コロナ禍を通じて、身の回りの衛生環境に関する意識を改めたという方は多いでしょう。では、“サイバー空間の衛生”についての意識はいかがでしょうか。DX時代のICTセキュリティのキーワードとして、「サイバーハイジーン（サイバー衛生）」が重要な考え方となりつつあります。
サイバーハイジーンとは何なのか、どう実践すればいいのかなど基本的なポイントを押さえましょう。

サイバーハイジーンの意味と今求められる理由

サイバーハイジーンとは、マルウエア感染や情報流出のリスクに対し一定の対策が施された安全なICT環境のあり方、およびそのための取り組みを意味します。この概念は、インターネットの普及が急速に進み始めた2000年ごろの論文ですでに使われており、決して新しいものではありません。

しかし、テレワークあるいはIoTなどに代表される昨今のICTネットワークの広がりや、情報通信機器を誰もが一台以上持つようになった社会情勢、サイバー攻撃の増大＆巧妙化といった背景から、その考え方を企業にインストールすることがかつてなく求められています。

サイバーセキュリティ基本法に基づき内閣に設置されたサイバーセキュリティ戦略本部作成の『サイバーセキュリティ2022』においても、サイバーハイジーンの庁内での徹底や民間への浸透が方針として掲げられており、今後も重要性は増していくことが予想されます。

しかし、端末管理やパッチ適用などサイバーハイジーンを構成する対策には触れたことがあっても、包括的な目線でサイバーハイジーンの評価や実践に取り組んだことがあるという方はまだまだ少ないはず。

ここからは、サイバーハイジーンの具体的な手法に踏み込んでいきましょう。

サイバーハイジーンの実践では「組織」「個人」二つの目線が重要

サイバーハイジーンの実践は「評価→問題の特定と対策→実践→検証」の流れで行うことになります。まず、評価のステップに入るにあたって押さえておきたいのは、組織・個人二つの視点を峻別し、それぞれに合わせた検証を行う必要があるということです。

組織のサイバーハイジーンは、「経営」のサイバーハイジーンとも言い換えられるでしょう。

• サイバーハイジーンについて経営陣が理解し、評価する手法を持っているか
• サイバーハイジーンを保つにあたって十分な予算を確保し、人材育成に取り組めているか
• サイバーハイジーンの要件を定期的に見直す体制は構築できているか
• サイバーセキュリティリスク管理体制・ルールを構築できているか
• サイバーセキュリティリスク（意図しないアクセスなど）を検知し、対策するプロトコルや体制は整っているか
• 非管理端末は社内に存在しないか

上記のように、サイバーハイジーンに対する経営陣の理解と、それに基づいた具体的な対策が施されているかが評価のポイントとなります。また、近年は組織のサイバーハイジーンを評価するサービスやシステムも勃興し始めています。組織のサイバーハイジーンは、基本的にセキュリティの知見を持つ専門家やセキュリティ対策の担当者が評価し、実践に取り組むことになります。

一方、個人のサイバーハイジーンを実践するのは、事業部門の社員も含めた社員全員です。そのため、チェック項目も下記の通り、より個人単位の視点にフォーカスされることになります。

• サイバーハイジーンの意味・意義について理解できているか
• Nデイ攻撃、ソーシャルエンジニアリングなどサイバーハイジーンにおける脅威を最低限把握できているか
• クライアントPCに導入されているソフト／導入が禁止されているソフトのルールについて把握できているか
• OSやソフトウエアのアップデートは最新版か／アップデートについての情報を取得できる体制は整っているか

組織・個人を問わず、評価の次は問題の特定と対策に進みますが、ここで重要なのが「迅速にパッチ適用に取り組む」など曖昧な指標でなく「〇〇日以内にパッチ適用率〇〇％を達成する」と具体的なKPIを設定するということです。さらに、その結果を定量的に計測し、評価することで、PDCAを回し、サイバーハイジーン向上の仕組み作りが重要になります。

サイバーハイジーンと「ゼロトラスト・セキュリティ」

サイバーハイジーンは、現代のサイバー空間のあり方に適応し、境界型防御に代わって採用されることの増加した「ゼロトラスト・セキュリティ」の実践手法の一つと考えることもできます。

サイバー攻撃被害を完全に防ぐのが難しいことを認めた上で、すべてのネットワークを信用しない感染対策・監視と、感染後の被害の押さえこみに取り組む「ゼロトラスト」。サイバーハイジーンは中でも「インシデント以前」のゼロトラスト・セキュリティで重要な概念です。サイバーハイジーンの徹底によりサイバー攻撃被害の高い防止効果が期待できますが、それでも100％信じることはNG。サイバーハイジーンと合わせて、EDRといった「インシデント以後」の対策に取り組むことがゼロトラスト・セキュリティの必須条件となります。

サイバーハイジーンは絶対ではないこと、しかし十分に実践できている企業は少なく徹底すれば大きな効果が期待できること、この2点を意識してゼロトラスト・セキュリティに生かしましょう。

ゼロトラスト・セキュリティについて詳しくは『ITセキュリティにおけるゼロトラストの価値と実践法』を、EDRについて詳しくは『「EPP」と「EDR」の違いは？』をぜひご覧ください。

サイバーハイジーンは組織・個人のサイバーセキュリティ力を高める強い武器

サイバーハイジーンの実践においては組織・個人両方の視点が重要です。中央集権的なアクセス管理等のみでは、管理者の負担増やデジタル活用の抑制につながりかねません。だからこそ、組織とともに個人のサイバーセキュリティに関する知識・意識も高めていく必要があるのです。そこで、サイバーハイジーンの考え方は強い武器となるでしょう。