企業や組織のセキュリティ対策の底上げとして、「サイバーハイジーン(衛生管理)」が注目されています。聞き慣れない言葉ですが、実は20年以上前から存在するセキュリティ用語です。この記事では、サイバーハイジーンの施策や重要性について詳しく解説します。
この記事の目次
サイバーハイジーン(衛生管理)とは
サイバーハイジーン(衛生管理)とは、社内のIT資産を日頃から管理し、サイバー攻撃を防げる健全な状態を保つ取り組みです。ハイジーン(Hygiene)とは、衛生を意味します。手洗いや予防接種といった衛生管理になぞらえて、「サイバーハイジーン(Cyber Hygiene)」と命名されました。通常の衛生管理と同じく、サイバーハイジーンも一人ひとりの行動や意識が重視されます。サイバー攻撃の予防策として、サイバーハイジーンは企業の基礎的な情報セキュリティ施策と言えます。
サイバーハイジーンの施策とは?
サイバーハイジーンを実現するには、具体的にどのような施策を行うのでしょうか。ここでは、主な施策を3つ見ていきましょう。
- IT資産や契約ソリューションの把握
- エンドポイント管理の徹底
- 一般社員への教育
順番に説明します。
1.IT資産や契約ソリューションの把握
社内のIT資産を健全な状態に保つために、まずは社内のIT資産や契約ソリューションの把握が必要です。使用している端末やサーバ 、クラウドサービス、アプリケーションを洗い出します。また、ソフトウェアの保守管理など、ITベンダーとの契約内容の把握も不可欠です。
社内のIT資産を明確に把握していなければ、インシデント発生時に迅速な原因究明ができません。さらに、契約内容もあいまいだと、ITベンダーへのサポート依頼も遅れます。インシデント発生時の対応を契約に含めていない場合、契約締結から始めなくてはいけません。調査開始までに時間を要し、深刻な被害拡大を招く恐れがあります。
2.エンドポイント管理の徹底
徹底的なエンドポイント管理も重要です。エンドポイントとは、PCやスマホ、サーバ、ネットワーク機器といった端末を指します。各エンドポイントで利用しているソフトウェアも含めて適切に管理すれば、素早い脆弱性対応が可能です。修正プログラムを迅速に適用することで、脆弱性を狙うサイバー攻撃を防げます。
加えて、会社が許可していない端末やアプリケーションを社員が勝手に使用する「シャドーIT」の防止も大切です。シャドーITは企業による管理ができないため、セキュリティホールとなり得ます。社内調査によりシャドーITを発見し、社内の情報システム部門で把握する必要があります。
3.一般社員への教育
サイバーハイジーンの取り組みは、情報システム部門だけで行っても意味がありません。端末やクラウドサービスのユーザーである、一般社員の意識や行動の改善も不可欠です。具体的には、以下の教育を行いましょう。
- シャドーITの禁止
- 端末の盗難・紛失対策
- 強固なパスワードや多要素認証の利用
- アカウント情報の管理
- スパムメールや不審なWebサイトへの対応
すべての一般社員のセキュリティ意識の改善も、サイバーハイジーンにおける重要な取り組みです。
サイバーハイジーンが注目された背景
そもそも、なぜサイバーハイジーンは最近になって注目されているのでしょうか。サイバーハイジーンの言葉そのものは、20年以上前から存在している概念です。たとえば、2000年2月のアメリカの議会合同経済委員会の記録(※1)にて、「Cyber Hygiene」の単語が登場しています。
近年、サイバーハイジーンが注目された理由には、「脆弱性」が大きく関わっています。
サイバー攻撃の多くは脆弱性を狙う
多くのサイバー攻撃は、OSやソフトウェアなどの脆弱性を狙います。IPAは「情報セキュリティ10大脅威 2022」(※2)として、企業と個人のセキュリティ脅威を発表しています。同資料の企業に対する脅威トップ10のうち、脆弱性の悪用を用いるサイバー攻撃は半数以上を占めていました。
企業が脆弱性に対応する前に攻撃を仕掛ける
「情報セキュリティ10大脅威 2022」の中でも注目すべき順位は、脅威第6位の「脆弱性対策情報の公開に伴う悪用増加」です。脆弱性が発見されると、修正パッチなどの対策情報が公開されます。インターネット上で公開されるため、脆弱性の情報は誰でも閲覧できる状態です。ゆえに、攻撃者が脆弱性対策情報を悪用し、企業が修正対応する前にサイバー攻撃を仕掛ける手口が横行しています。
脆弱性の修正対応が遅れる企業は多い
脆弱性対策情報が公開された場合、すぐに対応すればサイバー攻撃のリスクは低減できます。ですが、対応に時間がかかったり、脆弱性を放置したりしてしまう企業は多いです。一例を挙げると、2021年9月にFortinet社製VPN機器のうち、87,000台分もの認証情報が流出した事例があります。原因となった脆弱性は前年には修正されており、未対応だった企業が被害に遭いました。
サイバーハイジーンにより日頃からIT資産の状態を健全に保つことで、こうした脆弱性によるリスクを抑えられるわけです。
※1 アメリカ合衆国経済合同委員会「Statement of Dr. Vinton G. Cerf」
※2 IPA(独立行政法人情報処理推進機構)「情報セキュリティ10大脅威 2022」
サイバーハイジーンの重要性や効果
サイバーハイジーンに取り組むことで、以下2つの重要な効果が得られます。
- 脆弱性対応やインシデント対応の迅速化
- セキュリティ対策の効果上昇
それぞれ具体的に解説します。
1.脆弱性対応やインシデント対応の迅速化
サイバーハイジーンを実施すると、エンドポイントを含むIT資産や契約ソリューションを適切に把握できます。各エンドポイントの状態を管理することで、脆弱性への対応状況がわかります。最新の脆弱性情報が公開されれば、迅速に修正プログラムをインストールできるでしょう。
社内ネットワークへの不正侵入などのインシデントが起きても、IT資産を把握しているためにすぐに原因調査を始められます。契約ソリューションに従って、ITベンダーへの迅速な支援手配も可能です。素早く調査開始できるため、被害拡大を未然に防げます。
2.セキュリティ対策の効果上昇
サイバーハイジーンと他のセキュリティ対策を組み合わせることで、社内全体のセキュリティ強度を高められます。たとえば、IT資産を把握することで、自社ネットワークに不足しているセキュリティ対策を明らかにできるでしょう。
また、不正侵入の事後対策を目的とする製品に「EDR」があります。EDRとは、インシデントの原因究明および事後の復旧を支援するソリューションです。サイバーハイジーンを徹底していれば、EDRを使った原因調査がよりスピーディになります。
最も重要なのは普段からのセキュリティ対策
サイバーハイジーンを実施する上で重要となるのは、普段からのセキュリティ対策です。
アメリカの非営利団体CISは、サイバー攻撃対策のフレームワーク「CIS Controls」を発表しています(※3)。CIS Controlsの中で、サイバーハイジーンは「すべての組織にとって情報セキュリティの新たな最低基準」と位置づけられています。
サイバーハイジーンは、企業が最低限行うべき対策に過ぎません。サイバーハイジーンを徹底した上で、セキュリティ製品の使用などの本格的な対策も行いましょう。
※3 CIS「CIS Critical Security Controls Implementation Group 1」
まとめ
サイバーハイジーン(衛生管理)とは、社内のIT資産を把握・管理してサイバー攻撃を防ぐ取り組みです。サイバー攻撃の多くは脆弱性を狙うため、脆弱性管理がしやすくなるサイバーハイジーンが注目されています。これからサイバーハイジーンの仕組みを導入する際は、エンドポイントやIT資産、契約ソリューションの把握から始めましょう。