第1回 - 企業や経営陣に期待されるサイバーハイジーンの実践とその有用性

2022-06-02

サイバーハイジーンとは何か？

サイバーインシデントの発生件数が増し、そのリスクが高まる中、サイバー空間の公衆衛生を保つという意味の「サイバーハイジーン」に注目が集まっています。これは風邪対策における手洗い・うがいや日々の検温、予防接種、マスク着用などの公衆衛生活動と同様に、IT環境におけるサイバー空間の公衆衛生を確保するための基本的なセキュリティ対策活動を指します。類似の取り組みであるセキュリティハードニングもこの一部に含まれます。

サイバーハイジーンは決して高価なセキュリティ製品を導入すれば実現するものでもなければ、DMZなどのインターネット境界のみで対応すれば良いというものでもありません。例えば私たちが風邪をひいた場合、食事、睡眠、運動などにより日ごろから健康な状態を維持し、免疫力を高めておくことが、症状の緩和や早期回復に結びついています。これと同じことがサイバー領域にも言えます。

クラウドや公開システムはもちろん、VPNや専用線で接続している周辺機器、あるいは内部ネットワーク上にある業務系のシステムやネットワーク機器なども含め、環境全体に内部的な堅牢化対策を施すことがサイバーハイジーンにとっては重要なのです（図表1）。

サイバーハイジーンが注目される背景（社会の変化とインシデントの傾向）

サイバーハイジーンが注目される背景には、ここ数年の急速な社会のデジタル化・オープン化という変化があります。政府が「Society5.0」「Data Free Flow with Trust」「デジタルトランスフォーメーション（DX）」などを掲げていることもあり、この後押しを受けた企業ではクラウドサービスの活用やリモートワーク環境の整備と普及が急激に進んでいます。また専門的サービスを提供する企業とデータ共有やサービス連携を行うケースも増えています。とはいえ、全ての企業がこのような取り組みを進めているわけではなく、オンプレミス型のITアーキテクチャーを多く残した上で、こうした技術・サービスを部分的に利用している企業が一般的と言えるでしょう。

こうした変化は、組織にビジネス上の利便性や競争優位性をもたらす一方、サイバーセキュリティの側面から考えると、アタックサーフェースの拡大を招いており、管理負荷や対応難易度が増大している状況とも言えます。その結果、近年では、以下のようなサイバーインシデントが急増しています。

リモートアクセス用のVPN装置やファイヤーウォールの基本的なパッチ適用を怠り、技術的な脆弱性が悪用された不正アクセス・侵害が発生
接続先のマネージドサービス企業やサードパーティーが侵害された際、専用線で接続をしているという理由で接続経路上の脆弱性管理を劣後させた結果、自社においても不正アクセス・侵害拡大が発生
社内の端末やネットワーク上の権限管理や通信制御の設定不備などによりラテラルムーブメントを許し、社内の広範囲におけるマルウェア侵害が発生
クラウドサービスの設定ミスによる外部からのデータ侵害が発生

サイバーハイジーンの重要性

これらのサイバーインシデントにはもちろんさまざまな原因がありますが、サイバーハイジーンを実践することで、多くの場合はこれらの根本原因に対処できます。

重大な被害が発生しているサイバーインシデントをみると、攻撃者に入口対策を突破されただけでなく、その後の内部対策にて実装すべきセキュリティ防御が杜撰であったことに起因しているケースが少なくありません。そのため、内部環境の対策強化としてサイバーハイジーンを実践することの必要性が高まっており、改めて多層防御の実効性を見直すことが重要となってきています。

また、企業間でシステムやデータの相互連携を行うビジネスケースが増えてきている昨今においては、自社のセキュリティ保護に留まらず、ビジネスパートナーや取引先企業に悪影響を及ぼすサプライチェーンリスクの観点や逆に接続相手側から悪影響が伝播してくるリスクの観点も想定し適切なセキュリティを実現していくことが重要となっています。サイバーハイジーンは特定のセキュリティ製品に依存しなければ実現できないものではありません。運用上の基本的な諸対策を徹底することで実施できるものです。

このような背景から、近年は地味ではあるものの、大きなコストをかけず効果が得られる「サイバーハイジーン」が注目されており、セキュリティ対策のアプローチが見直されるきっかけにもなってきています。

サイバーハイジーンのプラクティス例 - CIS Controls バージョン8 -

企業がサイバーセキュリティ対策を検討する上で広く利用されているガイドの1つであるCIS Controlsバージョン8では、サイバーセキュリティに関するプラクティスがIG（Implementation Groups）として3段階に分類され示されています。その中で、IG1に定義された56項目が基本的なサイバーハイジーンのプラクティスとされています。これらは全ての組織が適用すべきサイバー防御の保護手段として紹介されており、企業がサイバーハイジーンの実践を検討する上で参考になります。

出典：CIS https://www.cisecurity.org/controls/v8

サイバーハイジーンに関する金融当局の規制やガイド（概要）

金融分野では数年前から世界各国でサイバーハイジーンの定着と実践に向け、金融機関への取り組みが促進さており、一部の国では規制として施行されています。

当該内容は、一義的には金融機関向けの情報ですが、昨今では金融機関以外でも金融ビジネスと関連のある企業が増加しているため、金融ビジネスで取り扱われるデータ・システム管理と同水準の期待が求められるインダストリーにおいても参考になるでしょう。

出典：MAS https://www.mas.gov.sg/regulation/notices/notice-655
　　　金融庁 https://www.fsa.go.jp/news/r3/cyber/torikumi2022.html

出典：OCC https://www.occ.gov/news-issuances/bulletins/2020/bulletin-2020-5.html
　　　FDIC https://www.fdic.gov/news/financial-institution-letters/2020/fil20003a.pdf

まとめ：経営陣こそ「サイバーハイジーン」の有用性を理解し活用を

これまで述べてきたとおり、サイバーハイジーンは、システムハードニングも含めた基本的なサイバーセキュリティに係る対策および活動を意味します。また、決して高額な製品やソリューションを導入したり、専門家を雇ってセキュリティ運用したりしないと実現できないということではありません。

もちろん、最新のセキュリティ製品の導入が必要なケースもあります。ただ、綿密な計画や準備がないままに次々と新たな製品を導入してしまうと、専門性の不足などから製品の機能を十分に活用しきれない状況で放置されたり、ランニングコストが予想以上に膨らんだり、結果として効果が乏しいにも関わらず現場の負担だけが増えたりするという、「セキュリティ疲れ」が起きるリスクも考えられます。

地味ではあるもの、IT機器の設定の点検・見直しを行い、着実にサイバーハイジーンを実践し続けていくことは、セキュリティコストを過度にかけずにインフラストラクチャーの内部からサイバー攻撃耐性を向上させる効果的なアプローチです。また、こうした取り組みを継続していくことは、組織や従業員のセキュリティの実践に関する意識を向上させる効果が期待でき、サイバーハイジーンの実践をシステム開発段階に広げて行くことで、セキュア開発ライフサイクルの実現にもつながっていきます。

企業の経営陣には、このようなサイバーハイジーンの有用性を理解し、組織全体のセキュリティーカルチャーの定着と向上を図り、高度化するサイバー攻撃の脅威に対してレジリエントなサイバーセキュリティガバナンスを構築していくことが求められています。

では、サイバーハイジーンの浸透度を自社組織のシステム・機器を対象に評価する場合、どのようなコンセプトに具体的に基づき実施すべきでしょうか。次回コラムではその点について解説を行います。

本稿における意見・判断に関する記述は筆者の私見であり、所属組織の見解とは関係のない点をあらかじめお断りしておきます。