サイバーハイジーン：攻撃者に不利な状況を作り出す

2022.09.26

トピック：User Training and Security Awareness

2022年9月15日、Tony Burgess

　サイバーセキュリティは、つまるところ割合の問題です。たとえば大雨のような攻撃が降り注いだとしたら、昔ながらの傘ではもはや完全に身を守れません。というのも、雨粒の多くは誘導システムを備えており、傘を回り込んで顔面を直撃してくるからです。

　OK、雨の例えは分かりづらかったかもしれません。ただ、ここで言いたいのは、ネットワークやアプリケーション、データ、それにユーザーを保護するためにあなたが行うすべてが攻撃の割合を減らすことにつながる、ということです。システムに侵入して侵害をはじめとする大変な損害を引き起こす可能性のある攻撃の割合を減らすのです。

　サイバーハイジーンとは、攻撃が成功する可能性を減らすために行われるさまざまな行動（多くは習慣的なもの）を指します。また、優れたセキュリティ対策を維持しようとする組織の文化的気質も指します。サイバーハイジーンは、セキュリティ対策全体を構成する要素の１つですが、その責任は組織全体に分散しているのが特徴です。

個人のサイバーハイジーン

　個人向けには、オンラインサービスを利用する際に個人情報の盗難を防ぐ良いサイバーハイジーン習慣がたくさんあります。例えば米個人情報窃盗リソースセンター（ITRC, Identity Theft Resource Center) は、自分の個人情報を保護するための 8つの良い習慣のリストを提供しています。その一部を紹介しましょう。

すべてのオンラインアカウントに多要素認証を設定する。
オンラインショッピングでは、安全な支払い方法のみを使用する。
不明な差出人からのリンクは決して開かない。
すべてのデバイスを確実にパスワードで保護する。

　こうしたガイドラインを忠実に守り、オンラインで自然に操作できるようになることで、個人情報を盗まれるリスクは大幅に軽減できます。仮にログイン情報を含む情報漏洩が発生しても、独自のパスフレーズを使用し頻繁に更新していれば、そのリスクは大幅に減るのです。

IT管理者のためのサイバーハイジーン

　管理者レベルでも、サイバーハイジーンのベストプラクティスについて同様の推奨事項があります。その一部を紹介しましょう。

複雑なパスワードと多要素認証を従業員に徹底する。犯罪者がブルートフォース攻撃でデータやその他のリソースにアクセスしづらくなるようにしましょう。リモートで働く従業員が増えていることから、アクセスを厳密に制御することが重要です。アクセス制御を最適化するために、Barracuda CloudGen Access など、ゼロトラストネットワークアクセスソリューションを検討してください。
すべてのデジタル資産の最新のインベントリーを維持する。すべてのデバイスとネットワークのすべての要素を完全に可視化しなければ、気づかぬうちに脆弱性が発生する可能性があります。そして攻撃者はその脆弱性を見逃さず、突いてくるのです。
すべてのソフトウェアをアップデートしておく。パッチ管理の不備は、驚くほど一般的です。そしてその代償は（驚くにあたらないのですが）非常に高くつきます。以前から知らされ、パッチが提供されているにもかかわらず組織側が対処していなかった脆弱性を利用した攻撃が成功することは非常によくあることです。
管理者権限を管理する。重要なシステムの管理者権限を持つ人を、本当に必要な人だけに限定しましょう。権限を頻繁に見直し、担当者が変わったり、退職したりした場合は速やかに対応することです。従業員が退職した後も放置された管理者権限は、サイバー犯罪者への贈り物です。
耐用年数の過ぎたシステムを管理する。ネットワーク上のハードウェアやソフトウェアが耐用年数に達した場合、つまりセキュリティパッチやアップデートのサポートが終了した場合は、直ちに交換しましょう。サポートが終了したソフトウェアは、多くの組織にとって大きなリスクとなります。
データをバックアップする。Barracuda Backup Serviceのような高度な自動バックアップシステムをまだ使用していない場合は、使用を開始してください。今すぐ、直ちにです。

組織におけるサイバーハイジーン

　組織レベルでのサイバーハイジーンで最も厄介な点は、ユーザーに良いサイバーハイジーン習慣を定着させるためにできることが限られていることです。

　組織全体のリスクを低減するためには、サイバーハイジーンの重要性を認識し、良い習慣と実践を称賛し、欠点やハイジーン上の失敗に効果的に対処する組織文化を醸成することが重要です。

　そのためには、模範を示すことと期待している行為を明確に伝えることの組み合わせに加え、定期的に注意を喚起し続けることです。時間をかけて誰もが自然に良い習慣を身につけられるようにするのです。

Barracuda Security Awareness Training のような高度なセキュリティ意識向上トレーニングシステムは、じょうずに活用すると非常に有用です。こうしたトレーニングツールをユーザーに適したゲーミフィケーション戦略で実装し、楽しく参加できるようにして大きな成功を収めている顧客もいます。

　例えば四半期に一度、フィッシング攻撃テストに正しく対応した従業員を称え報酬を与えると同時に、成績の良くなかった従業員に対しては罰する代わりに適切なトレーニングを与えるのです。そうすることで、セキュリティ意識とサイバーハイジーンのベストプラクティスを組織全体に効果的に浸透させられます。その結果、リスクもコストも、ダウンタイムも法規制の脅威も軽減するのです。

あらゆるツールを活用する

　メール、アプリ、データ、アクセスなどを保護する高度なセキュリティソリューションは、いずれもセキュリティインフラストラクチャに欠かせない重要なツールです。それぞれが特定の攻撃の可能性を低減させます。

　サイバーハイジーンもまた、重要なツールです。ほかのすべてのツールの有効性を最適化する基盤となるからです。組織全体でサイバーハイジーンに取り組むのは、新しいメールのセキュリティツールを設定して導入することに比べると大変ではありますが、最適なセキュリティ体制を維持し、サイバーリスクを可能な限り低減するためには同じくらい重要なことなのです。