医療機関だけじゃない！ ENISAに学ぶ「サイバーハイジーン8カ条」。Googleで目指せる「シンプルな統合セキュリティ」の世界

1. 「ENISA（エニサ）」って？ なぜ今、私たちも注目すべきなの？

まず、「ENISA（エニサ）」という言葉、初めて聞く方も多いかもしれませんね。

ENISA (エニサ) とは、「欧州ネットワーク情報セキュリティ機関（European Union Agency for Cybersecurity）」のこと。かんたんに言えば、ヨーロッパ全体のサイバーセキュリティを守るための「公的な専門組織」です。

このENISAが、「これからの時代、最低限これらのセキュリティ対策は守りましょうね」という指針を出しています。

その一つが、今回紹介する「サイバーハイジーン（Cyber Hygiene）」という考え方です。

実際、このガイダンスは大規模な病院や医療機関だけでなく、専門クリニックや一般開業医など、リソースが不足しているにもかかわらずサイバー攻撃に対して同様に脆弱な小規模な組織も対象としています。

と謳われていてあらゆる組織が目指すべき以下の3つ項目の達成を目指して作成されています。

• 機密データの保護
• 一般的なサイバー脅威への露出の最小化
• 全体的なサイバーレジリエンスの強化

10ページほどのスライドでシンプルにまとまっている素晴らしい資料なのでぜひ一度読んでみて下さい。資料は英語なので最初は「うっ・・」となってしまいますが、Gemini のおかげで気にしないで読めるいい時代になりました。

「ハイジーン」とは「衛生」のこと。「サイバーハイジーン」は私たちが毎日手を洗って風邪を予防するように、サイバー空間でも基本的なセキュリティ対策をちゃんと継続的に実践して、ランサムウェアや情報漏洩といった「悪いウイルス」から会社を守り健やかな生活を送れるような「デジタル衛生習慣」を行いましょうという考え方なんです。

厳しい「医療分野」のお手本は、最高の「教科書」

ENISAのこのサイバーハイジーンのレポート、実はもともと「医療分野」向けに作られたものなんです。

「え、じゃあウチみたいな一般企業には関係ないんじゃ…？」

いえいえ、そんなことはありません！

考えてみてください。医療機関は、「電子カルテ」や「オンライン診療」のようにデジタル化（DX）が急速に進んでいる分野です。

それと同時に、「患者様の命」や「きわめて機密性の高い個人情報（PHI）」という、絶対に守らなければならないものを扱っています。

つまり、最もセキュリティが厳しくあるべき分野なんです。

これって、私たち一般企業にも当てはまりますよね？　

皆さんの会社でも、「クラウドサービスの利用」や「リモートワーク」といったデジタル化が進んでいませんか？ そして、守るべき「大切なお客様の情報」や「会社の機密データ」がありませんか？

だからこそ、この最も厳しい分野のお手本（ENISAガイドライン）は、私たち一般企業にとっても最高の「セキュリティの教科書」になるんです！

2. ENISAが示す「8つのお手本」と、よくある「ツギハギ」の悩み

ENISAの教科書（ガイドライン）では、具体的に8つの実践項目が挙げられています。

ここでは、その8つの中から、一般企業でも特に『あるある！』となりそうな5つの項目を抜粋して見てみましょう。

• 1. システムと医療機器の保護 (Protect Your Systems & Medical Devices)
  PCやサーバーのOS、ソフトウェアをちゃんと最新版にしておきましょうね（パッチ管理）、という項目です。

• 2. ネットワークの保護 (Protect Your Networks)
  来客用の「ゲストWi-Fi」と、社員が大事なデータにアクセスする「社内ネットワーク」は、ちゃんと分けて（セグメント化して）おきましょうね、ということです。

• 3. スマートフォンとEケアのセキュリティ (Mind the Security of Smartphones & E-Care)
  営業さんや社員が持ち歩くスマホ。もし紛失しても、会社から遠隔でデータを消せる（リモートワイプ）ようにしておきましょうね、というお話です。

• 4. 患者記録の安全な保管 (Keep Patient Records Safe)
  これは「お客様の大事な記録」と読み替えられます。データはちゃんと暗号化して、誰がいつアクセスしたか記録を取りましょうね、ということです。

• 7. スタッフのサイバー教育 (Cyber-educate Your Staff)
  巧妙なニセモノのメール（フィッシングメール）に社員が引っかからないよう、ちゃんと教育や訓練をしましょうね、という項目です。

…どうでしょう？ 「あ、これウチでもやってる（やらなきゃいけない）やつだ」と思った項目が多かったのではないでしょうか。

でも、ここで一つの問題が出てきます。

これらの対策をマジメにやろうとすると…

「PCのパッチ管理ソフト」「ウイルス対策ソフト」「ネットワークのファイアウォール機器」「スマホ管理(MDM)ソフト」「フィッシング訓練サービス」… といった具合に、いろんな会社の、いろんなセキュリティ製品を「ツギハギ」で導入・運用していくことになってしまいませんか？

その結果、「あっちの管理画面で設定して、こっちの管理画面でログを見て…」と、IT担当者さんの管理がものすごく複雑になり、負担だけが重くなってしまっている… そんな「セキュリティ疲れ」に陥っていませんか？

3. Google が描く「シンプルで統合された」セキュリティの世界観

そんな「ツギハギ」で「複雑」なセキュリティ管理の悩みを解決するために、Googleは「シンプルで統合された」セキュリティの世界観を提案しています。

これは、バラバラの製品を組み合わせる「点」のセキュリティではありません。

以下の4つの柱がシームレスに連携し、すべてがガッチリと連携しあう「面」のセキュリティという考え方です。

*過去の関連記事もここでまとめて紹介しちゃいます！いずれも力作なのでよかったらぜひ見てみてください。

1. Google Workspace
   皆さんがお使いの Gmail や Google ドライブ、カレンダーなどです。
   1. 【AIが自動検知】Googleドライブのランサムウェア対策が進化！「デスクトップアプリ」こそが最強の盾である理由
   2. 【管理者必見】生成AI時代のGoogle Workspace、セキュリティは大丈夫？ソフトバンクが教える設定のツボ
   3. パスワードのない世界〜Googleへのログインにパスキーを使ってみよう
2. Google Cloud
   会社のシステムやアプリを動かすための、安全で頑丈な「土台（インフラ）」です。
3. Chrome Enterprise
   安全な Chromeブラウザ を、会社でまとめて管理するための仕組みです。
   1. 【Chrome Enterprise Premium 活用術】 Webからの情報漏洩を防ぐ！「データマスキング」と「ダウンロード制御」の設定例
   2. Chrome Enterprise Premium (CEP) によるシンプルで効果的なセキュリティ対策
   3. Chrome Enterprise Premium で実現する高度なChrome DLP機能
   4. 企業のセキュリティ強化に！ Chrome Enterprise Premium のURLフィルタリングとマルウェアスキャン機能
   5. 無料で使える ! Chrome Enterprise のポリシー管理をマスターしよう
   6. 無料のChrome Enterprise Coreで実現するChromeブラウザのセキュリティ強化と生産性向上ガイド
4. ChromeOS (Chromebook)
   そして、今回特に注目したいのがコレ！ 高速・安全・シンプルなPC「Chromebook」のことです。
   1. 【前編】古いPCが最新マシンに！ ChromeOS Flex × Google Workspaceで即戦力化（戦略・知識編）
   2. 【後編】古いPCが最新マシンに！ ChromeOS Flex × Google Workspace で即戦力化（実践・技術編）

「Gmail」と「クラウドの土台」と「ブラウザ」、そして「PC (OS)」

これら4つが、実は裏側でガッチリと連携し、ENISAが示した8つのお手本を「驚くほどシンプルに」解決できる、という世界観なんです。

4. 【世界観の紹介】 もし、Google で理想を目指すとしたら…

とはいえ、「いきなり全部やるのは大変そう…」と思いますよね。

その通りです！

なので、ここでは「もし、このGoogleの世界観で理想的なセキュリティを目指すとしたら、今あるお悩みが、将来的にこんなにシンプルになる“かもしれない”」という視点で、3つの例を見てみてください。

例1: PC管理の「2大お悩み」から解放される世界 (ENISA #1 システム保護)

社員のPC管理のお悩みといえば、「パッチ管理（アップデート）」と「マルウェア対策」ですよね。

• Googleの世界観:
  もし社員のPCが Chromebook (ChromeOS) なら、これらのお悩みは根本から解決されます。

  • 悩み1: パッチ管理が大変… → 解決: 「完全自動」です
    Chromebookは、OSもブラウザもバックグラウンドで自動的にアップデートされます。IT管理者が社員に「アップデートしてください！」とお願いして回る必要は、もうありません。

悩み2: ウイルスやランサムウェアが怖い… → 解決: 「本質的に安全」です
Chromebookは、OS自体が「読み取り専用」になっていて、不正なプログラムが勝手に動くことをOSレベルでブロックします。また、アプリは「サンドボックス」という隔離された安全な場所で動きます。
だから、従来のウイルス対策ソフトが基本的に不要なんです。事実、これまで ChromeOS に対するランサムウェア攻撃が成功したという報告はゼロです。

例2: 社員の「うっかりミス」を自動で防いでくれる世界 (ENISA #4 記録の保護)

情報漏洩の原因は、「社員のうっかりミス」も多いですよね。

「お客様Aの情報を、間違ってお客様Bにメールしてしまった！」といったケースです。

Googleの世界観:
Google Workspace には、DLP（データ損失防止） という機能があります。
管理者が「マイナンバー」や「社外秘」といったキーワードをあらかじめ登録しておくだけで、社員がそうした情報を含むメールやファイルをうっかり社外に送ろうとした瞬間に、DLPが自動で検知してブロックしてくれます。
高度な技術が、人間の「うっかり」を優しくカバーしてくれるんですね。

例3: 面倒で危険な「VPN」が、もういらない世界 (ENISA #2 ネットワーク保護)

リモートワークのために、「VPN」で会社に接続していませんか？

VPNは、一度認証が通ると「社内ネットワークにどこでも入れてしまう」ため、もしIDが盗まれたら社内全部が危険に晒されるリスクがありました。管理も設定も複雑ですよね。

• Googleの世界観:
  Googleの BeyondCorp (ビヨンドコープ) という考え方（ゼロトラスト・セキュリティ）は、このVPNを完全になくします。
  VPNのように「一度入ったらOK」ではなく、社内のデータにアクセスしようとする「その都度」、厳しくチェックするんです。
  • 「アクセスしてるのは、本当に本人？」 (→ MFA: 多要素認証で確認)
  • 「使ってる端末は、安全？」 (→ 会社支給のChromebookか？ 私物PCか？)
  • 「どこからアクセスしてる？」 (→ 社内か？ 自宅か？)

といった「状況（コンテキスト）」 をリアルタイムで判断し、アクセスの許可を柔軟に変えることができます。

例えば、

• 「本社のAさんが、会社支給のChromebook で社内からアクセス」
  → 高信頼！と判断し、全ての機能（閲覧・編集・ダウンロード）を許可。
• 「同じAさんが、自宅の私物PC からアクセス」
  → 本人確認はOKだけど、端末が安全か不明…と判断し、「閲覧はOKだけど、データのダウンロードや印刷は禁止」
  といった、きめ細やかな制御を自動でかけることができるんです。

5.  結論: 目指せる「シンプルな世界」があります

そして、Googleのソリューションが持つ最大の価値（世界観）。

それは、これまでお話ししてきた…

• Google Workspace のユーザー管理（誰が使えるか）
• ChromeOS (Chromebook) の端末管理（どのPCを使うか）
• Androidスマホの管理（どのスマホを使うか）
• Chromeブラウザのポリシー管理（何をしちゃダメか）
• BeyondCorp のアクセス管理（どうアクセスさせるか）

…といった、本来ならバラバラだったはずのセキュリティ設定の「すべて」 を、「Google 管理コンソール」という、たった一つの管理画面でシンプルに設定・運用できることです！

ユーザー

デバイス

アプリ（Google Workspace）

アクセス管理

ENISAが示すような高度なセキュリティ対策を、「ツギハギ」の複雑な管理から解放し、「シンプルで統合された」形で実現する。

これが、GoogleがIT管理者の皆さんにご提供する「目指せる未来図（世界観）」の一つなんです。

* 注）Geminiアプリで作成

まとめ

今日のポイントを3つにまとめますね。

• ENISA（エニサ）の「サイバーハイジーン」は、最もセキュリティが厳しい医療分野のお手本であり、私たち一般企業にとっても最高の「セキュリティ教科書」になります。
• セキュリティ対策を「ツギハギ」でやると管理が複雑になり大変です。そこでGoogleは、4つの柱（Google Workspace ,Google  Cloud , Chrome Enterprise , ChromeOS ）で「シンプルで統合された」世界観を提案しています。
• いきなり全部やる必要はありません！ まずは「パッチ管理が自動になる世界」や「VPNがいらない世界」など、「こんなにシンプルになるんだ」という一つの“理想形” を知っていただくことが、今日のゴールです！

セキュリティ対策は、IT担当者さんだけが頑張るものではありません。

会社全体で、賢く、そしてシンプルに取り組んでいきたいですよね。

次の一歩として、まずは今お使いのGoogle Workspaceの「管理コンソール」を開いてみて、「デバイス」という項目から、お使いのPCのChromeブラウザやスマホをどのくらい管理できそうか、チェックしてみるところから始めてみませんか？

この記事が、日々のセキュリティ対策に悩むIT管理者さんの、何かヒントになれば嬉しいです！

最後まで読んでいただきありがとうございました！

ソフトバンク アドベントカレンダー 2025 、 4日目の記事もおたのしみに！