企業に甚大な被害をもたらすサイバー攻撃。金銭の要求や情報の流出など、サイバー攻撃による被害は、企業にとっての致命傷となります。
サイバーハイジーンは、そんなサイバー攻撃を防ぐための取り組みです。セキュリティソフトを導入することだけが、サイバー攻撃への対策ではありません。
サイバー攻撃を防ぐにはどのようなことをすればいいのか?サイバーハイジーンが必要とされる背景など、サイバーハイジーンについて紹介します。
サイバーハイジーンとは?
サイバーハイジーンとは、サイバー攻撃をされないよう、普段から対策をしておく取り組みのことです。「ハイジーン(Hygiene)」は「衛生・清潔」といった意味があり、コンピュータウイルスに感染しないよう、サイバー空間の衛生管理を徹底します。
具体的な例としては、「不審なメールを開かない」「パスワードを秘匿する」などが挙げられます。
ほかにも、「社員へのセキュリティ教育」や「利用規約の制定」などもあり、社員の意識改革を含め、サイバー攻撃をさせない環境を整えていきます。
サイバーハイジーンが注目される背景
サイバーハイジーンが注目される背景には、近年進められるIT化が関係します。IT化によってさまざまなモノにIT技術が組み込まれるようになりましたが、同時にサイバー攻撃をされるリスクが高まっています。
警察庁が2024年に発表した報告によると、サイバー攻撃されたIPアドレスの件数は、1日に9,000件を超えるそうです。2019年と比較すると約2倍の件数が報告され、年々サイバー攻撃による被害が深刻化しています。
また、会社の規模で比較した場合、大企業よりも中小企業での被害が増加していることも挙げられています。これは、中小企業の方がサイバーセキュリティが甘く、サーバーの脆弱性を突くことで、簡単にサイバー攻撃ができてしまうからです。
2023年よりも37%増加したといった報告もあり、中小企業のセキュリティ対策を見直す必要があるでしょう。
サイバー攻撃と聞くと「お金を持ってそうな大手企業が対象」と思うかもしれませんが、中小企業も被害に遭っています。「自分の会社は大丈夫」とは思わず、サイバー対策に取り組むことが大切です。
なぜ製造業にとって重要なのか?
サイバーハイジーンが重要視される理由には、以下のようなことが挙げられます。
製造現場の「IT化(スマートファクトリー化)」が進行中
サイバーハイジーンが必要とされる理由には、工場のIT化(スマートファクトリー化)が挙げられます。IT技術の導入によって生産がより効率的になりますが、デジタル管理になることで、サイバー攻撃をされる隙を作ってしまうのです。
IT化の基本は、IoTやAIを活用したネットワーク技術です。工場全体をネットワークでつなげることにより、データ分析に基づいた生産やリアルタイムな情報共有などを可能にします。ほかにも、作業ロボットを遠隔操作するなど、IT化によってできることが大幅に広がるでしょう。
しかし、IT化によるネットワークの構築は、外部サーバーともつながることを意味します。外部サーバーとつながることで不正アクセスが可能となり、マルウェアの感染や情報流出のリスクが高まってしまいます。
サイバー攻撃による被害は、自社情報が奪われるだけではなく、顧客からの信用も失ってしまいます。そのような被害を防ぐためにも、サイバーハイジーンによる対策が必要なのです。
従来の「制御系ネットワーク」はセキュリティを想定していなかった
従来の制御系ネットワークでは、セキュリティを想定していなかったことも大きいです。従来の制御系ネットワークは自社サーバーを用いた社内ネットワークだったため、外部からアクセスされる心配がありませんでした。
しかし、近年はクラウドサービスを利用した外部ネットワークが主流となっており、不正アクセスを防ぐためのセキュリティが求められています。
IT化によって新しい制御系ネットワークへの移行が推奨されていますが、従来の考えのままでは、不正アクセスを防ぐのは難しいといえるでしょう。
IT化を実現するためには、従来の考え方を見直し、セキュリティ意識を高める必要があります。
攻撃の約80%は「基本的対策」で防げる
サイバー攻撃は、基本的な対策をするだけでも防ぐことが可能です。もちろん、完全に防げるわけではありませんが、攻撃の約80%は防げると思っていいでしょう。
防げるのなら防ぐのが道理といえます。実施方法も「パスワードの設定を見直す」や「OSの更新を行う」といった片手間でできることがほとんどであり、企業の負担になりにくいです。
サイバー攻撃の被害が増えつつある中小企業にこそ、お金と時間をあまりかけないサイバーハイジーンの取り組みが合っているといえます。
サイバーハイジーンの基本チェックリスト
いざサイバーハイジーンを行うにしても、どのようなことをすればいいのかわからないと思います。
基礎的な取り組みではありますが、取り組みをいくつか紹介しますので、実際に行う際の参考にしてみてください。
強力なパスワードを使い、定期的に変更する
一つ目は、サイバー攻撃をされないよう、パスワードを強化することです。解読されにくいパスワードにすることで、不正アクセスをできなくさせます。
パスワードを強固にするポイントは「長く、複雑で、使いまわさない」ことです。文字数が長くパスワードに規則性がなければ、パスワードを推測するのが難しくなります。使いまわさないことで、芋づる式にパスワードが突破される心配もなくなるでしょう。
また、パスワードを定期的に変更することも大切です。いくら複雑なパスワードでも、長く分析されると解読されてしまいます。定期的に変更することで、解読をさせないようにしてください。
ソフトウェアやファームウェアを定期的に更新する
二つ目は、最新のバージョンに更新することです。OSやソフトを最新にすることで、搭載されているセキュリティも最新の状態となります。
セキュリティとマルウェアはいたちごっこの関係であり、セキュリティとマルウェアの技術は年々進歩しています。そのため、古いセキュリティだと新しいマルウェアに対抗できません。データ自体も既に解析されており、すぐに不正アクセスを許してしまうでしょう。
最新のマルウェアから自社データを守るためにも、定期的に更新をしてセキュリティを最新の状態に保ってください。
外部デバイス(USBメモリなど)の利用を管理する
三つ目は、外部デバイスの扱いに気を付けることです。外部デバイスがマルウェアに感染していると、接続によってマルウェアの感染を許してしまいます。
いくらネットワークセキュリティを強化しても、内部から感染しては防ぎようがありません。安全が確立していないなら、外部デバイスの接続はしないでください。
また、データの持ち出しにも注意します。家で仕事をするためデータを持ち出す人もいますが、どこかに置き忘れてしまうと、誰かが持ち去ってしまいます。過去には、USBを置き忘れて情報が流出した事件がニュースで紹介されていました。
マルウェアの感染や情報流出は、ネットワーク上だけの問題ではありません。被害を出さないためにも、外部デバイスの管理に注意しましょう。
情報セキュリティに関する基本教育を受ける/伝える
四つ目は、情報セキュリティの理解を高めることです。社員全員のセキュリティ意識を高めることで、自発的に対策が行えます。
いくら優秀なセキュリティを構築しても、使う人が未熟だと意味がありません。パスワードを簡単にする、バージョンの更新を面倒がる、勝手に外部デバイスを接続するなど、対策の必要性がわかっていないと、平気で行ってしまうでしょう。
サイバーハイジーンのポイントは、普段から対策を行うことです。意識して取り組んでもらうためにも、セキュリティ対策の重要性を伝える必要があります。
中小製造業でもできる!実践ポイントと導入のコツ
上記で紹介した「サイバーハイジーンの基本チェックリスト」を基に、中小企業でもできる取り組みを紹介します。導入のコツなども紹介しますので、参考にしてみてください。
現場用の「パスワードガイドライン」を作る
強固なパスワードを構築するために、現場用の「パスワードガイドライン」を作るといいです。どのようなパスワードが良いのかをガイドラインで知らせることで、誰でも同じように強固なパスワードが作れます。
「OK例/NG例」や「作り方3ステップ」など、具体的な例や流れがわかると、初めて作る人でも安心できます。
注意点として、IT用語や専門用語は控えるようにしてください。慣れない用語は馴染みにくく、内容が頭に入ってきません。内容がわかりにくいことから、ガイドラインが浸透しないでしょう。
IT用語は一般用語でわかりやすく説明するのはもちろん、場合によっては、写真や図で説明して、誰でもわかるようまとめてください。
点検スケジュールと合わせる
ソフトの更新は、ほかの点検スケジュールに合わせて行うといいです。スケジュールを合わせることで、更新し忘れることがなくなります。
月一回の設備点検やシャットダウンなど、何かしらの定期スケジュールがあると思います。なるべくひとまとめで点検ができるよう、更新作業を調整してみてください。
「使って良いUSB」を明確にする
外部デバイスが必要な場合は、使って良いUSBを明確にするといいです。使って良いUSBを決めることで、厳密なデバイス管理ができるようになります。
外部デバイスを禁止する方法もありますが、それだと、データの管理に制限ができてしまい効率的ではありません。中には、規則が不自由であることから、隠れてUSBを使う人が出てくるでしょう。
そのようなことを防ぐためにも、あらかじめ使って良いUSBを決めておきます。表立って使って良いUSBがあるのなら、わざわざ隠れて別のUSBを使う必要はありません。安全性が不明なUSBの使用を減らすことで、大切なデータを守ることができます。
単に「使うな」とするのではなく、「このUSBはOK」と具体例を見せるルール化が重要です。
「過去の事例」を素材にする
セキュリティ対策を自覚させるため、「過去の事例」を題材にするといいです。「◯◯工場でUSBから感染」といったように、実例を用いることで意識や理解がしやすくなります。
いくら重要なことでも、イメージができなければ緊張感は生まれません。「対岸の火事」であるため、事態を軽く考えてしまうでしょう。
しかし、身近なことならイメージがしやすいです。「不明なUSBを接続したことが原因」といった、自分たちもしていることだと、なおさら普段の行いが不安に思えてきます。
サイバーハイジーンで大切なのは、普段からセキュリティ対策を意識することです。「明日は自分たちがするかも」と思うことでセキュリティ対策が身に入り、自発的に取り組みが続けられるでしょう。
全体をスムーズに進める共通のポイント
取り組みをスムーズに進めるためのポイントについても紹介します。
現場リーダーや班長を巻き込む
サイバーハイジーンに取り組む際は、上の人を巻き込むようにします。企業の構図はピラミッド形なため、上の存在を巻き込むことで、広く取り組みを伝えられるからです。
また、規則を作る意味でも重要といえます。同僚が決めた規則だと強制力は低いですが、上の者が決めた規則なら、多くの人が従ってくれるでしょう。
取り組みをスムーズに進めるためにも、まずは現場リーダーや班長に相談することから始めてみてください。
「罰則」ではなく「守ったら安心」という前向きな伝え方
取り組みを進める際は、前向きな気持ちで行います。堅苦しく取り組みを進めると、心身が疲れてしまうからです。罰則を気にするあまり、業務に支障も出てしまうでしょう。
「守らなければ罰則」といった緊張感のある現場にするのではなく、「守ったら安心」といった、のびのびと働ける現場を作るよう意識してください。
一気に全部やるのではなく、1項目ずつ段階的に導入する
取り組みを進める際は、一度に行うのではなく、段階的に行うようにします。ガイドラインの作成、点検スケジュールの調節、外部デバイスの指定などどれも大切ではありますが、一度に行うと、変化によって現場が混乱をしてしまうからです。
1項目ずつ試していき、社員の間でしっかり浸透したら、次の項目を導入していきましょう。
まとめ:まずは“小さな一歩”として清潔習慣から始めよう
サイバーハイジーンとは、サイバー攻撃をされない環境を整える取り組みのことです。セキュリティプログラムを導入するのはもちろん、規則や教育を設けることで、継続的な安全を確保します。
近年は、IT化への取り組みが世界的に進められています。IT化によって業務が効率化されることから、IT化を目指す企業は多いことでしょう。
しかし、IT化への移行は、同時にサイバー攻撃をされるリスクが高まることを意味します。従来のセキュリティ意識のままでは、サイバー攻撃を防ぐのは難しいです。
セキュリティ意識を高め安全に作業をするためにも、まずはサイバーハイジーンを習慣化することから始めてみてください。