2017.05.15

「サイバー衛生とは?」そのうち一般的になるかも

難易度
2
カテゴリー
技術ナレッジ
タグ
セキュリティ
用語辞典

170515_CyberHygiene_src01

こんにちは。フリーエンジニアの木下です。
まだそれほど一般的ではないセキュリティ用語、「サイバー衛生」という言葉はご存じでしょうか?おそらくこの記事を読まれている読者の方の耳には聞き慣れない言葉だと思います。
サイバー衛生という言葉は、英語圏では「Cyber hygiene」という言葉で使われているようです。今回この用語について簡単に解説いたします。

■サイバー衛生

一言で言えば「ITを使うすべてのユーザー(一般利用者)のセキュリティ認識を醸成させるための取組み」といったところになります。

企業内では情報セキュリティのためにファイアウォールを設置してアクセスを制限したり、IDS/IPSといった侵入者対策を施したり、とさまざまな保護機能を幾重にも張り巡らし大事な情報を守り、ひいてはその企業の信用を守っています。

ここまでは情報セキュリティの話題ではよくある話、しかし今回の「サイバー衛生」というのは、これとは少々趣旨が異なります。

まずサイバー衛生は、企業や組織といった集団を相手にした用語ではなく「個人を対象とした考え方」であることです。さまざまな機器がインターネットというオンライン上に接続される現代だからこそ、その個人が安全の確立と維持に必要とされる考え方や行動、確認といったアクションを指しています。例えばみんなが持っているスマートフォン、大多数の人はセキュリティを意識して利用されていることは少ないかも知れませんが、昔の携帯電話より画面をロックする人は増えていますし、指紋認証のような生体認証を利用する人も増えています。

使う人一人一人が心掛けるセキュリティ、これをサイバー衛生(Cyber hygiene)と呼んでいます。
対極に、集団を保護するサイバーセキュリティという用語があります。こちらは全体を保護するソリューション、といったところです。

■サイバーセキュリティと両立

ところで企業にはセキュリティポリシーがあります。企業に所属する社員が遵守しなければならないセキュリティに関わるルールを策定したものです。
これにはサイバーセキュリティの考え方とサイバー衛生の考え方の両方が含まれています。つまり全体を保護するために企業はファイアウォールで社内ネットワークを保護し、IDS/IPSで不正侵入予防、侵入検知を実施しなければならない、といった具合に全体のセキュリティを保護するための施策を策定しています。

一方で、社内のITを利用するすべての社員(場合によっては自社サービスを利用する顧客も含め)に対して、パスワードの複雑さや使い回しの禁止、定期的なパスワードの変更、コンピューターウイルスへの対策、ソフトウェアのアップデートによるセキュリティホールの解消、利用するデータ保護、といった「実際に使う末端でしっかりと保護すべき事柄」を定めています。

これら「個人が責任を持ってしっかりと保護する」と定めている箇所をサイバー衛生(Cyber hygiene)としています。つまり全体の保護であるサイバーセキュリティと使う個々人の保護となるサイバー衛生(Cyber hygiene)は密接に関連し合って、最終的にセキュリティポリシー遵守が達成できることになり、セキュリティで保護されている状態になれる、と言えます。

■まとめ

● サイバー衛生は人間が触れている部分のセキュリティを指すことが多い言葉です。そのため、サーバーへのDoS攻撃(Denial of Service attack)やSQLインジェクション(SQL Injection)に対抗するセキュリティ対策ではありません。
サイバー衛生の指すところは、「ITという道具を使う上で、使う人(ユーザー)のレベルで実施するべきセキュリティ」を指して、Cyber hygiene(サイバー衛生)と呼ばれています。例えば以下のようなことです。
 ▼ 普段利用するパスワードを強固なパスワードに維持できるようポリシーでパスワードを強制することでパスワードを破られにくくする
 ▼ ファイル・フォルダ(ディレクトリ)のアクセス権を最小限に設定することでアクセス権設定の抜け穴をふさぐ

一時期、パンデミック対策として伝染病に罹患しないように対策するための情報がメディアに露出していました。サイバー衛生はさしずめこういった公衆衛生のIT版といったところになります。
インフルエンザやノロウィルスに感染しないために衛生管理を徹底して対策するように、ITでは情報漏えい事故を引き起こさないように、あるいは知らないうちに情報漏えいの片棒を担がないよう、サイバー衛生で使うセキュリティを対策するようなイメージです。

この記事を書いた人

木下肇

東京/神奈川を中心に、都内中堅企業ではシステム部門の一員として部内インフラ業務に、別の小規模企業ではインフラ全般について管理業務の委託を受けるフリーエンジニア。オンプレミスの企業内インフラからクラウド環境のサーバ/ネットワークまで、OS守備範囲はWindowsからLinuxまで、障害の診断や修復/修理であればソフトからハードまで、幅広い守備範囲で日々お客様の業務を遂行しています。
お仕事のご相談はコチラ⇒http://www.treedown.net/

GMOクラウドアカデミーYouTubeチャンネルはこちらから

アカデミー用バナー

メルマガ会員募集中!

アカデミーの最新情報や会員限定のお得な情報をお届けします。

メルマガ登録はこちら