今年のゴールデンウィークは10連休です。
本ブログもちょっとお休みしようかと思っていますが、例年にない長期にわたる連休というのは、セキュリティに注意が必要です。
連休前後が要注意
IPAの「長期休暇における情報セキュリティ対策」ページはシステム管理者やインフラ管理者はざっと見ておいて損はないように思います。
過去に経験した範囲では…
ゴールデンウィーク10連休という長期の休暇を狙って(休暇中は対処する管理者が動けないことを狙って)マルウェアの新種が流行したり、攻撃手法が新しくなったりするケースがあります。
また、これらの対策のためにテスト不十分なセキュリティソフトのアップデートが配信され、そのアップデートに内包されたバグによってPCの動作に不調をきたす(OS起動しないとか、動きがおかしくなるとか)ことも過去にありました。
連休中にこういった情報がキャッチできているか、はたまた連休明けに唐突に話が持ちかけられるかによって、結構違いが出るものです。
そんなわけで、IPAのページなんかはざっと目を通しておいたほうがイイかなぁと思い、自分用メモとしてもURLを貼っておくことにします。
IPAの「長期休暇における情報セキュリティ対策」ページ
前述のIPAの長期休暇の対策ページではそれぞれ「1. 組織のシステム管理者向け」「2. 組織の利用者向け」「3. 家庭の利用者向け」の三種類の方向けの長期休暇前後に考慮しておくことが記載してあります。
SNSの投稿に要注意とか、偽のセキュリティ警告に注意とか、普段から気をつけておこうね、って言われているようなことですが、連休中は特に注意が必要、ということですね。
そうい前にも偽のセキュリティ警告はありました。
ブラウザを開いたら…偽の警告にご用心 - treedown’s Report
スマートフォンで偽警告表示 - treedown’s Report
こういう罠が連休中は特に増えるかもしれない、ってこともありそうです。
あとは移り変わりの激しい昨今、10日間起動しなかったコンピュータ(環境)は信じられないほど脆弱になっているケースも(例えばマルウェア対策のSecurity Suiteで使う定義ファイルなど)あるので、休暇後のアップデートは特に気をつけて実施して起きたいところです。
気のせいかもしれないけど
連休前となる今週22日くらいから、突然フィッシング目的の迷惑メールを受信する量が増えてきています。(私だけかもしれませんけど)
「Amazonを騙る偽メールが届いた - treedown’s Report」とか「偽マイクロソフトのメールを受け取った - treedown’s Report」 のような(他にもAppleからもあるけどApple製品使ってないからなぁ…)実際の企業を騙った偽メールを受信したときに、冷静に対処しないといけないケースもありそうです。
いちばん困るのは、これを受信したときにどうすればいいかを聞ける窓口(社内のシステム部の管理者とか公的な機関とかメーカーサポートとか)が休業中で相談できない、というのが困ったところです。
事前にこういうときどうしようってのは調べておくような事前の調査もひつようなのかもしれません。
エンドユーザ視点でも、サイバー衛生(Cyber Hygiene、サイバーハイジーン=衛生管理)って考え方は徐々に浸透してきている(気がする)ようです。
WannaCrypt対策に必要な「サイバー衛生」という考え方 - treedown’s Report
せっかくの長期休養だし
せっかく長期休養でまとまった時間が取れるというのもあって、普段だったら読まないような読書を始めてみるのもいいかもしれません。
内閣府サイバーセキュリティセンターが発行している
「小さな中小企業とNPO向け情報セキュリティハンドブック 」
まだちゃんと読んでいませんが、ざっと見た感じはなかなかに広く浅くセキュリティ知識をカバーした書籍に思えます。
ゴールデンウィーク連休中にちゃんと読んでみようかと思っています。
何も起きなきゃいいなぁ
連休中に何か問題が起きれば連休明けに対処をしなきゃいけないことは確定ですから、何も起きなきゃいいなぁというのが本音です。
でも、せっかくの10連休ですから、たまにはゆっくりしたい(=遊びたい)ってのは思います。
でもそうはいかないんだろうなぁ…。