「サイバーハイジーン（衛生管理）」から始まるサイバーセキュリティ対策

サイバーハイジーン（衛生管理）とは

ハイジーンとは「衛生」を表す言葉で、「サイバーハイジーン」はIT環境における衛生管理を示しています。衛生管理と聞くと真っ先に頭の中でイメージすることは、病気にならないための予防対策です。毎年インフルエンザの流行が懸念される時期になると、ワクチン接種や、手洗い、うがい、十分な栄養の摂取や睡眠の確保といった事が取り上げられます。健康で安定した生活を送るためには、まずは病気にかからない状況を、平時からの取り組みを通して確保することが大切になります。

衛生管理という観点からは、IT環境も同様の事が考えられます。IT環境の変化や脅威の巧妙化により、昨今では侵入を前提としたセキュリティ対策が強化されていますが、それだけで完結する話ではありません。侵入を前提とした対策とは、そもそも侵入させない体制が整備された上で成り立つことで、決して丸腰で侵入させるということではありません。米国のCIS（Center for Internet Security）が発行している技術的なセキュリティコントロールを整理したガイドライン「CIS Controls」のなかでも、基本的なサイバーセキュリティにおける予防策として各対策項目のIG1（Implementation Group1）を「Basic Cyber Hygiene」と定めており、「すべての企業にとって情報セキュリティの最低基準となる」と述べられています。サイバーハイジーンは、サイバーセキュリティにおいて、平時から基本対策を講じ、IT環境の衛生管理を確保することが、安定した事業継続や、万が一インシデントが発生した際の早期回復に繋がります。

サイバーハイジーンへの取り組み方

具体的に組織がとるべき基本対策を以下にまとめます。この基本対策には、技術的な面だけではなく、人の教育も重要になってきます。過去のサイバーインシデントを見ていても、人的ミスが散見されることからも人の教育の重要性が分かります。

どの対策も、特に目新しいものではなく聞きなれたものばかりだと思いますが、セキュリティ担当における例をいくつか紹介します。
まずは取引先との契約内容の把握です。システムやセキュリティ製品など複数のベンダーと契約を結んでいることも珍しくありませんが、それぞれについて契約を結ぶ際、または更新した際などに内容を改めて把握しておくことが大切です。当社が過去に支援したインシデントのケースでは、お客さまにおいてインシデント発生時の対応支援サービスに関する事前契約が無く、依頼先が明確化されていなかったために、契約やNDAといった書面のやり取りに時間を要してしまい本格的な調査開始までに3～4日かかってしまうケースがいくつか見受けられました。またネットワーク構成図においても同様で、組織が保管していたネットワーク構成図が適切に更新されてないために、ネットワーク上の不審なトラフィックを検知するための監視センサーを設置するにあたり、その調整などで工数を要したケースがありました。それらの結果、インシデントへの初動対応に大きな遅れと影響が生じてしまいました。

次に、脆弱性管理は多くの組織においても課題の1つに挙げられるのではないかと思います。次から次へと見つかる脆弱性にタイムリーに対応することは、セキュリティ従事者にとっては大きな負荷となります。一方で米国CISA（Cyber Security＆Infrastructure Security Agency）が2022年に公開した「2021年に日常的に悪用された脆弱性」によると、既に公に知られている古い脆弱性が悪用され続けていると指摘されています。つまり、ベンダーから修正プログラムが公開されても対応していない組織が多いため、攻撃者が悪用を試みていることが考えられます。このような課題に対して組織はNISTが公開している脆弱性管理のガイドライン「NIST SP800-40」を参考に脆弱性管理のプロセスを見直して平時よりこれらの脆弱性に対応しておくことで、脆弱性を悪用する攻撃から自組織を保護することに繋がります。「NIST SP800-40」については、「脆弱性管理のガイドライン「NIST SP 800-40」を紐解く」の記事にて脆弱性管理の推奨プロセスを解説していますので、是非こちらも参考にして下さい。
これらの例が示しているように、サイバーハイジーンへの取り組みは基本的な対策ではありますが、常に最新の状態で管理・運営することが重要になります。

CISOの役割

CISOにおける経営・事業に関する役割の一つにコーポレートガバナンスがあります。そして、コーポレートガバナンスでは組織におけるセキュリティ目標の設定やセキュリティに関する意識向上といった、組織全体のセキュリティレベルを底上げすることが求められています。一方で、従業員に基本対策の重要性やサイバーハイジーンのベストプラクティスを守らせることは非常に困難であることを認識する必要があります。それは、多くの人がサイバーセキュリティにさほど熱心ではないからです。また、平時からの取り組みとなると、サイバーハイジーンに対する各自の緊張感を日々維持しないといけません。そのような状況下では、過去の事例などを参考にセキュリティ侵害は非常にコストがかかるという事実を伝えることが大切です。信頼性の失墜、倒産や閉鎖といったビジネスを危険にさらすだけでなく、従業員が突然失業するという結果に繋がる可能性もあるからです。例えば、最近のいくつかのインシデントを取り上げ、それが日常の業務にどのような影響を与えたかを親近感を持って伝わるようなストーリーを作り、繰り返し周知させるのも有効です。

サイバーハイジーンを更に強化するアタックサーフェスリスクマネジメント

風邪の予防対策をしていても、それをすり抜けて風邪をひいてしまうことがあるように、万が一侵入されてしまった際の対策も事業継続という観点からも強化しておく必要があります。侵入される前提としては、EDR^*1やXDR^*2を導入することで早期のインシデント検知や侵害原因・影響範囲の迅速な調査に繋げることが可能になります。一方で昨今では多くの従業員がハイブリッド型の勤務形態に適応し、現場勤務と在宅勤務の境界が曖昧になってきているために、攻撃対象となる侵入経路を把握して対策を講じておく必要が出てきました。更に潜在的な侵入経路をセキュリティ部門で把握しておくことは非常に困難なため、従来の特定箇所を点で守るポイント型ソリューションから脱却し、自組織のアタックサーフェス（攻撃対象領域）^*3全体の状況を把握することが重要になります。アタックサーフェス（攻撃対象領域）の管理の重要性は、デジタル庁が発行した「政府情報システムにおけるセキュリティ・バイ・デザインガイドライン」や、JPCERT/CCの「最近のサイバー攻撃とインシデント対応のポイント」のなかでも言及されています。さらに、アタックサーフェス（攻撃対象領域）は把握するだけでなく、アタックサーフェス（攻撃対象領域）に存在するリスクの評価・優先度付け、リスクの軽減にわたる一連の対処をすることが必要となってきています。そして、経営陣にとっても、セキュリティへの包括的なアプローチによるデジタルインフラにおけるアタックサーフェス（攻撃対象領域）とリスクの全体像の把握（アタックサーフェスリスクマネジメント：ASRM）の重要性に対する理解が必要となってくるのです。

*1EDR（Endpoint Detection and Response）：端末上の不審な挙動を記録し、セキュリティ監視や事後調査等に活用できるセキュリティ機能
*2XDR（Extended Detection and Response）：複数のセキュリティレイヤーから収集した情報をもとに相関分析を行い、迅速なインシデント調査を実施できるセキュリティ機能
*3アタックサーフェス（攻撃対象領域）:サイバー攻撃を受ける可能性があるデバイスやソフトウェアを指します。パソコン、モバイル、IoTデバイス、サーバ、VPN機器、クラウドサービス、サプライチェーンを構成するサービスなどがあげられます。また、アタックサーフェス（攻撃対象領域）は侵入起点だけでなく、侵入後に踏み台となる機器や、重要資産が保存されているサーバなども含みます。