企業・組織におけるセキュリティ対策への関心は急速に高まっている。個人情報漏洩に伴う損害賠償、レピュテーション(信用)低下、営業秘密漏洩に伴う競争力低下など、セキュリティ棄損に起因する影響は大きな脅威だ。筆者が受けるセキュリティ関連の相談・依頼は急速に増加している。その半面、セキュリティの考え方が誤解されている、と感じる機会も増えている。
勉強熱心な人ですらよく勘違いしているセキュリティ知識は傾向がある。トップ3は(1)情報セキュリティとサイバーセキュリティの違い、(2)セキュリティとセーフティの違い、(3)セキュリティガバナンスとは何かの理解、だ。会話ですれ違いやギャップが生じ、提案活動やプロジェクト支援が進む過程で障壁となるケースもある。
セキュリティガバナンスでは2つの誤解がよくある。1つはガバナンスとマネジメントの混同。もう1つは説明責任の要件を満たしていないことだ。セキュリティガバナンスとは何かを説明し、どうすれば誤解を修正できるかを説明する。
コネクテッドカー、自動運転、IoTなどのITと融合した新しい技術では、セーフティに加えて「セキュリティ観点のリスク対策」が欠かせない。どちらもリスク対策である点は同じだが、開発プロセスが異なる。ここに落とし穴がある。セーフティ観点のリスク対策に慣れた技術者ほど、セキュリティを誤解しやすい。
言葉の定義だけを見ると、サイバーセキュリティは情報セキュリティに内包される包含関係にある。ただ、実際に起こっている現象を見ると、サイバーセキュリティには従来の情報セキュリティの枠組みではカバーできない要素がある。情報セキュリティとサイバーセキュリティを同一と考えると、見逃してしまうポイントがある。