意外と知らない？ 「サイバーセキュリティ」と「情報セキュリティ」の違い

サイバー攻撃の脅威は中小企業にまで広がり始め、組織におけるセキュリティ対策への関心が高まっています。そこで目にするのが、「サイバーセキュリティ」と「情報セキュリティ」という2つの言葉。意味がよく似ているので混同されがちですが、セキュリティ対策を進める際には、違いをしっかり意識しなければなりません。

まず、「サイバーセキュリティ」の意味から見ていきましょう。2014年11月に成立した「サイバーセキュリティ基本法」の第二条にその定義があり、要約すると「電磁的方式（注：ITのこと）において、情報の機密性・完全性・可用性が維持・管理されていること」とされています。

一方、情報セキュリティはどのような意味なのでしょうか。情報セキュリティマネジメントシステムの管理基準「JIS Q 27002（ISO/IEC 27002）」では、「情報の機密性・完全性・可用性を維持すること」と定義されています。たとえば、情報漏洩を防いだり、いつでも使える状態にしておくことが、情報セキュリティにあたります。

つまり、この2つの言葉の関係性は、ITかそうであるかにかかわらず広い意味で情報を管理する意味での「情報セキュリティ」という言葉があり、その中に、IT環境にまつわるセキュリティの言葉として「サイバーセキュリティ」があるのです。

また、「情報セキュリティ」では、先にも触れたように情報漏洩を防ぐ、情報を守る、など情報の扱い方そのものについて考えていきますが、「サイバーセキュリティ」ではサイバー攻撃の脅威となる存在への対処法を考えます。また、外部からの攻撃による情報漏洩のみならず、内部からの不正持ち出しもサイバーセキュリティに含まれます。

サイバーセキュリティという言葉が示す意味は広範に渡るものの、近年この言葉が最もよく使われるのは、やはりサイバー攻撃への対策を考える時ではないでしょうか。不正アクセスや、偽のサイトへ誘導するフィッシング詐欺、外部からの不正アクセスでコンピューターを操作不能にして、操作復旧を引き換えに身代金を要求するランサムウエアなど、サイバー攻撃は高度化・巧妙化しています。EDRやSOCなどを導入したサイバーセキュリティについて、この機会に考えてみてはいかがでしょうか。