2021年8月6日 / 最終更新日時 : 2021年9月15日 ロイ ハッカー

現役ハッカーが教える情報セキュリティ入門 第2回 ~「情報セキュリティ」と「サイバーセキュリティ」の違いは??~

企業においてセキュリティを確保することは非常に重要な施策になっています。

政府からのレポートや方針を確認していても「重大な経営リスク」や「経営者が責任をもって行う」など会社として組織として行っていく項目として扱われています。

実際近年では情報セキュリティに関するインシデントが増加しています。ランサムウェアといったウイルスへの感染、不正アクセスによる情報流出、内部犯行による機密情報の持ち出し、人的ミスによる情報流出など事例を挙げていくとキリがありません。ある調査によると「2020年情報セキュリティに関連するインシデントを日本国内全体の4分の3の企業・組織が経験した。」というものも発表されています。

高度な情報化社会になっていっている現代では情報は非常に重要なものになっています。会社・組織においては経営・営業活動を行う上で重要な指針のも武器になります。重要な情報をどれだけ多く保有し活用していけるかがこれからの会社存続・拡大において大切になります。個人においては誰が何を買ったかからどんな病気があるのかなど多くの事を情報から読み解くことが出来る世の中になっています。

このようにセキュリティを確保するという事は非常に重要なものなっていると言えるでしょう。

しかし、セキュリティの確保は一人で出来ません。そして一朝一夕で出来るものでもありません。一人一人が「情報セキュリティとは何なのか」「なぜ行うのか」と言ったことをしっかりと把握しておかなければいけません。そして長い時間をかけて確保していくものになります。

そこで、「現役ハッカーが教える情報セキュリティ入門」と題して情報セキュリティについてITの知識が乏しい方や初心者の方、新社会人の方、会社の情報セキュリティ担当になった方などにも分かるように簡単に解説していきます。

第1回では、「情報セキュリティがなぜ必要なのか?」というテーマでお話しました。

第2回の今回は「情報セキュリティ対策」と「サイバーセキュリティ対策」の語句が持つ意味の違いについて説明していこうと思います。

現役ハッカーが教える情報セキュリティ入門 第1回 ~情報セキュリティはなぜ必要??~

情報セキュリティとは??

まず、情報セキュリティについてお話していきましょう。

情報セキュリティの言葉の意味を考える上では、「情報セキュリティは情報を保護するためのすべてのこと」「一般的に、情報の機密性と完全性と可用性の3つに注目する」という文言が重要になってきます。

それでは、各文言について考えていきましょう。

「情報セキュリティは情報を保護するためのすべてのこと」とは??

まず情報とは「何らかの意味を待つデータ」のことを指します。

つまりは、そのデータがどのような媒体で存在しているのかは関係ありません。「何らかの意味持っているもの」であればすべて情報と呼べます。

そして保護するためのすべてのこととは、言葉通りに捉えてよいでしょう。

一般の方が考えるセキュリティ技術的な守り方(ウイルス対策ソフトやファイアウォールなど)、そして窃盗や強盗、空き巣などからの守る物理的な保護、そして台風・地震・停電などといった災害から守るという事、そして以外に見落としがちなのが紛失などといった人的ミスからの保護です。

このように「何らかの意味を持つもの」の対象・保護の仕方を端的に示している文言が「情報セキュリティは情報を保護するためのすべてのこと」になります。

簡単に解釈するのであれば「情報セキュリティ」では保護の対象はパソコンなどといった情報端末だけでなく紙媒体や人から聞いた事までを含み、それらの情報をあらゆる事象から保護しなければいけないという事になります。

「一般的に、情報の機密性と完全性と可用性の3つに注目する」

情報セキュリティでは「機密性」「完全性」「可用性」という3つのキーワードが基本的な考えであり重要なものになります。情報セキュリティの入門書には必ず出てくるキーワードになります。

この3つのキーワードを「情報セキュリティの3要素」や英語の頭文字を取って「CIA」と呼びます。情報セキュリティにおいてはこの3要素をバランスよく確保することが重要になります。では、この3要素についてみていきましょう。

情報セキュリティの3要素
情報セキュリティの3要素

機密性(confidentiality)について

機密性とは許可された者だけが情報にアクセスできるようにすることを指します。逆に言えば許可されていない人物はアクセスできないようにすることです。

機密性は情報の漏洩を防ぐことで確保することが可能です。例えば、IDやパスワードの設定などによって組織外の者が組織内の情報にアクセスできないようにする、あるいは、機密情報については、組織内の者であっても限られた者だけにしかアクセスできないようにすることです。

最近では、個人情報の漏洩が大きな問題になっていますが、権限のない者に情報が渡ることで、さまざまな問題が発生します。

完全性(integrity)について

情報や情報の処理方法が、正確で完全であるようにすることです。例えば、不正アクセスによりwebページの情報が改ざんされたり、情報システムが勝手に変更されたりすることのないよう、適切な保護を行い、決められた取り扱い手順を守ることにより確保されます。

情報が、権限のない者によって勝手に変更されたり、削除されたり、破壊されたりすると、情報の完全性が損なわれ、ひいては、情報の正当性や情報そのものの価値が失われます。

可用性(availability)について

許可された者が、必要な時に情報や情報資産にアクセスできる事を確実にすることです。コンピュータのウイルス感染や自然災害によるシステムダウンなどで情報が使えなくなる、などといったことを防ぐことで確保することが出来ます。

例えば、役所や銀行の窓口業務が止まると、大きな社会的混乱を引き起こすことになるでしょう。情報システムが必要な時に使えないのは、社会問題に発展することがあるのです。

情報セキュリティについてのまとめ

情報セキュリティとは何なのかを簡単に見てきました。

まとめると、「情報=何らかの意味を持つもの」であり、それらを保護するものである。そして、対象はIT機器だけでなく紙媒体、会話など広範囲になります。保護の仕方も技術的な事柄から人的なもの・災害に対しての保護も含まれています。

そして、情報セキュリティの基礎は「機密性」「完全性」「可用性」という3つのキーワードであるいう事です。そして。この3つをバランスよく行うことが情報セキュリティ対策になります。

補足ですが、情報セキュリティの3要素に「真正性」「責任追及性」「否認防止性」「信頼性」と呼ばれる要素を追加して「情報セキュリティの7要素」とすることもあります。

サイバーセキュリティとは??

これまで情報セキュリティについて簡単にお話しました。

次はサイバーセキュリティとは何なのをお話していきたいと思います。

サイバーセキュリティを理解するうえで大事に文言は「サイバー空間でのサイバー攻撃を防御する能力」です。

この言葉はNIST(アメリカ国立標準技術研究所)によって定義された言葉になります。

それでは、この文言について考えていきましょう。

サイバーセキュリティとは「サイバー空間でのサイバー攻撃を防御する能力」である

まず初めに「サイバー空間」についてお話します。

サイバー空間とはコンピュータやネットワークによって構成された仮想空間を指します。代表的な例でいえばインターネットがサイバー空間にあたります。

つまり、サイバーセキュリティが対象とする範囲はパソコンやスマホなどといった情報端末に限るという事になります。この点が情報セキュリティとは異なる点になります。

次に「サイバー攻撃を防御する能力」についてお話します。

まず、「サイバー攻撃」とはサーバやパソコンやスマホなどのコンピューターシステムに対し、ネットワークを通じて破壊活動やデータの窃取、改ざんなどを行うことです。

これらのようなサイバー攻撃を防御する能力として一般の方々が親しみがあるものでは「ウイルス対策ソフト」があります。ウイルス対策ソフトは端末がコンピュータウイルスに感染するのを防ぎウイルスによるデータの窃取や改ざんを防ぐシステムになります。

その他の防御する能力としては、ファイアウォールやIDS/IPSなどといった技術的なものが存在します。防御の方法の主流は技術的なものに依存しています。

情報セキュリティとサイバーセキュリティ

情報セキュリティとサイバーセキュリティの関係
情報セキュリティとサイバーセキュリティの関係

情報セキュリティとサイバーセキュリティの関係を上記の図で表してみました。

確認にしていただければ分かる様に情報セキュリティの分野の中にサイバーセキュリティという分野が内包されているような関係になります。

情報セキュリテの中でパソコンやスマホといった情報端末等に特化したしたセキュリティがサイバーセキュリティになります。

そのため、サイバーセキュリティと表記がされている場合は基本的にIT機器のみを対象にしていると考えていただきて良いでしょう。

しかし、この使い分けはあくまでNISTによる定義であり、国や文化によって違いが存在しています。また、近年では、両者を同等に扱う風潮も出てきています。

 

まとめ

・情報セキュリティ = IT機器から紙媒体・会話などすべての何らかの意味を持つものが対象

・サイバーセキュリティ = あくまでIT機器に限定されたもの

以上が簡単な情報セキュリティとサイバーセキュリティの違いになります。

言葉の定義を明確にすることによりこれまで不鮮明だった部分が見えてたのではないでしょうか。サイバーセキュリティ対策では組織のルールや環境整備は二の次になりがちです。しかし、サイバーセキュリティはあくまで情報セキュリティの一部ですので情報セキュリティ対策を的確に行う事にサイバーセキュリティ対策も向上します。

サイバーセキュリティ対策ではなく情報セキュリティ対策を行うほうが対策もスムーズに行う事ができると考えていますので、会社・組織では情報セキュリティ対策をベースに考えてみてはいかかでしょう。

以上、第二回のテーマ「情報セキュリティとサイバーセキュリティの違い」になります。第三回もお楽しみ!!

*上記でもお話した通り近年では両者を同等に扱う風潮になっていますが、個人的にはNISTが定義している区分けがしっくりくるのでこれをベースにしていきたいと思います。

また、このブログでもNISTの定義に準じて言葉の使い分けをしていきます。

カテゴリー
ハッカー情報セキュリティ
タグ
【漫画でIT入門】「とあるIT企業の社員活動日誌」

前の記事

【漫画でIT入門】「とあるIT企業の社員活動日誌」第9話「つよつよパソコンを作る~ハードディスク編~」
2021年7月12日
【漫画でIT入門】「とあるIT企業の社員活動日誌」

次の記事

【漫画でIT入門】「とあるIT企業の社員活動日誌」第10話「つよつよパソコンを作る~メモリの選び方・規格編~」
2021年8月10日