情報BOX 【 知って得するサイバーセキュリティ講座 】
第2回なぜサイバーセキュリティが必要か?
2011年12月20日
「サイバー攻撃」に対する適切な対策が必要と言われても、いまひとつピンと来ない方が多いかもしれません。既に全社を挙げて「情報セキュリティ」に取り組んでいる企業においては、「サイバーセキュリティ」に取り組む意義を見いだせないということがあるかもしれません。また、セキュリティに関する新しいバズワード(※)と感じている方もいるでしょう。
そのような疑問に答えるために、組織で情報を生み出す過程を、工場での製品の生産に例えて考えると、理解が深まるかもしれません。
工場で製品を生産する際には、製品の信頼性や品質を保つために品質基準が取り決められ、生産管理が行われます。また、生産に関わる従業員が安全に作業を行えるように安全基準が取り決められ、安全管理が行われます。企業には、それらの基準を明確に定め、監査することで、製品の信頼性や品質を保証し、従業員の安全性を確保する責任が求められます。昨今の情勢をうけ、コーポレートガバナンスの充実も同時に求められます。
しかし、これだけでは安全に製品の生産を行う環境が保たれているとは言えません。なぜなら、企業に対して悪意を持つ者、あるいは、製品や製造方法に関する機密を盗もうとする者によって、情報が脅威に曝される可能性があるからです。工場全体の安全性を確保し信頼性を保つためには、工場の敷地の周りに塀を設け、ゲートには警備員を配置し、入場者の身元等を確認する必要があります。機密情報が保管されている建物については、監視カメラを設置し、警備員による巡回を行い、適切なアクセス権限を設定して人の出入りを厳しく管理する必要があるでしょう。このように、工場では建物の物理的な設計や組織的な監視を通じて、防犯活動を行わなければならないのです。
情報の安全についても、この工場の例と同様のことを言うことが出来ます。「情報セキュリティ」を実現するための標準規格が「ISMS(情報セキュリティマネジメントシステム)」です。ISMSでは「情報セキュリティ」を実現するための組織の構築、リスクの分析、セキュリティ実現のためのポリシーの策定を行い、日々の活動を監査することで、情報の安全が保たれていることを確認します。これは、工場で製品を生産するときに行われる生産管理や、従業員の安全管理に相当します。
一方、「サイバーセキュリティ」では、工場の防犯活動と同じように、「サイバースペース」に存在するクラッカーによる脅威に対する防御を行います。「サイバースペース」からの攻撃より、情報の安全性や信頼性を保護するための技術や活動が「サイバーセキュリティ」なのです。
「情報セキュリティ」においても外部からの攻撃に対する防御を検討しますが、そこでは組織としてのプロセスを重視する考え方が取られてきました。「サイバーセキュリティ」が議論され始めた背景には、「情報セキュリティ」で検討するべき範囲が広すぎるため、組織論やプロセス論から外部の攻撃者に対する防衛という面を切り出して、防衛のための技術論や方法論に焦点を当てて議論する必要があった、と考えることができます。
「サイバースペース」は、時間や距離の制約が存在せず、世界中が一つのグローバルな空間で接続されているという大きな特徴から、グローバルな社会や経済を実現する大きな推進力として重要な役割を果たしてきました。しかし、この特徴は世界中どこからでも攻撃が可能であることを意味しており、社会や経済に対して大きな脅威をも、もたらしているのです。しかも、現実社会では犯罪が行われた場合何かしら視覚的に確認する手段がありますが、「サイバースペース」においては攻撃が行われていることが見えにくいため、気がついた時には終わっている可能性があります。いつ「サイバー攻撃」の被害にあってもおかしくない状況にあるのです。
「情報セキュリティ」は、組織として情報を安全に管理するという課題に対しては、基準となる考え方を提供してくれます。しかし、「サイバースペース」で安全に活動するためにはどうすれば良いのか、「サイバースペース」をいかにして安全な場所にするのか、という疑問に対しては、具体的な方法を提示してくれません。それに答えるのが「サイバーセキュリティ」の役目であると言えるでしょう。
(※)バズワードとは、一見専門用語のように見えるが、明確な合意や定義の無い用語のこと。「ユビキタス」や「クラウドコンピューティング」もバズワードといわれている。
◆ 次回は「サイバーセキュリティの意義」についてお届けします。
セミナー講演のご依頼・お問い合わせはこちらから。
過去の記事一覧
- 2011年11月1日 第1回 サイバースペースのセキュリティ
- 2011年12月20日 第2回 なぜサイバーセキュリティが必要か?
- 2012年1月25日 第3回 サイバーセキュリティの意義
- 2012年2月29日 第4回 エラーとバグと脆弱性
- 2012年3月23日 第5回 権限と脆弱性
- 2012年4月12日 第6回 人間の持つ脆弱性
- 2012年5月24日 第7回 サイバー攻撃を受けたら何をするべきか【1】
- 2012年6月27日 第8回 サイバー攻撃を受けたら何をするべきか【2】
- 2012年7月26日 第9回 サイバー攻撃を受けたら何をするべきか【3】
- 2012年8月22日 第10回 サイバー攻撃を受けたら何をするべきか【4】
- 2012年9月19日 第11回 汎用ソフトウェアの脆弱性対策
- 2012年10月17日 第12回 ゼロデイ攻撃・標的型攻撃と新型ウイルス対策
- 2012年11月21日 第13回 Webアプリケーションの脆弱性対策
- 2012年12月19日 第14回 Webアプリケーションのセキュリティ設計
- 2013年1月23日 第15回 サイバーセキュリティを実現する
- 2013年2月20日 第16回 デジタルフォレンジックスの導入
- 2013年3月26日 第17回 情報漏洩対策
- 2013年4月24日 第18回 メールの添付ファイル禁止とファイル送信サービス
- 2013年5月22日 第19回 私物モバイル対策(BYOD対策)
- 2013年6月19日 第20回 新型サイバー攻撃には多層防御で対抗する
- 2013年7月23日 第21回 マスコミ社会から口コミ社会へ
- 2013年8月22日 第22回 批判にさらされる企業
- 2013年9月26日 第23回 サイバースペース上での企業の責任を知る
- 2013年10月23日 第24回 顧客の情報を預かる責任
- 2013年11月20日 第25回 個人情報取得のポリシー
- 2013年12月18日 第26回 即応性の危機管理広報
- 2014年1月6日 第27回 情報という経営資源を守れ
- 2014年2月19日 第28回 利用者中心のサイバーセキュリティへ向けて
- 2014年3月13日 第29回 安全・安心なサイバー社会の実現(最終回)