組織におけるセキュリティ対策への関心は急速に高まっている。セキュリティコンサルタントである筆者の元には、相談や依頼が次々と舞い込んでいる。そうした方々と話をしていて、セキュリティの考え方が誤解されていると感じる機会も増えている。
色々な人と会話をする機会があり、勉強熱心な人ですらよく勘違いしている事項があると分かってきた。そのトップ3が(1)情報セキュリティとサイバーセキュリティの違い、(2)セキュリティとセーフティの違い、(3)セキュリティガバナンスとは何かの理解、だ。会話ですれ違いやギャップが生じ、提案活動やプロジェクト支援が進む過程で障壁となるケースもある。
今回は、情報セキュリティとサイバーセキュリティという2つの言葉にまつわる誤解を取り上げよう。コンサルタントとして経営層やIT部門のトップと会話をしていると、次のような発言をよく耳にする。
経営者A氏「最近サイバーセキュリティという言葉をよく聞くが、情報セキュリティ対策はこれまでも行ってきた。同じ『セキュリティ』だし、今のままで問題ないのではないか」
言葉の定義だけを見ると、サイバーセキュリティは情報セキュリティに内包される包含関係にある。ただ、実際に起こっている現象を見ると、サイバーセキュリティには従来の情報セキュリティの枠組みではカバーできない要素がある。情報セキュリティとサイバーセキュリティを同一と考えると、見逃してしまうポイントがあるのだ。
言葉の定義だけを見ると包含関係
まずは情報セキュリティとサイバーセキュリティの定義に立ち返ってみよう。
情報セキュリティは、情報セキュリティマネジメントシステムの管理基準「JIS Q 27002(ISO/IEC 27002)」において「情報の機密性・完全性・可用性を維持すること」と定義されている。この3つの観点で被害を受けるかどうかで脅威を捉え、対策要件を検討して対策を実施する。脅威事象がITかどうかを問わず、包括的に捉える。
機密性(confidentiality)とは、情報へのアクセスを認められた者だけがアクセスできる状態を確保すること。完全性(integrity)は情報が破壊、改ざんまたは消去されていない状態を確保すること。可用性(availability)は情報へのアクセスを認められた者が、必要時に中断することなく、情報および関連資産にアクセスできる状態を確保することだ。これらは各英単語の頭文字を取って「CIA」と呼ばれる。
サイバーセキュリティは2014年11月に成立した「サイバーセキュリティ基本法」に定義がある。要約すると、IT(法律上の表現は「電磁的方式」)という特定の脅威の発生手法にフォーカスして、情報の機密性・完全性・可用性を維持することだ。
両者の関係は、国際標準化機構(ISO)が発行するサイバーセキュリティのためのガイドライン「ISO/IEC 27032」が図で示している。サイバーセキュリティは情報セキュリティの一部で、情報セキュリティはほかのセキュリティを包含する概念との位置付けだ。
さて、規定やガイドラインを見ると情報セキュリティとサイバーセキュリティは包含関係だ。しかし、実務で起こっていることを見ると、「情報セキュリティはサイバーセキュリティを完全に包含する」と理解すると重大な見落としの危険性がある。「両者は共通部分も多いが、サイバーセキュリティ固有の観点も存在する」と考えたほうがいい。
