Zenn
🦎

情報セキュリティ vs サイバーセキュリティ

2024/12/21に公開
Security
idea

はじめに

こんにちは。ザキ (@z4ck_key) です。
本記事はCyber-sec+ Advent Calendar 2024の21日目の記事になります。

みなさん、セキュリティを仕事にしていますか?

このアドベントカレンダーを読んでいる人は、大なり小なりセキュリティを仕事にしていたり、研究していたりする学生だったりする人が大半だと思います。
それでは、自分がメインにしている分野って何セキュリティでしょうか。
情報セキュリティ部に所属しているから情報セキュリティ? IoT機器の開発に携わっているからIoTセキュリティ? CSPMを扱っているを扱っているからクラウドセキュリティという人もいるかもしれません。

私は過去に、サイバーセキュリティの名前を冠する部署に所属していたことがあります。
その時は、会社内のサイバーセキュリティの部署と情報セキュリティの部署で残念ながら断絶が生まれてしまっていた印象を受けました。

https://x.com/z4ck_key/status/1866464143437709619

ところでサイバーセキュリティって具体的になんなんでしょうね。
サイバー空間での防御をメインミッションとするような感覚を受けますが、それって情報セキュリティと完全に可分されるものなんでしょうか。

今回は、会社の部署としてありがちな情報セキュリティサイバーセキュリティという2つの用語の使い分けについて考察していきたいと思います。

セキュリティという言葉の使われ方

まず、「〇〇セキュリティ」という言葉の一般的な使われ方について考えてみましょう。

例として、いくつか「〇〇セキュリティ」と呼ばれがちな単語を列挙してみます。

  • 情報セキュリティ
  • サイバーセキュリティ
  • 自動車セキュリティ
  • ゲームセキュリティ
  • クラウドセキュリティ
  • モバイルセキュリティ
  • ネットワークセキュリティ
  • IoTセキュリティ
  • メールセキュリティ
  • サプライチェーンセキュリティ

ぱっと思いつくだけでも大量に出てきます。 ついでに筆者は最近ゲームセキュリティに興味があります(余談)
これらの単語を見てみると、通常は「守るべき対象」が前に来ることが一般的のように感じます。

しかし、「サイバーセキュリティ」はこの法則から外れていそうで、攻撃の経路とか空間だとかに焦点を当てていると解釈する方が自然でしょう。

情報セキュリティとサイバーセキュリティの違い

こんな記事を書いておいてなんですが、前節で挙げた「〇〇セキュリティ」という単語に明確な定義はないものだと理解しています。
自然に形成されていった単語やそれらを取り巻く文脈に沿って理解するなら、情報セキュリティとサイバーセキュリティは以下のような使い分けがされることが多いでしょう。

  • 情報セキュリティ
    • データの機密性、完全性、可用性を守ること。
    • デジタルに限らず、紙媒体や物理的な情報も対象。
    • ガバナンスやポリシーの策定、内部統制など。
  • サイバーセキュリティ
    • 主にデジタル空間、特にインターネットやネットワーク上の脅威に対応するための概念。
    • 技術的な側面が強い
    • 脆弱性診断、ペネトレなど

これらの定義から分かるように、これらはMECEに分かれるものではなく、お互いの領域は密接に関連し、多くの場合オーバーラップしています。
例えば、クラウドストレージに保存された機密文書の保護は、情報セキュリティの観点からもサイバーセキュリティの観点からも重要な課題となります。

区別することのメリット

一方で、情報セキュリティサイバーセキュリティを区別することには、一定のメリットも存在するように感じます。

以下に、私が過去実感したメリットを挙げてみましょう。

  • 人材のミスマッチ防止
    ガバナンス系の業務が得意な人材と、技術系の業務が得意な人材を適切に配置できます。
    これら2つの人材は互いに排反な可能性がそこそこ高く、技術が好きな人をガバナンス系Excel業務にアサインすると「仕事がつまらない」と言って人材流出したり、逆の場合は必要とされる技術力に押しつぶされてメンタルを傷つけたりするケースもあります。
  • 専門性の向上
    当たり前ですが、多くの場合において自分の専門分野にフルコミットした方がそれぞれの分野に特化した知識・スキルの習得が容易です。
    求められる専門性が大きく異なるガバナンス系/技術系を両立するよりは、片方に軸足を置いた方がより深い専門性を持った人材に成長しやすいと思います。
  • 役割と責任の明確化
    前述の項目と似ていますが、業務におけるコンテキストスイッチ減らせます。
    各領域における責任範囲を明確にできるので、自部署の注力すべきポイントについて調整も必要なくなりますし、別の脳の使い方を要求される場面も減るでしょう。

これらのメリットがある時点で、企業が情報セキュリティサイバーセキュリティを分けて運用するモチベーションも理解できます。

注意すべき点

情報セキュリティサイバーセキュリティを区別することについて、ある程度のメリットは期待できることを前節で述べました。

しかし、やはりそもそもオーバーラップしてるはずの概念を区別することによる影響は考慮した方がいいでしょう。

注意すべき点として一番大きいのは、種々の分断が生まれることだと思います。
業務上連携は必須なはずなのに、情報共有にハードルが生まれたり、部署間で責任の押し付け合いがあると、それはすなわち組織設計のミスです。
このような分断が起きると、インシデント対応時などの緊急時に特に大きな問題となります。
情報セキュリティ部門とサイバーセキュリティ部門の連携が円滑に行かず、対応が遅れたり、重要な情報が適切なタイミングで共有されなかったりするケースも実際に見られます。

とはいえこの問題は、部署を分けている以上は何もしないと必ず発生するでしょう。

理想論は、情報セキュリティ側サイバーセキュリティ側で人材の区分けをしつつ、両人材が障害なく連携できる環境ですが、実際にそのような環境を作り上げることは容易ではありません。
組織の規模や文化、既存のプロセスなど、さまざまな要因を考慮しながら、段階的に改善を進めていく必要があるでしょう。

と、考えると、結局情報セキュリティサイバーセキュリティを厳密に区別しすぎない方がいいのかもしれません。
確かに、人材配置や専門性の観点から区別することには一定の意味がありますが、それを過度に強調することで、本来あるべき連携や包括的なセキュリティ対策の視点が失われてしまう可能性があります。

むしろ、「セキュリティ」という一つの大きな枠組みの中で、それぞれの専門性を活かしながら、柔軟に協力できる体制を目指す方が、現代のサイバー空間における複雑な脅威に対して、より効果的に対応できるのではないでしょうか。

まとめ

というわけで、情報セキュリティサイバーセキュリティの呼び分けについて考察してみました。
本記事では、呼び分けるべき、とも、呼び分けないべき、とも主張するものではありません。
ただ、どちらにもメリットデメリットがあり、かつ現実には呼び分けている組織もそこそこ多いという事実は把握しておくべきでしょう。

また、これらの呼び分けが原因で組織内の分断が起こっている場合は、残念ながらデメリットの方が顕在化しているケースだと思います。

あなたの職場では、この2つを区分をどう扱っていますか?

明日のアドベントカレンダーもお楽しみに。

GitHubで編集を提案

Discussion