サイバーハイジーンとサイバーレジリエンスを考える

ss1-log_management_01.png

前回、「欧州サイバーレジリエンス法」について紹介しました。この「サイバーレジリエンス」と対比させて使われる言葉として「サイバーハイジーン」があります。これらの言葉の違いと、それぞれの特徴について紹介します。

関連記事

サイバーハイジーンとは

日常生活において、私たちは手洗いやうがいをしています。これは、ウイルスなどに感染することを防ぐために、予防として実施しているものです。

これと似たようなことをコンピュータでも実施することを「サイバーハイジーン(Cyber Hygiene)」といいます。ハイジーンは「衛生」という意味で、情報セキュリティにおける基本的な予防策やベストプラクティスを指します。

その背景には、サイバー攻撃の多くが予防によって軽減できることがあります。

たとえば、脆弱性を狙った攻撃に対して事前にソフトウェアのアップデートを適用したり、ウイルスを送り込む攻撃に対してウイルス対策ソフトを導入したりすることが挙げられます。その他にも、日常的な対策を強化することで、攻撃のリスクを軽減できます。

このようなサイバー攻撃は直接的な被害が出るものだけではありません。

たとえば、利用者があるWebサイトに会員登録していると、そのWebサイトから情報が漏洩する可能性もあります。このとき、利用者の視点では、会員登録する前にそのWebサイトへの登録を回避できれば、自身の情報が漏れることを防げます。

また、そのようなWebサイトを運営している組織にとっても、情報漏洩などの事件が発生すると、組織の評判に悪い影響が出ます。つまり、サイバーハイジーンが求められる背景として、「攻撃の増加」だけでなく「データの保護」や「法的な要件の遵守」なども含まれます。

たとえば、次の表のようなものが挙げられます。

ソフトウェアの更新OSやアプリケーションの更新プログラムを適用し、最新の状態にする
SS1「更新プログラム管理」機能
SS1クラウド「更新プログラム管理」機能
強力なパスワードの使用長く複雑なパスワードを設定する
パスワード管理ツールの使用パスワードの使いまわしをしない
多要素認証の導入2段階認証、2要素認証などを導入する
フィッシング詐欺への対応メールやSMSなどでのリンクをクリックしない
データのバックアップ重要なデータは定期的にバックアップする
ウイルス対策ソフトの導入ウイルス対策ソフトやファイアウォールを導入し、常に有効にする
資産管理、構成管理社内で使用しているハードウェア、ソフトウェア、ネットワークに接続している機器を把握する
SS1「機器管理」機能
SS1クラウド「機器管理」機能
脆弱性診断の実施自社で開発したアプリについて脆弱性診断やペネトレーションテストを実施する
セキュリティポリシーの周知自社で定めているセキュリティポリシーやプライバシーポリシーなどを社内に周知する
訓練の実施従業員に対して訓練を定期的に実施し、意識を高める

ここで重要なのは、最新の内容を反映して維持することです。世の中では新しい脅威が登場しますが、それを把握し、対応する必要があります。

サイバーレジリエンスとは

サイバーハイジーンが「予防」なのに対し、サイバー攻撃などを受けたときに組織としてどれだけ耐えられるか、そして回復できるかを指す言葉が「サイバーレジリエンス(Cyber Resilience)」です。つまり、単純に防御するだけでよいのではなく、攻撃を受けたときに被害を最低限に抑えつつ、業務を継続できるかが重要になってきます。

たとえば、ランサムウェアに感染してしまうと、社内のデータが暗号化されてしまい、業務が停止することが想像されます。
もちろん、感染しないことが理想ですが、感染してしまったとしてもネットワークを分割しておくことで影響範囲を最小限に抑えられるかもしれません。

また、バックアップを使って早期に復元できれば、業務が停止する時間を短縮できます。このように、サイバー攻撃に対する停止時間を短期間に抑えて再開することで、顧客や取引先からの信頼を得ることができるかもしれません。

具体的な手段として、次の表のようなものが挙げられます。

BCPなどの策定サイバー攻撃を受けたときに対応フローを明確にし、社内外に共有する
監視システムの構築ログの監視や侵入検知についてのシステムを導入し、リアルタイムで対応する
ネットワークの分割被害を最小限に抑えるためにネットワークを細かく分割する
取引先の管理社外の取引先についても契約などで基準を設け、リスクを管理する
CSIRTの設置インシデントが発生したときに速やかに対応できる組織を用意する
フォレンジックの実施インシデントが発生したときにその証拠を収集できる体制を構築する

これまでの考え方の違いと最近の動向

サイバーハイジーンやサイバーレジリエンスの考え方は、突然登場したわけではありません。たとえば、2014年にNIST(アメリカ国立標準技術研究所)がCSF(Cyber Security Framework)を発表し、2024年にバージョン 2.0が公開されました。

CSFでは、事前対策として「統治」「特定」「防御」、事後対策として「検知」「対応」「復旧」のように分類されています。この事前対策の部分がサイバーハイジーン、事後対策の部分がサイバーレジリエンスと考えることもできます。

このCSFは組織のサイバーセキュリティに特化したフレームワークで、経済産業省とIPA(独立行政法人情報処理推進機構)が共同で策定した「サイバーセキュリティ経営ガイドライン」も、上記のCSFを参照して作成されています。

日本の企業でのセキュリティの取り組みとしてISMS(情報セキュリティマネジメントシステム)がありますが、こちらは情報セキュリティ全般を対象にしたフレームワークです。

ISMSではリスクアセスメントやリスクマネジメントの考え方が示されており、リスク対応として「リスク低減」「リスク回避」「リスク移転」「リスク保有」の4種類があります。これもサイバーハイジーンやサイバーレジリエンスの考え方に近いといえます。

最近の動向として、2024年10月には金融庁から「金融分野におけるサイバーセキュリティに関するガイドライン」が公開されました。
このガイドラインでも、サイバーハイジーンという言葉が登場し、基本的な対応事項や対応が望ましい事項が定められています。

このように、セキュリティに対しては、さまざまな視点から捉えて対応することが求められています。

参考

まとめ

サイバーハイジーンとサイバーレジリエンスは、いずれもサイバーセキュリティの重要な要素ですが、それぞれ異なる側面を持っていることがわかります。しかし、この2つは一方だけを重視すればよいわけではありません。

サイバーハイジーンを実践することで、攻撃のリスクを減少させることができ、結果としてサイバーレジリエンスを高めることにつながります。また、サイバーレジリエンスを強化するためには、サイバーハイジーンの実践が不可欠なのです。

著者プロフィール
増井 敏克氏(ますい としかつ)
増井技術士事務所代表。技術士(情報工学部門)、情報処理技術者試験にも多数合格。
ビジネス数学検定1級。

「ビジネス」×「数学」×「IT」を組み合わせ、コンピューターを「正しく」「効率よく」使うためのスキルアップ支援や各種ソフトウェア開発、データ分析などをおこなっている。

著書に『図解まるわかり セキュリティのしくみ』『図解まるわかり プログラミングのしくみ』『図解まるわかり アルゴリズムのしくみ』『IT用語図鑑』『IT用語図鑑[エンジニア編]』『Pythonではじめるアルゴリズム入門』『プログラマ脳を鍛える数学パズル』『プログラマを育てる脳トレパズル』(以上、翔泳社)、『プログラマのためのディープラーニングのしくみがわかる数学入門』『プログラミング言語図鑑』(以上、ソシム)、『基礎からのプログラミングリテラシー』(技術評論社)、『RとPythonで学ぶ統計学入門』(オーム社)などがある。