コラム・編集後記
“情報セキュリティ”と“サイバーセキュリティ”の違いについて
本テキストでは、“情報セキュリティ”と“サイバーセキュリティ”という言葉が随所に出てきます。そこで、両者の違いを説明します。
情報セキュリティは、情報全般の保護を意味します。情報の機密性(Confidentiality) 、完全性(Integrity) 、可用性(Availability) を確保するための対策が目的となります。(情報セキュリティの3要素「CIA」)これには、物理的な文書やデータの保管方法、アクセス制御、暗号化等が含まれます。情報セキュリティは、デジタルだけでなく、紙の文書等の非デジタル情報にも関連しています。また、3要素に加えて、真正性(Authenticity)、責任追跡性(説明責任)(Accountability) 、否認防止性(Non-Repudation) 、信頼性(Reliability) を合わせて情報セキュリティの7要素と呼ぶこともあります。
一方、サイバーセキュリティは、主にインターネットやコンピュータネットワークに関連するリスクに対処することを目的とします。サイバーセキュリティは、クラッキング、マルウェア、DDoS攻撃等の脅威から情報システムやネットワークを保護するための技術、ポリシー、手順を包括的に扱います。サイバーセキュリティは、コンピュータシステムやネットワーク上の脆弱性に対処するためのテクニカルなアプローチに重点を置いています。
要約しますと、情報セキュリティは広範な情報の保護を対象とし、物理的な文書やデジタルデータを含む一般的なセキュリティの概念を指します。一方、サイバーセキュリティは、インターネットやネットワーク上のリスクに対処するためのテクニカルなアプローチを特に重視しています。
編集後記
セミナー1日目では、情報セキュリティ白書、情報セキュリティ10大脅威、最近の事例、Security Action(セキュリティ対策自己宣言)について紹介をしました。サイバー攻撃の中でもランサムウェアやサプライチェーン攻撃は特に深刻な問題となっています。これらの攻撃は企業に対する業務的な影響だけでなく、取引先からの信用を損なう社会的な影響も及ぼすことに注意が必要です。近年の攻撃は企業の規模に関係なく行われており、サイバーセキュリティ対策の重要性を改めて認識していただきたいと思います。
また、セキュリティ対策を始める際には、中小企業においてはSecurity Action(セキュリティ対策自己宣言)の中にある一つ星の「情報セキュリティ5か条」から実行することをおすすめします。一つ星の取組みが完了したら、次は二つ星の「5分でできる!情報セキュリティ自社診断」と「情報セキュリティ基本方針を策定」に取組みます。もし既にこれらを実行している場合は、サイバーセキュリティアプローチを用いて対策を進めることになります。本テキストでは「クイックアプローチ」、「ベースラインアプローチ」、「網羅的アプローチ」について簡単に紹介しましたが、次回以降のテキストでは具体的な手順も含めて詳しく解説していきます。