手洗い、うがい、マスク。しっかり出来ていますか?? サイバーハイジーンについて学ぶための連載が開始されます
ハイジーンとは
COVID-19により、初めて緊急事態宣言が発令(2020年4月7日)されて2年が過ぎました。多くの人が、手洗い、うがい、マスクを励行し、生活をする上で当たり前の行動になりました。多くの店舗やビルなど人が集まるところでは、入り口などでアルコールジェルが置かれることも一般的になっています。
こういった衛生管理の行動をハイジーンと言います。
2年前は面倒くさい、手間がかかるなど嫌がる人も多かったでしょうが、自分を守るためにと、いまやほとんどの人が、違和感もなく、しっかり継続をしているのではないでしょうか?
デジタル世界でも、衛生管理が注目されています。リスク発生を未然に予防する行為、これが、サイバーハイジーンです。今までは、侵入されることを前提としたセキュリティでしたが、これからは、侵入をされないことを大前提としたセキュリティを考えましょう、ということです。
みなさんは、Covid-19に感染したときのために手洗い、うがいをするのではなく、Covid-19に感染しないように手洗い、うがいをしますよね。
PCにウイルスソフトをインストールし、最新のものにバージョンアップしていますか? OSは最新なものになっていますか? パスワードは堅牢なものになっており、厳重に管理していますか?
サイバーリスクはコントロールできませんが、その対応についてはコントロールができるのです。サイバーハイジーンとは、資産を可視化、脆弱性を可視化することです。さらにこれをリアルタイムで実施することが重要です。
COVID-19の変異などにより、私たちの実生活ではさらに対応を徹底したり、ワクチン接種回数を増やすなどの検討が行われます。サイバーアタックは日々進化し、新たな手法で攻撃を仕掛けてきますので、より速い対応、つまりリアルタイムの対応が求められるのです。
企業のIT担当の方はもっと大変です。企業内のすべてのデバイスを把握していますか? そのすべてのデバイスのステータスを管理出来ていますか? それをリアルタイムでやらなくてはならないのです。
多くの企業で以前はこのような対応を行っていたかも知れません。ただ、対象のデバイスが増え、ITが拡大・複雑化し、そのうえテレワークなども増えている現状で、対応は難しくなってきているのではないでしょうか?
セキュリティツールを揃えたから大丈夫、ではなく、揃えた後の管理も重要なのです。面倒だから、明日へ……これでは、外出から帰って来た時に、うがい、手洗いは面倒だから明日に、としているのと同じなんです。
でも、そういわれても、実際にはどういう体制で、どういう運営をすべきかというのはよくわからないですし、難しそうですよね。
サイバーハイジーンについて、さわり程度をご紹介しましたが、もっと詳しく知る必要がありそうです。
そこで、JAPANSecuritySummit Updateでは、SpecialEditionにおいて、サイバーハイジーンを紹介する連載を始めることにしました。
サイバーハイジーンが必要なのは大企業だけか?
いまや、脆弱性をついた攻撃は、大企業だけのものに留まりません。今年に入って、サプライチェーン企業がアタックを受けて工場の生産が止まるなどの影響が相次いでいます。
昨年からLog4jの脆弱性が狙われる事件が急増し、さらに今は世界でEmotetが猛威を振るっており、政府機関も注意喚起を呼び掛けています。
大企業だけでなく、中堅・中小企業にも影響が広がっていることをみてもお判りの通り、すべての企業においてサイバーハイジーンが必要なことがわかります。
当然、個人も対策が必要です。
もしあなたのPCが攻撃にあい、PCが使えなくなったらどうでしょう?
もしあなたのPCが踏み台になり、会社のサーバーに影響を与えてしまったらどうでしょう?
さらに、突然スマートフォンが使えなくなったら、通常の生活にどのような影響があるか想像してください。
再びCOVID-19の例をあげて恐縮ですが、うがいが不要な人、手洗いが不要な人、マスクを付けないでいい人などはいないと思います。それと同じなんです。インターネットに繋がっているすべてのものの衛生管理を実行して欲しいと思います。
では、企業ではどのような対策が必要か? 私たちが個人ですべきことは?
こちらも、新たに始まる連載で学んでほしいと思います。
サイバーハイジーンでサイバーリスクをゼロに?
残念ながら、現状ではサイバーリスクをゼロにすることはできなさそうです。
サイバーセキュリティはいたちごっこ。サイバーセキュリティの対策が講じられると、攻撃側は新たな手法で仕掛けてきます。弱いセキュリティを探してそこを突いてきます。
従って、私たちは、脆弱性を極力ゼロに近づけておく。これが大事なところです。
サイバーセキュリティの現状を知り、それに対処しておく。脆弱性が確認されたら素早くパッチの適用をしておいた方がよさそうです。
ただ、いたちごっこに付き合っていたら、コストばっかりかかってしまいそう。サイバーセキュリティ対策は、それ自身が売上につながったり、直接利益を得たりすることにはならないので、その対応が難しいという声もよく聞きます。
でも、考えてみてください。万が一、あなたが、あなたの会社がサイバーアタックにあって、サーバーが止まってしまったら、スマートフォンが使えなくなったら。その復旧にどのくらいのコストがかかるでしょうか?
システムの復旧だけではありません。国内企業などでも工場の生産ラインのストップを余儀なくされるということがおこりました。いまや、ITなしでは、生産も、物流も、販売ですら困難になっています。それらがストップした時の損害額は計り知れません。
そう思うと、サイバーアタックへの予防というのは、売上を維持する、利益の確保というか、企業の存続をも左右するとなると、コストがかかるからという考え方は薄れませんか?
システムの復旧は、多くの人の稼働とコストがかかる。一方、サイバーハイジーンにかかる人員とコストは? と思い起こすと明らかですね。
この辺も机上の空論と思われないように、具体的な状況についても連載で確認できればと思っております。
サイバーハイジーンについての連載は5月10日にスタートです。たまにTOPページで確認してみてください。
また、新たな記事の掲載後はメールマガジンでもご案内しますので、登録をいただければと思います。
