treedown’s Report

システム管理者に巻き起こる様々な事象を読者の貴方へ報告するブログです。会社でも家庭でも"システム"に携わるすべての方の共感を目指しています。

※https化しました。その影響でしばらくリンク切れなどがあるかもしれませんが徐々に修正していきます。 リンク切れなどのお気づきの点がございましたらコメントなどでご指摘いただけますと助かります。

WannaCrypt対策に必要な「サイバー衛生」という考え方

サイバー衛生ってご存知ですか?
知らないだろうなぁ…。私も知りませんでした。
今日はこのサイバー衛生についてご報告します。

ちょうどタイムリーなことにWannaCryptの流行で「これ、サイバー衛生って言葉があてはまるじゃないか?」と思ったのがきっかけです。

サイバー衛生

サイバー衛生ってのは「Cyber hygiene」の日本語訳です。日本ではあまり馴染みがない(使われていない)言葉ですね。
簡単に言えば、使う人が気を付けるセキュリティ、ってところです。

詳しくはこちらもどうぞ

「サイバー衛生とは?」そのうち一般的になるかも | GMOクラウドアカデミー

Wikipediaの英語ページも

Cyber hygiene - Wikipedia

日本語のサイトでは、難しい解説しか並んでないんですよね。いまいちピンとこない感じです。
Wikipedia英語ページをちょっと日本語にしてみました(文末に)。

サイバー衛生とWannaCrypt

でこのサイバー衛生がWannaCryptと何が関係するかといえば、
「WannaCryptの防御にはITのエンドユーザの意識向上が必須」
という点からです。つまりサイバー衛生の考え方そのものがWannaCryptを拡散しないための一つの解決策になるように思ったわけです。ですが意外とサイバーセキュリティといっしょくたにしてしまって、「セキュリティ対策はセキュリティ担当者が頑張るもの」という意識・認識が結構浸透しているような温度感を肌で感じます。

いくらセキュリティ製品で幾重にも防御したとしても、このセキュリティ製品をかいくぐってきたWannaCryptがいざユーザの目の前に現れたとして、そのWannaCrypt起動スイッチを押してしまうかどうかは
「最終的にそのITを利用する人間に左右される」
という点が、なんだかなぁ、と思ったわけです。当たり前といえば当たり前なのですが。最終的にやっぱ人依存じゃないか、ってところがなんだかなぁポイントです。

我々ITの人間って割と「人に依存しない業務にしなさい」とか「コンピュータの人なんだから極力人に依存する部分はコンピュータで自動化しておいて」と言われることが多いと思うんですよね、上司やユーザから。
でも"どんなに頑張って人依存を減らしたとしても"結局セキュリティの世界は「最終的には人依存」となってしまうところが無常だなぁ、って思いました。
ということで、セキュリティ対策にCyber hygiene、人依存が排除できない部分はどうしてもこの考え方も必要になってくると思います。

Wikipediaの日本語訳して抜粋

参照元:<Cyber hygiene - Wikipedia>から、なんとなく分かりそうなところだけ抜粋して日本語化してみます。

サイバー衛生は個人のオンライン安全の確立とメンテナンスを指しています。それはユーザのオンライン「健康状態」=「セキュリティ」の維持を図るために必要な日課or時折のチェックおよび一般的な行動を定義します。
(中略)
Cyber hygieneの重要項目は、グループや組織よりも個人と関連しているということです。組織でなく個人の責任で実施するということです。
Cyber hygieneはサイバーセキュリティとは別個の存在です。つまりサイバーセキュリティはグループまたは組織の責任であるためITプロフェッショナルの活動に該当しますがCyber hygieneは個人の責任で実施するべきセキュリティだということです。
(中略)
Cyber hygieneとサイバーセキュリティは両立すべきもので、どちらかが強固であればいいというものではありません。強硬な(または弱い)サイバーセキュリティポリシーと手続きによって、個人のCyber hygieneを向上する(ないし低下する)かもしれない。つまり組織は頑強なサイバーセキュリティポリシーとシステムを所有し、それを使うメンバーが良いCyber hygieneを持っているものです。どちらかが低い状態の組織はその環境に悪影響を与えるでしょう。
(中略)
よいCyber hygieneを有する人は…
高い品質のパスワードを選び、維持していて、デジタル機器の上のセキュリティソフトウェアをインストールし、保守し、それらのウイルス定義を最新にしておき、それらのデジタル機器の上の規則的なセキュリティスキャンを動かし、サイバー・セキュリティ・ポリシーに固執し、それらの個人データを保護し、潜在的な伝染源を避けてていることでしょう。
逆に低いCyber hygieneを持つ人は、それらのウイルス定義を定期的にアップデートしないか、マルウェアの知られているソースであるオンラインサービスを使うなどのこれらの行動の1つ以上を観察することに失敗するかもしれません。
(以下略)
Wikipediaでは最終的に、「早めにCyber hygieneのトレーニングをしましょうね」みたいな締めになっています。