米国本部ブログ: What Is the Difference Between IT Security and Cybersecurity?
一部の人々は、ITセキュリティ、情報セキュリティ、およびサイバーセキュリティという用語を同じ意味で使用しているようです。しかし、これらの用語を特定の方法で使用する人々と協業することもあります。例えば、下の図に示すように、ITセキュリティの大きな概念があって、そこに物理セキュリティ、情報セキュリティ、そしてサイバーセキュリティが含まれると言う人もいます。
これらの用語の違いは何でしょうか、そしてなぜそれが重要なのでしょうか?
ITセキュリティとは?
上の図における考え方では、ITセキュリティには3つのカテゴリがあります。
1.物理セキュリティ:人とインフラをいかに安全に保つかに重点を置いています。このカテゴリでは、建物、サーバールーム、ワイヤリングクローゼットの保護が焦点となります。例えば、建物や駐車場には、適切な照明が重要視され、さらには、監視カメラ、ガードマン、番犬の使用について理解する必要があります。
2.情報セキュリティ:すべてのデータと派生情報を安全に保つことに重点を置いています。これには、物理データ(紙、コンピュータなど)および電子情報が含まれます。このカテゴリでは、個人はデータのバックアップに加えて、データや情報の改ざんが行われないよう監視技術に焦点を当てています。このカテゴリは、データ自体に注視されるため、実際の機器とコンピューティングリソースにはあまり重点を置きません。そしてもちろん、データと情報も区別しています。データは未加工で未処理なもので、情報は、相当のスクラビング、プロセッシング、ハンドリング後にデータから取得されるものです。
3.サイバーセキュリティ:インターネット、WAN、LANリソースなどの情報を保存および送信するために使用される電子資産の保護に重点を置いています。サイバーセキュリティは、悪意のある人物がこれらのリソースを使用してどのように情報を攻撃するかに焦点を当てる傾向があります。サイバーセキュリティに関心のある人は、電子的な手段におけるハッカーのデータや情報への不正アクセスの阻止に関心がある人でしょう。
サイバーセキュリティの3番目のカテゴリにおいて重要であることの一つに、一部の人々は、情報セキュリティという用語を使用せず、次の図のように、サイバーセキュリティとひとくくりにして使用するということです。
では、どちらがベストで、誰が正しいのでしょうか?
明確な議論はないのですが、ITプロフェッショナルがセキュリティプランを作成する場合、物理、情報、およびサイバーセキュリティのカテゴリを切り離す傾向にあります。時に、彼らは無意識にそうしてしまいます。
用語は本当に重要ですか?
多くの場合、これらの質問は、ITプロフェッショナルがセキュリティの役割に応じて、ベストなもしくは、最適な認定資格やトレーニングプログラムを議論しているときに挙がります。または、個人がセキュリティチームやアクティビティを適切に編成しようとしている場合に挙がります。
セキュリティプランを極めて明確な方法で実装していない限り、用語は本当に重要ではないことがわかります。セキュリティ実装とは、その詳細と、用語を一貫して使用することが全てなのです。従って、詳細に重点を置き、常識的なポリシーベースのアプローチに従ってセキュリティコントロールを適用している限り、そして用語の一貫性が保たれているのであれば、誤った方向に向かうことはありません。
例えば、使用する用語に関係なく、レッドチームとブルーチームの取り組みを合わせて、物理、情報、およびサイバーセキュリティのアプローチが機能していることを確認することができるでしょう。
企業は、検知(侵入検知システムやSIEMなど)、補完(任務の分離など)、是正(IPアドレスのブロックなど)を含む適切なセキュリティコントロールを確実に適用することに強い関心があることがわかっています。
ITセキュリティとサイバーセキュリティの違いに関しては、使用する用語よりも重要なのは、レッドチームとブルーチームの運用をより適切に指示できる正しい知識基盤を確実に持っていることなのです。