門が深く理解し、実情に合った方針を示すことが不可欠です。
現場管理者がセキュリティ実践の模範となることも重要です。 - 現場に即した実践的教育:
教育内容を、現場で起こりうるリスク(現場デバイスの紛失、工事写真・図面の漏洩、協力会社関連の標的型攻撃メールなど)に絞り込み、具体的に伝えます。
ITリテラシーに差があることを考慮し、写真や動画を用いた教材、短時間の安全教育に取り入れるなど、現場従業員が理解しやすい方法を採用します。
協力会社への啓発や共同研修も行い、サプライチェーン全体の底上げを目指します。 - 現場での実践を考慮したルール・環境整備:
現場で使用するスマートフォンやタブレットの安全な管理方法(画面ロック、MDM活用)、工事写真や図面などの機密情報を安全に共有する仕組み(指定クラウドストレージの利用)、USBメモリ利用の制限、現場事務所での物理的な保管対策など、現場の状況に即した分かりやすく実行可能なルールを策定します。
安全な通信環境(現場Wi-Fi、VPN接続)の提供も重要です。 - 「安全+安心」の文化醸成:
情報セキュリティも安全管理と同様に日々の重要な活動であることを浸透させます。
不審なメールやインシデントの兆候に気づいた際に、現場からでも気軽に報告・相談できる風通しの良い雰囲気を作ります。
「報告したら叱られる」ではなく、「報告してくれて助かった」というポジティブなフィードバックを徹底します。
安全パトロールにセキュリティ項目を加えることも有効です。 - 現場の声を反映した継続的改善:
現場従業員からの「セキュリティ対策でやりにくい点」や「困っている点」を定期的にヒアリングし、ルールやシステム、教育内容を見直します。
現場で発生したインシデント(紛失、ウイルス感染疑いなど)の事例を分析し、再発防止策に繋げます。建設現場への新技術導入に伴う新たなリスクにも対応できるよう、継続的に対策を更新します。
これらの対策を通じて、建設企業は現場を含む組織全体で情報セキュリティの意識を高め、IPAが示す基本的なセキュリティ習慣を日々の業務の中で自然と実践できる文化を醸成することで、日本のセキュリティ意識の改善に取り組みたいものです。
□独立行政法人情報処理推進機構セキュリティセンター
リリースニュース
https://www.ipa.go.jp/security/anshin/heads-up/alert20250421.html
企業組織からのご相談
企業組織向けサイバーセキュリティ相談窓口
E-mail:cs-support@ipa.go.jp
URL:https://www.ipa.go.jp/security/support/soudan.html
個人からのご相談
情報セキュリティ安心相談窓口
E-mail:anshin@ipa.go.jp
URL:https://www.ipa.go.jp/security/anshin/about.html
被害情報の届出先
コンピュータウイルス・不正アクセスに関する届出窓口
URL:https://www.ipa.go.jp/security/todokede/crack-virus/about.html
