混同されがちな2つのもの、それがIT(情報技術)セキュリティと情報セキュリティです。デジタル化の時代には、情報はたいていITの助けを借りて処理、保存、輸送されます。しかし、情報セキュリティは、私たちが思っている以上にまだアナログなものであることが多いのです基本的に、ITセキュリティと情報セキュリティは非常に密接な関係にあります。そのため、ITそのものだけでなく、機密情報を効果的に保護するためには、体系的なアプローチが必要となります。
ITセキュリティvs.情報セキュリティ
情報セキュリティは、単なるITセキュリティではありません。会社全体に焦点を当てています。結局のところ、機密情報のセキュリティは、電子システムで処理されるデータだけを対象としているわけではありません。情報セキュリティは、紙のようなアナログのデータ媒体も含めて、保護すべきすべての企業資産を対象としています。
"ITセキュリティと情報セキュリティは、(まだ)互換性のない2つの用語である。"
情報セキュリティの保護目標
情報セキュリティの3つの基本的な保護目標である、機密性、可用性、完全性は、重要な契約書類が入った手紙にも適用されます。この手紙は、完全にアナログな宅配便で輸送され、時間通りに、確実に、無傷で相手の家に到着しなければなりません。また、これらの保護目標は、機密情報を含む紙であっても、無人の机の上に誰でも見られるように置かれていたり、自由にアクセスできるコピー機の中で不正アクセスを待っていたりする場合にも同様に適用されます。
このように、情報セキュリティはITセキュリティよりも広い範囲を対象としています。一方、ITセキュリティは、ITシステム上の情報を保護すること「のみ」を指す。
定義に基づくITセキュリティ
公的機関の見解は?ITセキュリティとは、「情報技術の利用において、脅威や脆弱性に起因するリスクが、適切な対策によって受容可能なレベルまで低減されている状態」のことです。したがって、ITセキュリティとは、情報および情報技術の機密性、完全性、可用性が適切な手段によって保護されている状態である。"ドイツ連邦情報セキュリティ局(BSI)による。
情報セキュリティ=ITセキュリティ+X
実際には、「情報セキュリティ=ITセキュリティ+データ保護」という経験則を用いて、異なるアプローチをとることもあります。しかし、この言葉を式にしてみると、かなりインパクトがあります。確かに、欧州のGDPRにおけるデータ保護の問題は、プライバシーの保護を目的としており、個人データの処理者には、安全なITと、例えば安全な建物環境の両方を備えることが求められており、そのため顧客データ記録への物理的なアクセスは除外されています。しかし、これでは個人のプライバシーを必要としない重要なアナログデータが除外されてしまいます。例えば、会社の建設計画などがそうです。
情報セキュリティという言葉には、純粋なITの側面を超えて、常にそれらを含む基本的な基準が含まれています。したがって、比較的に、ITセキュリティの範囲内の単純な技術的または組織的な対策であっても、常に適切な情報セキュリティを背景にして行われます。その例としては、以下のようなものが考えられます。
- ハードウェアへの電源供給の確保
- ハードウェアのオーバーヒート対策
- ウイルススキャンと安全なプログラム
- フォルダ構造の整理
- ファイアウォールの設定と更新
- 従業員のトレーニングなど
コンピュータや完全なITシステム自体を保護する必要がないことは明らかです。結局のところ、デジタル的に処理されたり転送されたりする情報がなければ、ハードウェアやソフトウェアは役に立たないからです。
ドイツの例に見る、法律によるITセキュリティ
CRITISのテーマ:ITセキュリティ法は、電気、ガス、水道、交通、金融、食品、健康など、さまざまな分野の重要インフラに焦点を当てています。ここでは、ITシステムの可用性と安全性を維持するために、ITインフラをサイバー犯罪から保護することに主眼が置かれています。特に、今日のデジタル制御された遠隔制御システムを保護する必要があります。
これらの保護目標が前面に出ています(抜粋)。
- ITセキュリティリスクの検討
- ITセキュリティコンセプトの策定
- 緊急時計画の作成
- 一般的なセキュリティ対策の実施
- インターネットセキュリティの管理
- 暗号技術の利用など
情報セキュリティの規格であるISO 27001
ISO 27001には何が書かれているのでしょうか?世界的に認められている情報セキュリティマネジメントシステム(ISMS)の規格で、派生規格であるISO 27019、ISO 27017、ISO 27701と呼ばれています。
ISO/IEC 27001:2017 - 情報技術-セキュリティ技術-情報セキュリティマネジメントシステム-要求事項(ISO/IEC 27001:2013(Cor 1:2014およびCor 2:2015を含む))。
この重要な規格のタイトルは、ITセキュリティが今日の情報セキュリティにおいて大きな役割を果たしており、今後もその重要性が増していくことを明確にしています。しかし、ISO 27001に定められている要求事項は、デジタルITシステムのみを直接対象としているわけではありません。それどころか
"ISO/IEC 27001では、例外なく「情報」が全面的に言及されています。"
原則として、この情報が処理される、または保護されるべきアナログまたはデジタルの方法については区別されません。
ISMSが成功裏に導入されると、全体的なセキュリティ戦略がサポートされます。これには、組織的な対策、セキュリティを意識した人事管理、配備されたIT構造のセキュリティ、および法的要件の遵守が含まれます。
情報セキュリティは思ったよりもアナログであることが多い
ISO 27001の標準的な要求事項を完全にアナログなシステムに適用しようと思えば、完全にデジタルなシステムに要求事項を適用した場合と同じような結果になるでしょう。よく知られているISMS規格の附属書Aには、対策の目的やユーザーに対する対策が記載されており、テレワークやモバイルデバイスといった言葉が出てきます。しかし、規格の付属書Aの対策でさえ、情報セキュリティに関して考慮しなければならないアナログなプロセスや状況が、どの企業にもまだ存在することを思い出させてくれます。
電車の中など、公共の場でスマートフォンを使ってセンシティブな話題を大声で話す人は、デジタルなコミュニケーションチャネルを使っているかもしれませんが、その不祥事は実はアナログなものなのです。また、机の上をきれいにしない人は、機密保持のためにオフィスに鍵をかけたほうがいいでしょう。少なくとも、情報を安全に保護するための最も効果的な手段の1つである前者は、今のところまだ手作業で行われていますが......。
ITセキュリティと情報セキュリティの比較-結論
ITセキュリティと情報セキュリティは、(まだ)互換性のない2つの用語である。むしろ、ITセキュリティは情報セキュリティの一部であり、情報セキュリティにはアナログな事実やプロセス、コミュニケーションも含まれます。しかし、デジタル化の進展により、これらの用語はますます接近してきており、長期的には意味の違いは小さくなっていくでしょう。
DQSに期待されること
DQS社は、マネジメントシステムおよびプロセスの審査および認証のスペシャリストです。35年の経験と全世界の2,500人の審査員のノウハウを活かし、情報セキュリティおよびデータ保護のあらゆる面での認証を提供しています。
私たちは、専門的な能力について語るだけでなく、それを持ち合わせています。当社のすべてのDQS審査員は、長年にわたる実践的な経験を有しています。DQS社のすべての審査員は、あらゆる規模の組織およびあらゆる業界で長年にわたる実務経験を積んでいます。このような多様性により、DQS社の主任審査員は、お客様の会社の状況および経営文化に共感することが保証されています。当社の審査員は、自らISMSを構築、管理、さらに発展させてきた経験から、マネジメントシステムを熟知しており、日々の課題も自らの経験から把握しています。皆様とお話しできることを楽しみにしております。
DQSのメールマガジン
Gert Krueger
Expert and project manager for information security, BSI-KritisV and data protection at DQS. In addition, long-standing auditor for quality and environmental management.