経産省の「サイバーセキュリティ経営ガイドライン」を読み解く

　経済産業省と独立行政法人情報処理推進機構（IPA）は2015年12月28日、一般に募集したパブリックコメント（パブコメ）に対応する形で「サイバーセキュリティ経営ガイドライン Ver.1.0」（本ガイドライン）を策定しました。

　本ガイドラインは経営者のリーダーシップの下でサイバーセキュリティ対策が推進されることを期待するもので、セキュリティに対する取り組みについて経営者の理解を進めるために発行されたものです。昨年度からの継続した取り組みの成果物として策定されました。

サイバーセキュリティとは

　ITに関連するセキュリティの名称は「情報セキュリティ」と呼ばれてきましたが、ここ数年で政府は「サイバーセキュリティ」とその名称を変更してきました。情報セキュリティとサイバーセキュリティはどのような関係にあるのでしょう。本ガイドラインの用語説明を引用すると、サイバーセキュリティは以下のように書かれています。

　この説明を読む限りでは、（やや当たり前ですが）サイバーセキュリティとはサイバー空間における攻撃に対する対策ということであり、その攻撃が企業の事業継続に影響を及ぼさないようにリスクを管理することとなっています。

　政府では、2015年2月に実施される予定だった「情報セキュリティ月間」を「サイバーセキュリティ月間」に名称変更した際の理由として、サイバーセキュリティ基本法及び関係法令の施行を受けた内閣サイバーセキュリティセンターなどの設置を踏まえたとしており、その対応範囲は広くなっていたはずなのですが、本ガイドラインでは経営者の理解を進めるために簡素な書き方となっているようです。

　サイバーセキュリティ基本法では、

　とされており、もう少し範囲が広くなっているようです。名称だけが一人歩きしているような状況の中で、一般にはわかりにくい内容になっているのかもしれませんが、国際的にサイバーセキュリティ（Cyber Security）といった場合には、物理セキュリティとセットで使われることが多く、サイバーフィジカルセキュリティというような形で全てを表しています。

　サイバーセキュリティが注目されているのは、多くの業務やビジネスがサイバー空間で営まれていること、そしてサイバー空間は国境を容易に越えることから、テロ対策などを含めたさまざまな攻撃を想定した対策の検討が求められているということです。

　日本国内ではサイバーセキュリティと定義する場合は、情報セキュリティよりも範囲が広いと捉えられる傾向があり、情報セキュリティが単に組織や国内だけのものであると捉えられてしまいがちだったために、サイバーセキュリティということで国際的な対応について検討するということになったのではないかと思われます。