どこまでやるべき？セキュリティ対策

組織と予算

サイバーセキュリティ人材の確保はもちろんのこと、組織の整備とセキュリティ対策の予算を組むことがまずは必要です。
この辺りのお話はIPA（情報処理推進機構）のサイトが参考になります。

具体的な対策

日本政府も様々なガイドラインを民間向けに出しています。最近では重要インフラ企業向けに経済安全保障推進法案も成立しました。
実際に石油パイプラインがサイバー攻撃に見舞われた米国ではさらに一歩進んでいます。
米国の国土安全保障省のCISA（Cybersecurity & Infrastructure Security Agency）が地方を含む政府機関やインフラ企業向けに無料のサービスやツールをリスト化しています。

まず基本的な対策としては
・組織で利用しているソフトウェアの既知のセキュリティ上の欠陥の修正。ソフトウェアメーカーの提供しているセキュリティパッチ、更新を行います。
・多要素認証（MFA）を実装します。メーラーやアプリケーションが多要素認証の機能を提供している場合、多要素認証が機能するようにします。

これにより、パスワードが破られても2段階目の認証で防御することができます。
　・悪い習慣を止める。
（１）ソフトウェアアップデートが無くなっている保守終了ソフトウェアを交換します。

と、記載されていますが、自己責任で継続使用されている組織もあるかと思われます。
当該デバイスが外部との入出力を一切行わない環境下での利用であればリスクは低いと思われますが、そうではない場合、悪い習慣を止める方向で対策する必要があります。

（２）既知/デフォルト/変更不可能なパスワードに依存するシステムまたは製品を交換します。
（３）重要なシステム、リソース、またはデータベースへのリモートアクセスまたは管理アクセスにMFA（上記を参照）を採用します。

・CISAの脆弱性スキャンサービス　これは日本には無関係なので省略しますが、CISAに申し込むと脆弱性スキャンサービスを行ってくれます。

・Stuff of Search。インターネット検索で知ることができる、つまり暴露状態の組織の情報を調べ、攻撃者に攻撃対象領域を知られない様にします。

主としてIIoTやSCADAなどを対象にしています。
インターネット経由でアクセスできる資産を可視化することから始め、公開の必要が無い資産を選択します。
通常業務や日常で利用されている検索エンジンとは異なり、モノのインターネットの検索が可能なサービスがあります。

サイバーリスク管理を成熟させるために

次にサイバーリスク管理を成熟させるために4つのカテゴリーに分けたサービスとツールが紹介されています。詳細はCISAのページからご参照ください。
4つのカテゴリーは以下に分けられております。

1. 損害を与えるサイバーインシデントの可能性を減らす。
2. 悪意のあるアクティビティをすばやく検出します。
3. 確認されたインシデントに効果的に対応する。と
4. レジリエンスを最大化します

簡単ながら無料のサービスとツールとを紹介しているCISAのお話でした。

サイバーセキュリティ対策の参考になると思われますので、是非リストを参照してみてください。

少し内容を紹介してみますと、
大手ＯＳメーカーが提供しているWebサイト閲覧時の保護機能があります。

これはＯＳにバンドルされているWebブラウザを信頼されていない（ホワイトリストにない）サイトを開く際に仮想マシンの技術を使いWebブラウザをOSとは別のメモリ空間で実行します。リストには概要説明とスキルレベル、サービスまたは製品のURLが記載されています。
予算は無いが、スキルはあるという場合はスキルレベル高度と分類されているオープンソースのシステムを利用することも出来るでしょう。

例えば、Hedgehog LinuxというDebianベースのLinuxは、ネットワークインターフェースの監視、PCAPファイルへのパケットのキャプチャ、ネットワークトラフィックからファイル転送を検出し、それらのファイルをスキャンするといった機能を持っています。
中には中小企業向けには無料で提供している多要素認証のシステムも有るようです。

セキュリティ人材の確保

2021年にセキュリティ人材の不足についてアンケート調査を行ったという記事がありますが、そこでは日本、米国、オーストラリアの3か国を比較しています。

日本の調査対象は上場企業または従業員350名以上の企業で、9割超がセキュリティ人材不足と回答しています。
米国、オーストラリアでは8割超がセキュリティ人材は充足していると回答しています。

この差について、同記事ではセキュリティ対策の省力化、自動化が進んでいる点を挙げています。

もちろんセキュリティ人材の層の厚さも異なるとは思いますが、省力化や自動化を進めることが出来る人材の確保が重要なようです。

最近ではDX推進のためかITシステムの内製化を進める企業も多くなっています。
内製化がメインの米国との違いがこの辺にあるのかもしれませんが、内製化を行うにはセキュリティにも十分な配慮が必要で開発したシステムの脆弱性診断や監視、運用もシステム開発初期から取り組む必要があるでしょう。
開発に関してはローコード、ノーコードのフレームワークも登場しており敷居が下がっていますが、それらフレームワークを含めてセキュリティ対策を推進していくエンジニアの敷居は下がっていないようです。

守るべき情報資産の棚卸やIT機器の棚卸など、人海戦術で行っている場合は省力化、自動化を検討するのがよいでしょう。

性善説を前提に、従業員にパソコン内の資産管理をさせているとか、OSの管理者権限を与えているとか無謀なことは避けるべきでしょう。
セキュリティ対策ソフトでは内部犯行やうっかりミスを防ぐことは難しいので、内部犯行を素早く検知する監視システムを導入するのも有効です。

情報漏洩や社内システム停止による損害（実害のみならず社会的評判もあり）よりも省力化、自動化のための投資が安く済むのであれば検討すべきでしょう。