目次
「セキュリティ」という用語は、変遷時期を迎えていると実感しています。昨今、セキュリティという表現を使わずに「トラステッド」を前面に出す企業も増えています。
背景
前回の記事では、経営目線で見るセキュリティリスク管理の意義について、私自身が実務の現場で経験してきたシーンを絡めて解説しました。経営層をサッカーの監督と類比し、経営層が各部門から見たセキュリティリスク管理の要点を理解した上で、経営上の各局面の意思決定で何が求められるかを判断することの重要性を説いています。そして、最終的には社外ステークホルダーに対する説明責任を果たすことが経営目線としての「意義」である、という持論を展開してきました。
さて、今回は、さらに視点を変えたテーマを解説していきます。
サイバーセキュリティと情報セキュリティの違いとは?
ここで読者の皆さんに1つ質問です。これまでの記事で、私は「サイバーセキュリティ」「情報セキュリティ」という用語を意図的に使い分けています・・という点に気づいたでしょうか(正確には「セキュリティ」も登場していますが、争点をシンプルにするために今回の解説では除きます)。中には、「あれ?表記触れかな?」と感じていた方もいるかもしれませんが、意図的に文脈や流れに応じて使い分けていたつもりです。
実はこの使い分けは、今回の記事への“伏線”でもあります。要所で表現を変えることで「あれ?何か意味があるのかな?」という印象を持たせつつも、今回の記事でその伏線を回収したいという意図もあった次第です。
なお、実務の現場では「そんな細かい教科書話はいいから、具体的な施策導入の話を!」という方もいるかと思います。ただし、私個人としては、この2つのセキュリティの違いによって苦労した経験があります。本日は、その苦労話も紹介しつつ、「そういうこともあるのか!」と共感いただけると幸いです。ただし、その前に、まずは一般的な定義としての「サイバーセキュリティ」と「情報セキュリティ」を見比べて、その関係を理解しましょう。
サイバーセキュリティの定義
まずは、より身近な国内のリファレンスを見てみましょう。代表的なものとして、「サイバーセキュリティ基本法」が挙げられます。この法律は、2014年に制定され、サイバーセキュリティの定義及び基本的な枠組みを定め、国、地方公共団体、事業者等が果たすべき役割を明確にしています。では、この法律では、サイバーセキュリティは、どのように規定されているでしょうか。該当箇所である第二条から抜粋すると、以下の通りです。
この法律において「サイバーセキュリティ」とは、電子的方式、磁気的方式その他人の知覚によっては認識することができない方式(以下この条において「電磁的方式」という)により記録され、又は発信され、伝送され、若しくは受信される情報の漏えい、滅失又は毀損の防止その他の当該情報の安全管理のために必要な措置並びに情報システム及び情報通信ネットワークの安全性及び信頼性の確保のために必要な措置(情報通信ネットワーク又は電磁的方式で作られた記録に係る記録媒体(以下「電磁的記録媒体」という)を通じた電子計算機に対する不正な活動による被害の防止のために必要な措置を含む)が講じられ、その状態が適切に維持管理されていることをいう。
いかがでしょうか。少々わかりにくいですかね(苦笑)。これを簡単にかみ砕いて表現すると、以下の通りです。
「情報システムやネットワークを通じた不正な操作によって、情報が漏れたり、
変わってしまったり、消されたりしないように、安全管理の措置を講じること」
という感じでしょうか。なお、第二条の重要なキーワードとして「不正な活動による被害の防止」があります。従来の情報セキュリティは、情報の状態、つまりは「漏れない」「変わらない」「消えない」ことに主眼を置いています。ただし、サイバーセキュリティは、情報の状態だけでなく、それが何らかの悪意を持った行動(サイバー攻撃等)でもたらされるという、より犯罪性を醸し出すテーマとして位置付けられています。従来の情報セキュリティは「紛失」「誤操作」による人為的ミスによる事案が中心だったことを鑑みると、両者の違いもわかりやすいでしょう。
サイバーセキュリティと情報セキュリティの違い
続いて、国外のリファレンスも見てみましょう。代表的なものとして、2012年に制定された「ISO/IEC27032」が挙げられます。正式名称は「ISO/IEC 27032:2012 – Information technology-Security techniques-Guidelines for cybersecurity」であり、サイバーセキュリティに関するガイドラインを提供する国際標準規格です。この中では、サイバーセキュリティをサイバー空間における情報資産の機密性、完全性、可用性を保護する取組みとして定義し、情報セキュリティ及び他の技術的な側面から見たセキュリティとの関係を解説したものとなります。具体的には、次の図1のように位置付けられています。
図1:サイバーセキュリティと情報セキュリティの関係
出所:グロービング株式会社 作成資料
この図から言えるサイバーセキュリティの位置付けは、
- 情報セキュリティの一部として包含される
- その上で、アプリケーションセキュリティ、インターネットセキュリティ、ネットワークセキュリティという技術的な側面で見たセキュリティにも一部関係する
ということが読み取れます。これをもう少し踏み込んで解説すると、サイバーセキュリティには、次の特徴があると言えます。
■特徴1
- 新しい概念でありつつも、従来のセキュリティ対策を踏襲・補完することで無駄なく効率的に施策を整備することが可能
■特徴2
- 社内ネットワーク内のセキュリティ対策だけでなく、その外側であるインターネット領域に至る範囲まで幅広く対象となり、より多層的な防御が必要
特徴1は「無駄なく効率的に施策を整備」がポイントです。昨今、様々なソリューションベンダーが高度な新機能を搭載した製品を提案するシーンが見受けられます。それを勧められるがまま導入するユーザー企業も散見されますが、蓋を開けてみると、既に導入済みの製品で代替可能なシーンも散見されます。その製品の機能の本質を見極めていれば最低限の導入で済むはずが、過剰なライセンス購入や機器の追加をもたらす温床にもなるわけです。それは投資対効果という意味だけでなく、更なるサイバー攻撃の起点(Attack Surface)を生み出すことにもつながるため、あるべき姿とは言えないでしょう。そうならないためにも、次の図2のような、セキュリティ製品機能の本質と向き合い、何を実現・達成するためのものか/それは本当に必要な機能なのかを検討することが重要です。
図2:セキュリティ製品機能の本質的な類型
出所:グロービング株式会社 作成資料
次に特徴2ですが、ここでは「インターネット領域に至る」がポイントです。従来の情報セキュリティは、どうしても社内ネットワークに限定したイメージが強いです。ただし、昨今、パブリッククラウドの利用が中心となりつつある中、もはやデータの保管場所は社内だけとは限りません。インターネット通信によって社内外のデータの行き来が発生する以上、社外にあるインターネット上の通信の制御・監視も重要となります。代表的なソリューションがCASB(Cloud Access Security Broker:キャスビー)です。これは外部クラウドとの通信を安全に管理するための諸機能の総称ですが、こうしたサイバーセキュリティの特徴を踏まえたソリューションが登場してきています。
さて、ここまでの解説を踏まえて、サイバーセキュリティと情報セキュリティの違いについて、私なりの見解をまとめておきます。
<見解>- サイバーセキュリティは情報セキュリティの一部として包含される
⇒ 情報の機密性・安全性・可用性を担保する意味で、両者は同じ目的 - ただし、情報セキュリティは、電子的な手段を伴わない行為によっても棄損される
⇒ 紛失・誤操作等の人為的かつ悪意の伴わない行為も含まれる - 反面、サイバーセキュリティにも、情報セキュリティにはない特性がある
⇒ 悪意を持った行動(サイバー攻撃等)が契機となる傾向 - ゆえに、対策検討においては、両方の視点で俯瞰して見ることが重要である
⇒ 結果(事象)としては、情報セキュリティはサイバーセキュリティを包含するが、その発生原因で見ると、必ずしもそうとは限らない
図3:サイバーセキュリティならではの特徴(対策検討における)
出所:グロービング株式会社 作成資料
事例で学ぶ予期せぬ反応/落とし穴
ここまでは、教科書的な拠り所に基づく解説でした。以降は、2つの事例を用いて解説します。なお、登場する事例は、筆者の経験に加えて、個人的な交流を通じて見聞きした話も織り交ぜて、“フィクション”的に仕立てたものとなります。まずは、各事例のプロローグとして、前提となるシチュエーションを説明します。その上で、各事例の詳細を解説しましょう。
<事例1:プロローグ>
某クライアント企業「A社」に対して、サイバーセキュリティ対策の導入に関わる実行計画の策定を支援。当企業は、ISMS(ISO/IEC27001)認証も取得しており、従来型の情報セキュリティ対策は充実。セキュリティ管掌役員に、ISO/IEC27032における情報セキュリティとサイバーセキュリティの関係を説明した上で、今後は改めてサイバーセキュリティ視点での施策強化にも取り組むべきと提案した所、予期せぬ反応が・・
<事例2:プロローグ>
某クライアント企業「B社」に対して、情報セキュリティポリシー策定を支援。B社はグローバル広域に事業展開。本社の所在地は日本であり、当支援のオーナーは、本社のセキュリティ部門。ただし、事業規模の大半を占める米国の統括企業は、本社に並ぶ発言力を保有。情報セキュリティポリシー策定は、今や事例多数の定番支援であり、特段懸念をなくプロジェクトがスタートしたものの、予期せぬ落とし穴が・・
事例1:サイバーセキュリティは追加投資が不要?
A社の某役員は、ISO/IEC27032におけるサイバーセキュリティと情報セキュリティの関係図を見た際、以下のコメントを発言しました。
「サイバーセキュリティは情報セキュリティに包含されるということか・・。
であれば、うちは情報セキュリティには力を入れてきたから、現在の仕組みに基づく運用を徹底強化すれば、新たな追加投資は不要ではないのか」
一見するとそう見えるかもしれません。ISO/IEC27032を見ると、確かにサイバーセキュリティは情報セキュリティの一部で表現されています。ただし、それはセキュリティの棄損・侵害、つまりは、漏洩・改ざん・破壊という「被害」視点で見た場合です。それでは、別の視点で見ると、どうでしょうか。例えば、「発生時点」です。サイバー攻撃には「予告・予兆」という段階があります。具体的には、不特定多数または特定の企業への攻撃を仄めかすようなWEBサイト上での書込みが挙げられます。この段階では、情報資産のセキュリティは棄損されていないものの、要求事項の厳しい業界によってはインシデントと同義に位置付け、早期対応を促す指針を公表するケースもあります。こうした点は、情報セキュリティ中心の頃には見られなかった傾向であり、サイバーセキュリティならではの特徴と言えるでしょう。
上記は一例であり、その他、様々な視点でサイバーセキュリティと情報セキュリティの異なる特性が存在します。そのため、より多角的に各特性を比較した上で、必要な取組みを検討することが重要です。
事例2:サイバーセキュリティ vs 情報セキュリティ?
B社の担当者(本社)の方から、以下の相談がありました。
「サイバー攻撃だけでなく、従来からの人的な手法での情報資産の棄損も含むことを強調する意味で、“グローバル情報セキュリティポリシー”の呼称で整備・展開したい」
ただし、これに対して、米国の統括企業から、次の物言いが入りました。
「昨今のサイバー攻撃の複雑化・巧妙化、それを受けての法令・規格の普及を鑑みると、“サイバーセキュリティ”をクローズアップしたポリシーとすべき。そして、より時勢に即した呼称を掲げて、社内外に対して先進的な企業であることを強調すべき」
両者の言い分は平行線となりました。最終的な結論は、「セキュリティポリシー」と命名し、ポリシー内の規定として、「サイバーセキュリティ」「情報セキュリティ」の定義及び位置付けを明文化しつつ、そのどちらもB社にとって重要であること、さらには時勢に応じた管理態勢の柔軟な見直しを規定することでFIXしました。“たかが”用語の定義に見えますかね。ただし、この事例の本質は、その背景にある文化・価値観等、地域性も加味して検討に臨むことの重要性です。この事例では、米国は訴訟大国であること、また、サイバー攻撃の脅威が集中しがちな地政学リスクを抱える等、日本では見られない厳しい環境下に置かれるため、より時勢に敏感に反応するという示唆があります。サイバーセキュリティと情報セキュリティの用語のこだわりの背景には、こうした事情があることも頭の片隅におくべきです。
「セキュリティ」というキーワードの今後
今回の記事では「サイバーセキュリティ」「情報セキュリティ」という基本的な用語、ただし奥の深いその関係性を解説してきました。そして、ここまでの話を踏まえて、こう思った方もいるかと思います。
「大事なのは、用語どうこうではなく、なぜ?何を?守るべき!ではないのか」
用語は、それ自体が、何かを守ってくれるわけではありません。「サイバーセキュリティ」「情報セキュリティ」それぞれの意義を理解し、必要となる対策を企画し、実行に移すことが重要です。とはいえ、こうした用語が契機で、ふとした機会にコミュニケーションギャップや阻害要因が生じることがあるのも事実です。上記の事例にもある通り、物事を進める上で、様々な価値観の「ヒト」が関わる以上、“たかが”用語1つが障壁になることもあるのです。自分がどう考えているかも大切ですが、それは「主観」という1つの側面に過ぎません。大事なのは対峙する相手がどう考えるのかという「客観」で見た際の対応です。
「セキュリティ」という用語は、変遷時期を迎えていると実感しています。昨今、セキュリティという表現を使わずに「トラスト」を前面に出す企業も増えています。これは“安全”の先にある、周囲からの“信頼”の確保に着目した考え方です。また、「レジリエンス」を打ち出す企業も増えています。もはや、何が起こるか読み切れないセキュリティ脅威の中、インシデントが起こる前提で構え、慌てず柔軟に対応するという意味でも大事な姿勢と言えます。
今後もこうした変遷は続くでしょう。ただし、その本質を理解した上でどうすべきか、読者の皆様にもその原点を今一度、考える機会になれば幸いです。