企業を守るための基本戦略!サイバーハイジーンを解説
現代のビジネス環境は、急速に変化しています。クラウド利用の増加、リモートワークの普及、そしてIoTデバイスの拡大により、企業のIT環境はこれまで以上に複雑で広範囲にわたるようになっています。この変化に伴い、従来のセキュリティ対策だけでは、サイバー攻撃のリスクを十分に軽減できないことが浮き彫りになっています。
例えば、ファイアウォールやウイルス対策ソフトといった境界防御だけでは、フィッシングメールや内部からの脅威、リモートアクセスによるリスクに対応しきれません。こうした背景から、日常的なセキュリティ意識を高める「サイバーハイジーン」が重要視されています。これは、企業が実践すべき基本的なセキュリティ対策であり、企業全体のセキュリティレベルを底上げする効果があります。本記事ではサイバーハイジーンについて、実践する重要性や、享受できるセキュリティ効果などを交えて解説します。
- サイバーハイジーンとは、IT環境の「衛生管理」にあたる概念で、人が感染症を手洗いやうがいで防いだり、健康診断でさまざまな早期発見・治療による大病を防ぐように、IT環境の安全対策を日常的に実践することを指す
- 「予防」のための対策であるサイバーハイジーンには、セキュリティ対策の確立、コスト効率の向上、企業全体のセキュリティ意識の向上、事業継続性向上などのメリットがある
- 日常的なセキュリティ意識と実践が、企業の事業継続性を大きく左右する
-
櫻井 秀憲ソリューション事業本部 インフラ事業部セキュリティソリューション室
主任/エキスパート(セキュリティコンサルタント:CSIRT)2005年に組込機器アプリの開発に携わり、その後移動体通信の無線品質調査研究プロジェクト、交換局開発のPMOチーム、基地局開発のPMOチームに参画、 国内向け新型基地局のPMを務める。現在は自社CSIRTである FSI-CSIRTの活動を通し、社内セキュリティの強化を行いながら、お客様向けにSOC、CSIRTの運用や脆弱性診断、セキュリティ教育の支援など担当。当社加盟セキュリティ団体(ISOG-JやNCA)への参加、発表なども行う。
サイバーハイジーンとは
ハイジーンは「衛生」を意味しており、人が感染症を手洗いやうがいで防いだり、健康診断でさまざまな早期発見・治療による大病を防ぐように、組織のIT環境における「平時の衛生管理」にあたる概念です。サイバーハイジーンとは「予防」のための対策を日常的に実践することを指します。
米国CIS(Center for Internet Security)が発行するCIS Controls※1という企業が取り組むべきサイバーセキュリティ対策のガイドラインには、実装グループが3つあります。この中の「IG1※2」という実装グループにて、すべての企業が最低限行うべき対策として、サイバーハイジーンは定義されています。企業におけるセキュリティ対策の基本として実施することで、組織全体の安全性を高めることが求められます。
※1:CIS Controls(https://www.cisecurity.org/controls)
※2:IG1(https://www.cisecurity.org/controls/implementation-groups/ig1)
具体的な例
- (PCなどの)IT資産の把握と管理:データを保存する可能性のあるすべての資産(PC、サーバ、ファイアウォールや無線アクセスポイントなどのネットワークデバイスIoTデバイスなど)の最新状態を正確に把握し、IT管理者が承認していないデバイスがないかを週次で確認し、必要に応じてネットワークからの隔離などを行う。
- ソフトウェアの把握と管理:PCなどのIT資産にインストールされているソフトウェアを把握し、許可されていないソフトウェアの使用がないか、現在サポートされているバージョンか、セキュリティパッチは最新かの確認を毎月確認し、必要に応じて更新や削除をする。
- データの把握と管理:組織で取り扱うデータ(最低でも機密データ)を把握し、データに対するアクセス制御が適切か、データの取り扱いは適切か、ユーザーが扱うデバイス上で暗号化されているか、不要なデータを保持していないか(適切なデータの廃棄をおこなっているか)を管理、維持する。
- ソフトウェアやサービスの適切な設定:PCやサーバに対するファイアウォールの適用や、未使用の状態が続いた場合のセッション切断、安全でない通信プロトコルの利用禁止、デフォルトアカウントの管理などを行い、適切な設定(安全な状態)であることを維持する。
- アカウントの把握と管理:組織で管理されるアカウントを把握し、使用可能なアカウントすべてをIT管理者が承認しているか、四半期ごとまたはそれ以上の頻度で確認する。また、パスワード強度が適切に実装されているか、休止アカウントが無効化されているか、管理者権限は制限されているかなども確認する。
- アクセス権の制御と管理:アクセス権限を付与、停止するプロセスを確立し、外部に公開されるアプリケーション(社内システム)や、リモートアクセス、管理者アカウントについて多要素認証を要求する。
- マルウェアの防御:すべてのIT資産に悪意のあるソフトウェアを検知、防止するセキュリティ対策ソフトウェアを導入、検知するためのシグネチャが自動的に更新できるよう設定する。また、外部メディアの自動実行や自動再生も無効化する。
- データ復旧:データの自動バックアップや、暗号化などによるバックアップデータの保護、バックアップデータ用の隔離された環境の維持、バックアップデータからの復旧プロセスを確立する。
- セキュリティ意識向上のための教育:組織のIT資産やデータを安全に取り扱うための方法や、フィッシングメールなどの攻撃手法の説明、データの適切な管理(不要なデータの廃棄など)、意図しない情報漏えいの原因、セキュリティパッチが最新でない場合の対処方法、安全ではないネットワークで業務を行うことの危険性、セキュリティ事故発生時の報告方法などについて教育する。
- インシデント対応体制の確立:セキュリティインシデント発生時の報告に関する組織全体の基準を策定、インシデント対応を行うチームにその情報が集約されるようにし、インシデント対応体制を確立する。
これら予防のための対策を実践することで、企業全体のセキュリティリスクを低減でき、主要なサイバー攻撃が発生するリスクの大部分を回避できるとされています。
サイバーハイジーンのメリット
サイバーハイジーンを実践することで、享受できるメリットは以下です。
- サイバーセキュリティ対策の確立:すべての企業が行うべき基本的なセキュリティ対策を実現でき、サイバー攻撃から自組織を守るための基礎を築けます。
- コスト効率の向上:CIS ControlsのIG1で定義されている対策は、限られたITおよびサイバーセキュリティリソースをもつ企業向けに設計されています。事業を継続するために必要な基本的対策であるため、大規模なセキュリティソリューションを追加で導入する必要が減り、セキュリティ対策への投資を効率的に行えます。
- 企業全体のセキュリティ意識向上:IT管理者および従業員に対し、セキュリティ教育を実施することで、従業員ひとりひとりがセキュリティの重要性を理解し、全社的にセキュリティ意識が向上します。
- 事業継続性の向上:基本的なセキュリティ対策を実現することで、サイバー攻撃による業務停止のリスクを最小限に抑え、事業継続性を確保します。
サイバーハイジーンはセキュリティ対策において不可欠
サイバーハイジーンは、企業のセキュリティ対策において不可欠な基本施策です。IT資産やソフトウェアやサービス、アカウントの適切な把握と管理、セキュリティ教育や、インシデント対応体制の策定が企業の安全性を大きく左右します。
サイバー攻撃は今後ますます巧妙化し、増え続けることが予想されます。そのため、サイバーハイジーンの取り組みを手洗いやうがいのような感染症対策と同じように、継続的に見直し、改善することが重要です。
富士ソフトではセキュリティ強化に向けた「コンサルタントによるセキュリティアセスメント」や「エンドポイントセキュリティ製品の導入」、「インシデント対応体制の構築・支援サービス」、「セキュリティ教育サービス」など、サイバーハイジーンに必要な対策をご提供可能です。お客様組織に合わせたプランをご提案いたします。
※記載の会社名、製品名は各社の商標または登録商標です。
