情報セキュリティとサイバーセキュリティの違いは? 問題が起こる原因や対策を解説
情報セキュリティは、企業の情報を守るために重要です。似た言葉にサイバーセキュリティがありますが、どのような違いがあるのかご存知でしょうか。
今回は、情報化が進む現代で必要な情報セキュリティとサイバーセキュリティの違いを解説します。問題が起こる原因や対策についても解説しますので、自社のセキュリティをさまざまな脅威から守るための参考にしてください。
情報セキュリティとサイバーセキュリティの違い
まずは、情報セキュリティとサイバーセキュリティのそれぞれの定義と両者の違いについて解説します。
情報セキュリティの定義
情報セキュリティとは、情報のCIA(機密性・完全性・可用性)を維持することです。この3つの要素はCIAと呼ばれており、あらゆる情報のCIAを確保することが重要です。
参考:「JISQ27002 情報技術-セキュリティ技術-情報セキュリティ管理策の実践のための規範」|日本産業標準調査会
サイバーセキュリティの定義
サイバーセキュリティは、「サイバーセキュリティ基本法」の中で、下記のとおり定義されています。
“第二条 この法律において「サイバーセキュリティ」とは、電子的方式、磁気的方式その他人の知覚によっては認識することができない方式(以下この条において「電磁的方式」という。)により記録され、又は発信され、伝送され、若しくは受信される情報の漏えい、滅失又は毀損の防止その他の当該情報の安全管理のために必要な措置並びに情報システム及び情報通信ネットワークの安全性及び信頼性の確保のために必要な措置(情報通信ネットワーク又は電磁的方式で作られた記録に係る記録媒体(以下「電磁的記録媒体」という。)を通じた電子計算機に対する不正な活動による被害の防止のために必要な措置を含む。)が講じられ、その状態が適切に維持管理されていることをいう。”
つまり、サイバーセキュリティは情報セキュリティの一部です。紙媒体の情報を守ることは情報セキュリティですが、サイバーセキュリティではありません。パソコン上のデータを守ることは情報セキュリティであり、サイバーセキュリティでもあります。
【項目別】情報セキュリティとサイバーセキュリティの比較
ここからは、情報セキュリティとサイバーセキュリティを項目別に比較していきましょう。
脅威が起こる理由や攻撃の手口
情報セキュリティやサイバーセキュリティを脅かす原因はさまざまです。それぞれの脅威や攻撃の手口について、詳しく解説します。
情報セキュリティの脅威
- 故意的な脅威
故意的な脅威とは、対象を狙って故意的に行われる脅威です。たとえば、外部から特定のサーバーに対して進入を試みることや、内部者に金銭を渡して情報を漏洩させることなどが該当します。また、外部者の関与が無く、内部者が人為的に外部に内部情報を漏らすことも含まれます。 - 偶発的な脅威
操作や設定のミスによって、偶発的に発生する脅威もあります。たとえば、ダウンロードしたアプリがウイルスだったことが原因のシステム停止や、メールの誤送信による情報漏洩等が該当します。偶発的なものは従業員が故意に行っていないため、発生に気付かない場合もあります。 - 環境的な脅威
環境的脅威は、自然災害がきっかけで発生します。たとえば、地震によって倒壊した建物から端末が盗まれるケースが該当します。また、自然災害によるシステム停止を含むこともあります。
サイバー攻撃の手口
- 不正アクセス
アクセス権が無いにも関わらず、アクセスすることです。多くの場合は脆弱性を使用した不正アクセスやID・パスワードの総当たりによって、セキュリティを突破します。 - 偽サイトへの誘導
メール等でリンクを送り、偽サイトへ誘導します。そのサイト内でID・パスワードを入力させることで、不正アクセスを行います。また、個人情報やクレジット情報を入力させて、悪用するケースも少なくありません。 - 脆弱性への攻撃
ソフトウェアの既知、または既知ではない脆弱性に攻撃を仕かける手口です。既知の脆弱性は公開されており、放置していると不正アクセスされる場合もあるため、対策が必要です。 - 身代金要求
ランサムウェアと呼ばれる、端末やサーバーを暗号化によってアクセス不可にして、身代金を要求する手口です。金銭を払えば暗号化を解除するという通知が来るものの、支払っても解除される保証はありません。 - 不正傍受
端末間の通信傍受により、情報を入手します。暗号化していない通信は簡単に傍受されますので、注意が必要です。
セキュリティ対策
情報セキュリティの脅威やサイバー攻撃による被害を防ぐためには、具体的な対策を講じなければなりません。ここからは、情報セキュリティとサイバーセキュリティの対策を見ていきましょう。
情報セキュリティの対策
- デバイスのセキュリティ強化
脆弱性を放置したり、単純なID・パスワードを使用したりしている場合、不正アクセスされる恐れがあります。基本的な対策として、脆弱性をなくすことやID・パスワードを複雑にすることが重要です。ただし、従業員が複雑なIDやパスワードを覚えることができず、パソコンの画面付近にふせんを貼るといった、別のセキュリティ上の問題が発生する場合があるため、注意しましょう。 - 従業員の意識改革
故意的、または偶発的な脅威を防ぐためには、従業員が「何を行ってはならないのか」「どのような場合に注意すべきか」を知ることが不可欠です。また、ルールに罰則等を設けて、周知することにより、故意的なセキュリティ事案を防ぐことができます。ただし、罰則を厳しくしすぎた場合、偶発的なセキュリティ事案の時に従業員が隠蔽に走る可能性があることを考慮しなければなりません。 - セキュリティ対策の共有
どのようなセキュリティ対策を行っているかを社内で共有します。実施されている対策を共有することで、従業員の意識も変わるでしょう。ただし、全てを共有すると、誰かがセキュリティの状況を外部に漏らした場合に被害が大きくなります。誰にどこまでの情報を共有するかは慎重に検討が必要です。
サイバーセキュリティの対策
- 技術的なセキュリティ対策
脆弱性をなくすためには、使用するアプリケーションを常に最新バージョンに更新します。また、ログの定期的な解析、IDP(不正侵入検知)やIPS(不正侵入防御)の導入も重要です。また、不要なIDを削除したり、不必要にアクセス権を付与したりしないようにしましょう。 - 物理的なセキュリティ対策
端末を設置している事務所等への入室管理を徹底します。アクセスできる情報に合わせて、部屋ごとにセキュリティ強度を適切に設定しましょう。たとえば、最も重要なサーバールームでは「誰が、いつ入室し、何をして、いつ退出した」という情報を記録するだけではなく、そもそも入室できる人の制限も必要です。 - 人為的なセキュリティ対策
攻撃の手口を知らなければ、サイバーセキュリティの対策はできません。従業員に対してはセキュリティ対策の知識を教育しましょう。また、私物のUSBやカメラの持ち込みを禁止することも重要です。
情報セキュリティとサイバーセキュリティの違いについてまとめ
情報セキュリティとは、情報の機密性・完全性・可用性を維持することです。サイバーセキュリティは情報セキュリティの一部です。パソコン上のデータを守ることは含まれますが、紙媒体の情報を守ることは含まれません。
情報セキュリティとサイバーセキュリティの脅威となる原因はさまざまであり、それぞれに対策が必要です。常に最新の情報や知識を入手して、自社の実情に合ったセキュリティ対策を行うようにしてください。
【書式のテンプレートをお探しなら】
この記事に関連する最新記事
おすすめ書式テンプレート
監修者プロフィール