新着情報

ITセキュリティとサイバーセキュリティの違いとは?(CompTIA米国本部ブログより)

2023/09/01

米国本部ブログ: What Is the Difference Between IT Security and Cybersecurity?


what-is-the-difference-between-it-security-and-cybersecurity.png私は、とても幸運なことに、さまざまな国の情報セキュリティ専門家と仕事をさせていただく機会があります。先日、CISOの方たちと私たちが日常業務で使う多くの用語やフレーズについて談笑していました。サイバーセキュリティとセキュリティの認識の違いや、情報保証と情報セキュリティがさまざまな人々にとってどのような意味を持つのか、話し合ったのです。

以下に、(サイバー)セキュリティプロフェッショナルの主な職務と日常業務を説明する際に使われる用語をあげてみました。CISOやCIO、採用担当者は、これらを同じ意味で使うことがあることため、順不同です。

stanger-blog1.png

用語の重要性
私たちは、「用語」を通じて物事の意味を理解します。一貫性のない用語を使えば、コミュニケーションしている相手を混乱させてしまうことになりかねません。それでは、セキュリティとサイバーセキュリティ、その他の用語の違いについて見てみよう。まずは情報セキュリティです。

情報セキュリティとは?
アメリカ国立標準技術研究所(NIST)のコンピュータリソースセンター用語集では、情報セキュリティを「完全性、機密性、可用性を提供するために、不正なアクセス、使用、開示、中断、変更、破壊から情報と情報システムを保護すること」と定義しています。これは、NISTが提供する多くがそうであるように、とても良い定義です。

情報セキュリティには、サイバーセキュリティ、物理セキュリティ、プライバシーなどいくつかの概念が含まれます。情報セキュリティの業務は、すべてのデータと派生情報を安全に保つことに重点を置いていて、これには、電子情報だけではなく、物理データ(紙やコンピュータなど)も含まれます。このカテゴリーでは、データのバックアップや、データの改ざんや情報の流出がないことを確認するための監視テクニックに重点が置かれます。

数年前までは、「セキュリティ」といえば、機器やサーバー、ネットワークの保護に注目される傾向にありました。ですが、徐々にセキュリティの専門家たちは、実際には情報と人を守る業務に従事していることに気づくことになります。

stanger-blog-2.png

情報セキュリティには3つのサブカテゴリーがあります。

物理セキュリティ
物理セキュリティは、人と物理インフラをいかに安全に保つかに重点が置かれます。例えば、建物や駐車場の適切な照明。警備員や警備犬だけでなく、監視カメラの使い方なども含まれます。さらには、建物、サーバールーム、ワイヤリングクローゼットなどの安全確保も含まれます。セキュリティという言葉を、このような物理的な要素を指して使う人もいるでしょう。しかし、セキュリティ = 物理セキュリティといった限定的な使用は、一般的とは言えません。

サイバーセキュリティ
多くの人にとって、この用語は情報の保存や送信に使われる電子資産とリソース(人を含む)を表すものでしょう。「Data at Rest(保存データ)」および「Data in Transit(転送中のデータ)」という用語は、格納データ(e.g., ハードディスク、S3バケット、データレイクなど)、オペレーショナルテクノロジー(OT)、IoTデバイス、さまざまなプロトコル(e.g., TCP、HTTP/HTTPS)などの資産を指します。

サイバーセキュリティは、悪意のある人物がこれらのリソースに対して、何らかの方法で侵害するために取る手段に重点を置く傾向があります。サイバーセキュリティに関心のある人は、ハッカーによるデータや情報への不正アクセスを阻止するといったことに関心があるとも言えます。場合によっては、政府は「情報保証」と「サイバーセキュリティ」を同じ意味で使うこともあります。

プライバシー
個人に関する情報が、どのようにアクセスされ、取り扱われ、開示され、変更されるかを確実に管理することを言います。NISTは800-29では、プライバシーを「機密性、完全性、可用性を提供するために、不正なアクセス、使用、開示、中断、変更、破壊から情報および情報システムを保護すること」と定義しています。

プライバシーは全く別のカテゴリーと考えるべき、という意見もあるでしょう。これは一理あるのですが、プライバシーはその関連性の高さから、情報セキュリティのコンテキストの中で議論されるべきなのです。

セキュリティ vs. サイバーセキュリティ:議論する1つの方法
「セキュリティ」と「サイバーセキュリティ」という用語は、それぞれ独特の意味がありますが、実際にはまだ混同されています。その使い分けは、こちらが望むように単純明快ではありません。

しかし、この混乱から学ぶことができるかもしれません。情報セキュリティで最も重要なのは、情報と人を守るために人々が協力できる機会を作り出すことです。私たち全員が、共通した土台、共通した用語をいかにして築くかを導き出したとき、情報セキュリティの真の実現に取り組むことができるのかもしれません。セキュリティの専門家である私たち次第で、有言実行することも可能なのです。