情報セキュリティとサイバーセキュリティ
ここで「サイバーセキュリティ」という用語確認をしておきましょう。
- サイバーセキュリティ
- サイバーセキュリティ経営ガイドライン v3.0
第4講
ねえ、ゆみちゃん。情報セキュリティのほかに、サイバーセキュリティって言葉があるかと思うんだけど、この2つの用語の違いがよくわからないよ
情報セキュリティという用語は、いまでは広義的な意味として扱われるようになってきたから、ここで整理しておきましょう
教科書等で「情報セキュリティ・サイバーセキュリティ」と、最後の長音(ー)を記載しないのが通例です。別に伸ばしてもNGということではありません
ここでは、サイバーセキュリティという用語について学習していきましょう。
それにはまず、「アラブの春」(Arab Spring)という反政府運動について触れておく必要があります。これは、2010年末から2011年にかけて、チュニジアにおいて「ジャスミン革命」と呼ばれる民主化運動が起こり、長期政権に終止符が打たれました。
この革命に端を発し、中東・北アフリカ地域の多くの国において民主化運動が活発化し、エジプト・リビアなどにおいても長期政権が崩壊していきました。
これを「アラブの春」と呼んでいます。
この運動は、ソーシャルメディアやインターネットを通じて情報が広まり、多くの人々が抗議活動に参加する大きな要因となりました。
アラブの春では、Facebook、旧Twitter、YouTubeなどのソーシャルメディアが、情報の拡散と抗議活動の組織化に重要な役割を果たしました。
これにより、インターネットとデジタルコミュニケーションの力は、長期政権を打倒するほど強力なツールであると、世界的に認識されるようになったのです。
インターネット上でコミュニケーションが活発にやり取りされる、いわば一つの新たな社会領域(「サイバー空間」)となり、ここを取り締まらないと大変なことになると、各国の首脳陣が動き始めたのがスタートです。
この経緯より「サイバー空間・サイバー攻撃・サイバーセキュリティ」という用語が誕生していきました。
アラブの春…なんだか壮絶な話だ…
情報の素早い共有、コミュニケーションの拡大、ビジネスの発展に、教育機会の拡大、そしてエンターテインメントの盛り上がりも、サイバー空間があってこそなんだけど、メリットがあればデメリットも生じてくるのよね
サイバーセキュリティという用語はわかったけど、情報セキュリティとの関係性はどんなイメージなのかな?
簡単な図で表してみよう
情報セキュリティを広義的に捉えると、その中にサイバーセキュリティがあって、物理的セキュリティや人的セキュリティも含まれるってイメージ図になるかな
物理的セキュリティっていうのは…?
鍵をかけたり、承認されていないUSBを使わせないとか、そういう感じ。また、人的セキュリティというのは、管理者やゲストユーザーなどの権限周りのこと。これは「ゾーニング」って言って、権限のない人の立ち入り禁止ってルールもイメージできるよね
なるほど。全部ひっくるめて、情報セキュリティと呼ぶんだね!
もちろん、これは現時点の概念図。情報セキュリティはコンピュータの発展とともに進化していくから、また変わるかもね
サイバーセキュリティ経営ガイドライン
サイバーという用語がわかったところで、サイバーセキュリティ経営ガイドラインについて触れていきましょう。
現代のビジネス環境では、サイバーセキュリティが企業の存続と成長に欠かせない要素となっています。デジタル化が進む中、サイバー攻撃のリスクは増大しており、これに対応するためのガイドラインが求められています。
サイバーセキュリティ経営ガイドライン v3.0 は一般公開されていますので、以下のリンクよりPDFで確認することができます。
サイバーセキュリティ経営ガイドラインについては、経済産業省にまとめたページがあるので、こちらを一度ご覧ください
サイバーセキュリティ経営ガイドラインは、企業がサイバーセキュリティ対策を効果的に実施するための指針です。特に経営層に対して、サイバーセキュリティを経営課題として捉えることの重要性を強調しています。
このガイドラインは、企業の規模や業種に関わらず適用可能であり、具体的な対策の方向性を示しています。
経営者がしっかりサイバーセキュリティを意識する必要があります。現場の社員だけが意識しても効果がなくダメってこと
ガイドラインの主な内容
サイバーセキュリティ経営ガイドラインは、経営者が認識すべき3原則に加え、サイバーセキュリティ経営の重要10項目をまとめたものになります。
まず、経営者が認識すべき3原則をまとめてみました。
- リーダーシップの発揮
- サイバーセキュリティリスクを重要な経営課題として認識し、経営者自らがリーダーシップを取って対策を推進すること
- サプライチェーン全体への配慮
- 自社だけでなく、国内外の拠点、ビジネスパートナー、委託先など、サプライチェーン全体にわたるサイバーセキュリティ対策を考慮すること
- 関係者とのコミュニケーション
- 平時から緊急時まで、社内外の関係者と積極的にコミュニケーションを取り、効果的なサイバーセキュリティ対策を実施すること
続いて、サイバーセキュリティ経営の重要10項目です。
- リスク認識と方針策定
- 組織全体でサイバーセキュリティリスクを認識し、対応方針を立てること
- 管理体制の構築
- サイバーセキュリティリスクを管理する体制を作ること
- 資源の確保
- 必要な予算や人材を確保すること
- リスク分析と計画
- 具体的なリスクを把握し、対応計画を立てること
- 効果的な対応の仕組み
- リスクに効果的に対応できる仕組みを作ること
- 継続的改善
- PDCAサイクルで対策を常に改善すること
- 緊急対応体制
- インシデント発生時の緊急対応体制を整えること
- 事業継続・復旧計画
- 被害に備えて、事業を継続・復旧させる計画を立てること
- サプライチェーン対策
- 取引先も含めたサプライチェーン全体の対策を行うこと
- 情報共有と開示
- セキュリティ情報を収集・共有し、適切に開示すること
10項目、覚えるの大変…
小学校のときも、黒板の上に学級目標があったよね。この10項目も、覚えるものではなく常に意識することだから、どこか見えるところに貼っておくといいかもね
被害を被ったときに、もたもたしてはいけません。
なるべく短時間で迅速に動くことが重要です。そのため、サイバーセキュリティガイドラインを確認することは、経営者として必須事項となります。
第4講のまとめ
情報セキュリティは広義的な概念であり、サイバーセキュリティ、物理的セキュリティ、人的セキュリティを含みます。
サイバーセキュリティは、特にインターネットやデジタルコミュニケーションに関連するセキュリティを指し、アラブの春のような大規模な運動を通じてその重要性が全世界に認識されました。
そして、サイバーセキュリティ経営ガイドラインをしっかり意識することで、重大なインシデントが発生した際の、迅速な適応措置が可能となります。
情報セキュリティに携わる人であれば、このサイバーセキュリティ経営ガイドラインは絶対に読み解いてくださいね!