情報セキュリティとサイバーセキュリティにまつわる誤解

違いを理解して足りない部分の投資を判断

　サイバーセキュリティがどの程度の脅威になるのかは企業によって異なる。自社が受ける脅威の種類と大きさとの見合いで、既存の情報セキュリティの対策でカバーできるという判断もあり得る。自社に足りない部分があれば、それを見落とさずに適切な対策を実施しなければならない。

　セキュリティ対策は多額の投資が必要となる場合がある。経営層はその投資が妥当であるかどうか、適切に判断しなければならない。こうした判断を可能にするには、「情報セキュリティとサイバーセキュリティは共通する領域もあるものの、サイバーセキュリティでは固有の新たな観点が登場している」という情報を分かりやすく説明する必要がある。

　情報セキュリティとサイバーセキュリティの違いは、セキュリティの勉強している人ほど陥りやすい勘違いだ。記事の途中で触れたとおり、脅威による被害に着目すると両者は包含関係にある。規定やガイドラインの定義もそうなっている。これだけを見ると、サイバーセキュリティのための投資は不要に思えてくるほどだ。

　冒頭の経営者A氏は、以下のような認識をできていればよかった。

経営者A氏「従来の情報セキュリティとサイバーセキュリティでは、共通する部分と違う部分があると考えている。サイバーセキュリティ固有の施策について、自社に何が足りないかを冷静に見極めたい」

　情報セキュリティとサイバーセキュリティの関係を見誤ると、意思決定の方向性にも大きな影響を及ぼす。重大な見落としが起こる可能性もある。誤解なく理解するようにしたい。

高橋宏之（たかはし　ひろゆき）
デロイト トーマツ リスクサービス　シニアマネジャー

国内SI企業で省庁関連の大規模システム開発やERP製品導入を経験後、デロイト トーマツ コンサルティングに入社し、ビジネスプロセス改善やCIO向けアドバイザリー業務に従事。2010年、デロイト トーマツ リスクサービスに転籍後は、セキュリティ全般のコンサルティング業務を担当する。近年は、自動車業界向けのセキュリティ管理のエキスパートとして、情報システム領域および自動車セキュリティ領域に関する様々な案件に関与。