現在、ITを取り巻く環境は、さまざまなWEBサービスの登場により、利用者にとっては以前とは比べ物にならないくらい、便利で快適なものになりました。多種多様なサービスがインターネット経由で利用できるようになり、我々の生活様式にも大きな変化が生まれました。

今後もますます利便性が増していくことが想像できますが、その一方でセキュリティに関する脅威やリスクの増加にも注意しておかなければいけません。これは、サービスを提供する企業側、利用するユーザー側双方に言えることです。

また、サイバー攻撃とは外部からの攻撃だけとは限りません。企業活動においてITシステムは必要不可欠なものになった現在、それらの管理や運用ルールなどが適切に整備されていないと、内部からの情報漏えいや意図的な不正により引き起こされる被害も考えられます。個人情報保護法などに対する法令への対応も企業にとっては、重要な遵守事項です。

このように、サイバーセキュリティ対策とは非常に広義であり、やるべきことは多々あります。サイバーセキュリティ対策が重要なのは理解しつつも、何から手を付けて行けばよいのか分からず、後回しにしてしまっている企業も散見されます。

本連載では、サイバーセキュリティ対策を企業の重要な経営課題と位置づけ、そのような課題の解決に少しでもお役に立てるようサイバーセキュリティ対策の基本的な考え方やプロセスをお伝えしていきます。

情報セキュリティとサイバーセキュリティ

初回となる今回は、サイバーセキュリティ対策を考える上での基礎的な知識からお伝えしていきます。

読者の皆様は、「セキュリティ」というという言葉を聞いて何を思い浮かべるでしょうか?

セキュリティには、大きく分けて以下の2種類の考え方があります。

「情報セキュリティ」

情報セキュリティとは、企業が保有する情報を保全することです。必要なデータ・システムが必要な時に利用でき、不必要なアクセスを制御し、漏えい等の事故が発生しないように管理・維持することが求められます。

これらは、「情報セキュリティの3要素」と呼ばれる以下の3つの項目を維持することで安全な状態が保たれていると言えます。

頭文字をとって「情報セキュリティのCIA」とも呼ばれ、情報セキュリティマネジメントシステム(ISMS)に関する日本版であるJIS27000で定義されています。

ISMSやPマーク等のガイドラインに沿った認証を取得することにより、適切な情報セキュリティマネジメントを実施していることを対外的に明示する企業も多く存在します。

「サイバーセキュリティ」

「セキュリティ」と聞いた時には、こちらを思い浮かべる方が多いのではないでしょうか? サイバーセキュリティは、2014年に施行されたサイバーセキュリティ基本法において以下のように定義されています。

サイバーセキュリティ基本法 第二条
この法律において「サイバーセキュリティ」とは、電子的方式、磁気的方式その他人の知覚によっては認識することができない方式(以下この条において「電磁的方式」という。)により記録され、又は発信され、伝送され、若しくは受信される情報の漏えい、滅失又は毀損の防止その他の当該情報の安全管理のために必要な措置並びに情報システム及び情報通信ネットワークの安全性及び信頼性の確保のために必要な措置(情報通信ネットワーク又は電磁的方式で作られた記録に係る記録媒体(以下「電磁的記録媒体」という。)を通じた電子計算機に対する不正な活動による被害の防止のために必要な措置を含む。)が講じられ、その状態が適切に維持管理されていることをいう。

 

かなり広義に記載されていますが、要約すると前述の「情報セキュリティ」に関する「情報の保全」に加えて、「情報システム」、「情報通信ネットワーク」の技術的安全管理措置も保護対象としたものになります。

サイバーセキュリティ対策を考えていく上では、この範囲と対象を理解しておく ことが重要になります。