経済産業省と独立行政法人情報処理推進機構(IPA)は2015年12月28日、一般に募集したパブリックコメント(パブコメ)に対応する形で「サイバーセキュリティ経営ガイドライン Ver.1.0」(本ガイドライン)を策定しました。
本ガイドラインは経営者のリーダーシップの下でサイバーセキュリティ対策が推進されることを期待するもので、セキュリティに対する取り組みについて経営者の理解を進めるために発行されたものです。昨年度からの継続した取り組みの成果物として策定されました。
サイバーセキュリティとは
ITに関連するセキュリティの名称は「情報セキュリティ」と呼ばれてきましたが、ここ数年で政府は「サイバーセキュリティ」とその名称を変更してきました。情報セキュリティとサイバーセキュリティはどのような関係にあるのでしょう。本ガイドラインの用語説明を引用すると、サイバーセキュリティは以下のように書かれています。
サイバーセキュリティ、サイバーセキュリティリスク
サイバーセキュリティとは、サイバー攻撃により、情報漏えいや、期待されていたITシステムの機能が果たされない等の不具合が生じないようにすること。サイバーセキュリティリスクとは、そうした不具合が生じ、それによって企業の経営に何らかの影響が及ぶこと。
この説明を読む限りでは、(やや当たり前ですが)サイバーセキュリティとはサイバー空間における攻撃に対する対策ということであり、その攻撃が企業の事業継続に影響を及ぼさないようにリスクを管理することとなっています。
政府では、2015年2月に実施される予定だった「情報セキュリティ月間」を「サイバーセキュリティ月間」に名称変更した際の理由として、サイバーセキュリティ基本法及び関係法令の施行を受けた内閣サイバーセキュリティセンターなどの設置を踏まえたとしており、その対応範囲は広くなっていたはずなのですが、本ガイドラインでは経営者の理解を進めるために簡素な書き方となっているようです。
第2条 この法律において「サイバーセキュリティ」とは、電子的方式、磁気的方式その他人の知覚によっては認識することができない方式(以下この条において「電磁的方式」という)により記録され、又は発信され、伝送され、若しくは受信される情報の漏えい、滅失又は毀損の防止その他の当該情報の安全管理のために必要な措置並びに情報システム及び情報通信ネットワークの安全性及び信頼性の確保のために必要な措置(情報通信ネットワーク又は電磁的方式で作られた記録に係る記録媒体(以下「電磁的記録媒体」という)を通じた電子計算機に対する不正な活動による被害の防止のために必要な措置を含む)が講じられ、その状態が適切に維持管理されていることをいう」
とされており、もう少し範囲が広くなっているようです。名称だけが一人歩きしているような状況の中で、一般にはわかりにくい内容になっているのかもしれませんが、国際的にサイバーセキュリティ(Cyber Security)といった場合には、物理セキュリティとセットで使われることが多く、サイバーフィジカルセキュリティというような形で全てを表しています。
サイバーセキュリティが注目されているのは、多くの業務やビジネスがサイバー空間で営まれていること、そしてサイバー空間は国境を容易に越えることから、テロ対策などを含めたさまざまな攻撃を想定した対策の検討が求められているということです。
日本国内ではサイバーセキュリティと定義する場合は、情報セキュリティよりも範囲が広いと捉えられる傾向があり、情報セキュリティが単に組織や国内だけのものであると捉えられてしまいがちだったために、サイバーセキュリティということで国際的な対応について検討するということになったのではないかと思われます。
