セキュリティ事業を展開する米タニウムの日本法人は12月7日、脆弱性などセキュリティ対策の実施を習慣化するサイバー・ハイジーン(衛生管理)の取り組みについて、国内企業・団体に調査した結果を発表した。21年9月に大企業や公共機関のIT責任者らに聞いたもので、「7割がサイバー・ハイジーンを認知するものの、その内容を理解しているのは3割にすぎないこと」などが分かった。マーケティング本部長の斉藤純哉氏は「すべての端末を把握し、リアルタイムに監視し、パッチ適用を確認すること」と、既知の脆弱性をつく攻撃に対応するなどハイジーンの重要性を説く。「21年前に提唱されたハイジーンは、米国ではすでにデファクトになっている」。
同社によると、サイバー・ハイジーンを知っているとの回答は71%にのぼる。とはいっても内容を良く理解しているのはわずか30%だ。たとえば、Windows10の機能更新プログラムを適切なタイミングで適用しているのは32%にとどまる。逆に、「うまくいっていない」との回答が32%もある。「OSレベルにおいて、既知の脆弱性が放置されていることを意味する」。とくにゼロデイ攻撃に加えて、Nデイ攻撃(パッチがリリースされているにも関わらず、パッチを適用していない脆弱な状態を狙う)の危険性が高まる中、「サイバー・ハイジーンの徹底が強く求められている」と、斉藤氏は主張する。
ちなみに脆弱性への対応頻度は、半年に1回以上のペースで緊急性の高い脆弱性対応を行っているのが5割超になる。注目すべきは、従業員が多い企業ほど1回あたりの対応日数が増加傾向にあること。対応に1カ月以上かかっているとするのは、5000人未満の企業が10%に対して、5万人以上の企業は19%になる。管理する端末の台数が多いことが一因とみる。だからこそ、日頃からの端末の可視化、自社環境における既知の脆弱性の影響度のリアルタイムな確認、システム本番環境への影響度を抑えた対処・復旧が求められる。この一連のプロセスはサイバー・ハイジーンの徹底により大幅に改善されるものだという。
斉藤氏は資産の棚卸も薦める。年に1回か、半年に1回の企業が大半を占めるが、誰がどの端末を使って、どんなソフトを使用し、どこからアクセスしているのか、リモートワーク時代に絶対に把握する必要があるという。オンプレからクラウドへとITインフラの移行も進み、攻撃対象が増加している。同社は「まずはサイバー・ハイジーンを徹底する」ことを提言する。(田中克己)